Le difese cagionevoli degli ospedali
Aumentano le aggressioni a strutture sanitarie Denunce anche in Italia
Gli ospedali potrebbero diventare un target stratefico della nuove cyberguerre. Gli attacchi sono già in atto. A confermarlo non sono più solo le statistiche dei grandi gruppi che si occupano di vendere sicurezza ma le stesse strutture ospedaliere che, a differenze di moltissime imprese, hanno cominciato a denunciare le violazioni informatiche. Come nel caso del Presbyterian Medical Center di Los Angeles. Un ospedale da 430 posti che per ritornare in possesso dei propri computer ha dovuto pagare un riscatto di 17mila dollari in bitcoin. Nei giorni scorsi si è mossa la Food and Drug Administration. L’ente governativo statunitense che regolamenta alimenti e farmaci ha pubblicato una serie di raccomandazioni sulla sicurezza dei dispositivi collegati a Internet. In un documento di 30 pagine si incoraggiano i produttori di dispositivi medici a monitorare i loro strumenti diagnostici, aggiornando i software e proteggendo le connessioni. Trattasi di raccomandazioni non giuridicamente vincolanti ma il livello di allarme è alto. Come si legge nel documento citando il Sans Institute, il 94% delle organizzazioni sanitarie pubbliche e private sarebbe stato vittima di attacchi informatici. Se così fosse ci troveremmo in presenza di una aggressione senza precedenti a strutture strategiche per ogni Paese. Ma a che scopo? Cosa cercano negli ospedali? Quando l’obiettivo non è chiedere il pizzo ai direttori sanitari il fine sembra essere quello di entrare in possesso di dati sensibili per ricattare chi è ricoverato.
Secondo un accurato studio di Deloitte, il ritardo delle strutture europee è preoccu- pante. Più della metà dei soggetti intervistati adotta password di accesso standard (e quindi non sicure) ai propri dispositivi biomedicali e dichiara di avere dispositivi medici con password di default. Quasi la metà degli ospedali non ha valutato i dispositivi medici secondo la conformità con la nuova legislazione sulla privacy. Ancora: solo cinque dei 24 ospedali hanno dichiarato che la maggior parte dei loro dispositivi utilizzati ha una connessione sicura. E quasi tutte le strutture non hanno valutato la compliance dei propri dispositivi biomedicali rispetto ai requisiti del nuovo Regolamento europeo in tema di « Data protection » . Anzi, la maggior parte delle strutture intervistate non richiede ai propri fornitori alcun attestato MDS2 ( Medical device security manufacturer disclosure statement) prima dell’acquisto di dispositivi biomedicali. Il ritardo dunque c’è ed è grave. L’anno scorso l’Unione europea ha approvato una direttiva comunitaria per la sicurezza delle reti e dell’informazione, nota anche come Direttiva Nis (Network and Information Security), che stabilisce i requisiti minimi per la sicurezza informatica per gli operatori di infrastrutture critiche. L’Enisa, l ’ ente europeo che contribuisce a elaborare la politica e la normativa dell’Ue in materia di sicurezza quest’anno ha messo in cima all’agenda propria il settore healthcare. Qui da noi però, le denuce di aggressione a strutture ospedaliere faticano a emergere. L’anno scorso sulle cronache tedesche si è parlato dell’ospedale della città di Neuss: una struttura all’avanguardia e un esempio di digitalizzazione della sanità messo in ginocchio da un attacco ramsonware. In Italia, sostengono alcuni esperti di sicurezza, almeno quattro grandi strutture sanitarie private tra Milano e Roma sono finite sotto ricatto dei pirati informatici attraverso un cryptolocker. I nomi non escono. Ma quando entrerà in vigore la nuova normativa europea sulla gestione dei dati nelle aziende si potrà fare un po’ più di luce sulle reali dimensioni di queste aggressioni.