Quanto vale di Raffaele Angius la tua art Nico H. Brausch cartella clinica
I dati sanitari contengono informazioni personali sensibili, che negli ultimi anni sono state prese di mira dagli hacker. Sia a scopo di ricatto sia perché, specialmente negli Stati Uniti, esiste un fiorente mercato nero che alimenta frodi e spionaggio. Sono anche facili da ottenere: le cliniche private e le strutture pubbliche hanno spesso sistemi di difesa informatici molto fragili
Con una serie di messaggi di posta elettronica da mittenti anonimi, lo scorso ottobre centinaia di pazienti sottoposti a psicoterapia in Finlandia hanno scoperto che le loro cartelle cliniche digitali erano state trafugate.
Secondo le autorità, le informazioni venivano tutte dagli archivi della società privata Vastaamo, proprietaria di 25 centri nel paese e vittima di un attacco informatico dalla portata inedita nella storia dei dati sanitari.
Dietro la minaccia di rendere pubbliche le informazioni, i criminali informatici hanno fissato un prezzo per il loro silenzio: 200 euro di riscatto per ciascun paziente. «Un atto scioccante», lo ha definito il ministero dell’interno, che si è immediatamente attivato sia per offrire sostegno concreto alle vittime sia per accertare qualunque responsabilità dell’azienda Vastaamo nella fuga di dati. Nel frattempo, alcune delle cartelle cliniche circolavano già nel dark web, la rete che garantisce l’anonimato a chi naviga, molto utilizzata sia dagli attivisti sia dai criminali. Ecco perché la più famosa delle vittime – per quanto ne sappiamo – ha fatto coming out sui social network, pubblicando uno screenshot della email di ricatto. « Fanc***», ha scritto l’ex parlamentare europea Kirsi Piha su Twitter. « Non c’è nulla di cui vergognarsi nel chiedere aiuto».
È una rivendicazione potente, e un incoraggiamento alle vittime affinché non cedano ai criminali informatici, come più volte ribadito anche dal governo finlandese. Ma questo episodio è anche una lezione importante per gli ospedali e le cliniche che traggono dalla digitalizzazione incredibili vantaggi nel rinnovare le proprie procedure. A patto di avere il giusto supporto per mantenere i sistemi al sicuro da attacchi informatici e da fughe di dati. La vicenda finlandese, infatti, non è un caso isolato e mostra anzi nitidamente lo stato d’emergenza in cui versa il comparto sanitario in tutto il mondo, ancora più vessato durante la pandemia di Covid-19, che lo ha messo al centro del mirino. «Credo che il pericolo più grande oggi arrivi dai gruppi di cyber criminali, ma non vanno sottovalutati nemmeno gli hacktivisti », spiega Lisa Forte, esperta di sicurezza informatica con un passato nei Servizi segreti e nella polizia britannica, dove ha lavorato nel contrasto alle minacce cibernetiche e al terrorismo. «Soprattutto durante l’emergenza della pandemia, se hai un ospedale letteralmente strapieno di persone che hanno bisogno di cure e all’improvviso ti si fermano tutti i respiratori perché un criminale informatico ne ha preso il controllo, le probabilità che tu sia disposto a pagare un riscatto di 20mila dollari tendono ad aumentare», osserva.
éil contesto che determina l’emergenza: in mancanza di altre opzioni o di backup, e soprattutto se non si ha la possibilità di aspettare tre giorni per ripristinare i sistemi aggirando il muro innalzato da chi ha compiuto l’attacco, le questioni di principio contano poco, dato che la contropartita è mettere a rischio delle vite umane. Tuttavia, neanche pagando si ha la certezza che tutto torni a funzionare, ed è per questo che le strategie di gestione della crisi prevedono generalmente una serie di procedure e analisi per cercare di capire se il nemico sia quantomeno un attore credibile e fedele alla propria parola. Dunque il primo passo, ça va sans dire, è sempre quello della prevenzione. Un campo nel quale il coronavirus ha contribuito non poco a rivelare le carenze delle strutture sanitarie di tutto il mondo. Per questo, agli inizi dell’epidemia, Daniel Card, Radoslaw Gnat e la stessa Lisa Forte hanno fondato CV19, una rete di cyber volontari che scansiona la rete alla ricerca di falle o vulnerabilità nelle infrastrutture informatiche degli ospedali.
« All’inizio eravamo sorpresi di quanto alcune fossero banali (“basic, basic, basic vulnerabilities”, le definisce lei, ndr) », continua Forte. « Parliamo di vulnerabilità così poco sofisticate che anche un ragazzino di sedici anni dalla sua camera da letto potrebbe attaccarle». Quello che manca, spiega l’esperta, è una concreta applicazione di norme e regolamenti che, almeno sulla carta, sarebbero dovuti servire proprio a mettere in sicurezza i sistemi informatici di organizzazioni private e pubbliche amministrazioni. A partire dalla Direttiva Nis, sulla Network and information security, e dal Regolamento generale dell’unione europea per la protezione dei dati (Gdpr), con i quali negli ultimi sei anni si è cercato di innalzare gli standard comunitari in materia di sicurezza informatica. «I regolamenti sono fondamentali», prosegue Lisa Forte, «ma a meno che non vengano applicati inflessibilmente, anche comminando multe a chi non li rispetta, continueremo a domandarci quale effetto possano realmente avere nella vita delle persone. Chiedere di barrare delle caselle non basta ».
