CYBERSECURITY

Ransomware 2020, attacco ai servizi pubblici: come prepararsi all’escalation hacker

Strutture sanitarie, amministrazioni locali e aziende di reti sempre più nel mirino ransomware. Si tratta di una svolta nella strategia cybercrime che punta a sfruttare l’alto valore di dati sanitari e anagrafici o dei servizi sottostanti al pubblico. Con pericolose ricadute su processi di cura e governance

23 Dic 2019
Walter Rocchi

IT Security expert


La fine dell’anno ci porta una nuova consapevolezza: stando alle notizie degli ultimi giorni, gli attacchi ransomware ad infrastrutture, specialmente pubbliche, aumenteranno ancora in maniera esponenziale.

Il 2019 ha visto questa piaga spostarsi attivamente soprattutto verso due nuovi obiettivi: i Comuni e gli ospedali.

Anche in Italia: qualche mese fa si è verificato un attacco al Comune di Cervia (RA). Ma si denota anche un sostanziale incremento degli attacchi all’industria medica, in particolare negli USA, dove gli ospedali sono più digitalizzati.

Un prossimo obiettivo potrebbe essere anche la rete delle utility.

Pochi giorni fa un ransomware ha bloccato i sistemi di Iren, l’utility luce e gas, con disagi ai clienti oltre che ai dipendenti. Il tutto probabilmente a causa di un laptop con sistema operativo non aggiornato, che “non veniva mai spento” per comodità. Effetti: impossibile intervenire su servizi e contratti di milioni di clienti, bloccata ogni operazione e la centrale del pronto intervento guasti. Iren ha 7 mila dipendenti e due milioni e mezzo di clienti tra Torino, Genova e l’Emilia-Romagna. Peggio era andata a City Power, a luglio, in Sud Africa dove l’attacco ransomware ha causato il blackout dell’elettricità.

Amministrazioni locali sotto attacco

Probabilmente, l’incidente più importante e ampiamente discusso in quest’ambito nel mondo è stato quello di Baltimora, che ha sofferto di una campagna di riscatto su larga scala che ha messo fuori uso una serie di servizi della città e ha richiesto decine di milioni di dollari per ripristinare le reti IT. Ed è di qualche giorno fa la paralisi degli uffici pubblici della Louisiana, sempre per ransomware.

Sulla base delle statistiche disponibili ad oggi, il 2019 ha visto almeno 174 organizzazioni municipali prese di mira dal ransomware. Si tratta di un aumento di circa il 60% rispetto al numero di città e cittadine che hanno riferito di essere state vittime di attacchi un anno prima. Mentre non tutti hanno confermato l’ammontare dei fondi estorti e se un riscatto è stato pagato o meno, la domanda media di riscatto variava da 5 mila a 5 miliardi di euro, e in media era pari a circa 1.032.460 euro. I numeri, tuttavia, variavano molto, poiché i fondi estorti alle piccole città, ad esempio, erano a volte 20 volte più piccoli di quelli estorti ai municipi dei grandi comuni.

I danni effettivi causati dagli attacchi, secondo le stime di analisti indipendenti, sono spesso diversi dalla somma richiesta dai criminali. In primo luogo, alcune istituzioni municipali e alcuni fornitori sono assicurati contro gli incidenti informatici, il che compensa i costi in un modo o nell’altro.

In secondo luogo, gli attacchi possono spesso essere neutralizzati mediante una reazione tempestiva agli incidenti. Ultimo ma non meno importante, non tutte le città pagano il riscatto: nel caso di Baltimora, in cui i funzionari si sono rifiutati di pagare il riscatto, la città ha finito per spendere 18 milioni di dollari per ripristinare la propria infrastruttura IT.

WHITEPAPER
Che differenza c’è tra i Business Continuity e Disaster Recovery?
IoT
Manifatturiero/Produzione

Nonostante questa somma possa sembrare molto di più dei 114 mila dollari iniziali richiesti dai criminali, pagare il riscatto è una soluzione a breve termine che incoraggia gli hacker a continuare le loro pratiche dannose. È necessario tenere presente che una volta che l’infrastruttura IT di qualsiasi tipo viene compromessa, è necessario un controllo e un’indagine approfondita sull’incidente per evitare il ripetersi di incidenti simili, oltre al costo aggiuntivo dell’implementazione di soluzioni di sicurezza efficaci.