Che cosa vogliono davvero i cyber criminali
Attacchi a scopo estorsivo, operazioni di attivismo digitale, spionaggio industriale: l’occhio del ciclone cibernetico, in epoca di Covid-19, ha schiacciato il sistema sanitario. Ed è necessario agire. Almeno questo è quello che ci riferiscono le cronache: con i furti di dati che si moltiplicano soprattutto negli Stati Uniti, in aggiunta agli attacchi di tipo ransomware, condotti attraverso l’impiego di speciali virus informatici che rendono inaccessibile il contenuto di un computer fino a quando non si cede alle richieste
del ricattatore, la sicurezza informatica è diventata la missione secondaria degli anni del coronavirus. Ma che cosa sperano di ottenere i pirati? « Il valore di un dato sanitario può oscillare tra uno e trenta dollari, a seconda di quanto è particolareggiato», spiega Dmitry Galov, analista di sicurezza informatica di Kaspersky, tra le aziende leader per l’intelligence digitale e la protezione dei sistemi informatici. « Però a determinare il prezzo è prima di tutto l’uso che si può fare di quelle informazioni ». Una radiografia, continua Galov, di per sé non ha un grande valore sul mercato, ma le cose cambiano se si porta dietro i dati personali del suo proprietario. « Possono essere usati per una grande varietà di frodi, dall’ottenere benefici assicurativi fino all’acquisto di medicinali con obbligo di ricetta ». E le cose vanno anche peggio quando le informazioni rubate sono particolarmente dettagliate: possono essere utilizzate per sostenere frodi più sofisticate, magari per cercare di estorcere ai parenti della vittima i fondi necessari per pagare complesse procedure mediche. La buona notizia, osserva Galov, è che «gli archivi di informazioni relative a Covid-19 hanno vita breve, perché di norma le persone si ammalano per un paio di settimane, ed è per questo che in genere vengono messi in giro gratuitamente».
Diversa sorte spetta ai dati sottratti con finalità di spionaggio, che spesso fanno gola a gruppi di cyber criminali tecnologicamente più avanzati e sostenuti da organizzazioni nazionali. È questo il caso degli Apt ( Advanced persistent threat): squadre d’assalto informatico generalmente identificate sulla base degli strumenti che usano e autorizzate ad agire secondo missioni assegnate dagli Stati nazionali. «Sono una minaccia concreta per chi lavora in campo farmaceutico e nella ricerca sui vaccini », osserva Lisa Forte. «Una potenza straniera difficilmente avrebbe ragione di attaccare un ospedale, ma un’azienda farmaceutica potrebbe essere in possesso di informazioni scientifiche importantissime per la ricerca sui vaccini, ed ecco che qualcosa da rubare c’è». Qualcosa che potrebbe avere un valore enorme per altri governi. A oggi non abbiamo notizia di attacchi di questo tipo. Tuttavia, alcuni cyber criminali ancora non identificati hanno portato a termine con successo un attacco contro l’ema, l’agenzia europea per la valutazione dei medicinali, sottraendo informazioni ed email fino a quel momento riservate relative al vaccino prodotto dalle aziende Biontech e Pfizer, allora nelle fasi finali di approvazione comunitaria. Chi abbia compiuto l’attacco e per quale ragione lo abbia fatto non è noto (qualche giornalista frettoloso l’ha attribuito a presunti hacker no-vax, ma non ci sono prove), però i dati sono stati messi online e rivenduti sul mercato nero della rete.
Come tutte le cose di questo mondo, anche la sicurezza informatica sottostà alle leggi della domanda e dell’offerta, che determinano il valore dei dati e, di conseguenza, orientano le scelte dei criminali informatici. Compiere truffe o infiltrarsi nei server di un ospedale richiede tempo, per non parlare del rischio che si corre se si viene scoperti. « Purtroppo la sanità non sembra messa benissimo dal punto di vista della sicurezza », conferma Stefano Zanero, professore associato in Computer Security del Politecnico di Milano. « Fortunatamente, però, per quanto le nostre diagnosi contengano informazioni private e sensibilissime, non è facile trarne un profitto diretto e immediato, quantomeno in Europa ». In parole povere, c’è poco mercato. « Ben diversa è la situazione negli Stati Uniti, dove la sanità è prevalentemente privata e legata al mercato assicurativo: in tal caso i dati diventano estremamente preziosi e potrebbero fare gola agli stessi investigatori assicurativi, che riescono a utilizzarli per ricostruire la storia clinica di un utente ed eventualmente dimostrare condizioni di salute pregresse alla stipula di una polizza ». Purtroppo, in Europa non esistono sistemi di osservazione organizzati, ma secondo i dati dell’hipaa Journal, in America nel solo 2020 si sono registrati 616 data breach che hanno riguardato oltre 28mila cartelle cliniche. « Però c’è poco da star sereni anche da noi, dato che le infrastrutture informatiche del settore sanitario sono complesse e spesso gestite in modo approssimativo», precisa Zanero. « La mancanza di attacchi noti e visibili potrebbe essere legata più che altro al fatto che le strutture gestite dalla pubblica amministrazione difficilmente pagherebbero un riscatto, anche nel caso in cui fossero colpite da un ransomware ». Resta la via indicata da Kirsi Piha: non c’è niente di male a chiedere aiuto. Vale per i pazienti come per gli ospedali.