Wannacry il principe del cybercrime

Il vettore d’attacco che “vince” quasi tutte le classifiche di ransomware più frequentemente bloccato sui dispositivi degli utenti è WannaCry. Anche se Microsoft ha rilasciato una patch per il suo sistema operativo mesi prima dell’inizio degli attacchi, WannaCry ha comunque colpito centinaia di migliaia di dispositivi in tutto il mondo. E ciò che colpisce di più è il fatto che vive e prospera ancora. Le ultime statistiche relative al terzo trimestre del 2019, hanno dimostrato che due anni e mezzo dopo la fine dell’epidemia di WannaCry, un quinto di tutti gli utenti presi di mira dagli hacker è stato attaccato da WannaCry.

Uno scenario alternativo prevede che i criminali sfruttino i fattori umani: si tratta probabilmente del vettore di attacco più sottovalutato, poiché la formazione dei dipendenti in materia di sicurezza informatica non è affatto universale come dovrebbe essere. Molti settori perdono una quantità enorme di denaro a causa di errori dei dipendenti (in alcuni settori questo è il caso per la metà degli incidenti), i messaggi di phishing e di spam contenenti installatori di malware pericoloso circolano ancora sul web e raggiungono le vittime. A volte queste vittime possono gestire i conti e le finanze dell’azienda e non sospettare nemmeno che l‘apertura di un’e-mail di phishing e il download di un apparente file PDF sul proprio computer possa compromettere la rete.

Ransomware in Sanità

Relativamente all’Healthcare non abbiamo statistiche, né a livello italiano, né tanto meno a livello europeo. In Europa la situazione non è così diversa: dai 13mila fascicoli elettronici non criptati a causa di un mancato update di un software, fino ad arrivare a 13 cliniche tra Bonn e Mannhein[3] completamente bloccate (entrambi in Germania), abbiamo il Rouen’s Centre Hospitalier Universitaire (CHU) , le cui strutture sono rimaste bloccate per diversi giorni.

E in Italia? Un attacco ransomware ha congelato per giorni le attività dell’Ospedale Fatebenefratelli di Erba e come se non bastasse più di 35mila radiografie sono state rese inaccessibili.

Naturalmente, se non ci sono statistiche, sono soltanto i casi eclatanti a fare notizia. Le statistiche mondiali invece ci informano che nel corso del 2019, secondo una ricerca pubblicata ad ottobre dall’HIPAA Journal[1], solo negli Stati Uniti sono stati esposti a violazioni dei dati oltre 38 milioni di cartelle cliniche. Ciò significa che solo quest’anno i dati sanitari dell’11,64 per cento della popolazione statunitense sono stati esposti, rubati o divulgati in modo errato; inoltre la ricerca è stata effettuata lo scorso ottobre, quindi, alcune settimane prima della fine del 2019.

Danni di un attacco hacker a un ospedale

Non solo ransomware. A parte rubare le cartelle cliniche dalle strutture che non le proteggono come dovuto, un hacker motivato e determinato può, ferme restando le eventuali carenze di sicurezza infrastrutturali, prendere il controllo di apparati e molto altro.

Ovviamente, il fattore umano è preponderante: un sondaggio condotto tra i dipendenti del settore sanitario negli Stati Uniti e in Canada ha rivelato che quasi un terzo di tutti gli intervistati (32%) non aveva mai ricevuto una formazione sulla sicurezza informatica dal proprio posto di lavoro; inoltre, un dipendente su 10 in posizioni dirigenziali ha anche ammesso di non essere a conoscenza di una politica di cybersecurity nella propria organizzazione.

Negli Stati Uniti si stanno interrogando sui tassi di mortalità fra i pazienti colpiti da infarto e ictus le cui ambulanze sono state dirottate verso altri ospedali. O su quanti ospedali e ambulatori hanno subito ritardi nell’ottenere i risultati dei test necessari per prendere decisioni sanitarie critiche. Non ci sono raccolte di dati, né statistiche, principalmente perché questi dati sono difficili da reperire – a nessuno piace ammettere che la morte possa essere attribuibile a una causa non naturale come questa.

Ransomware e attacchi cyber in Sanità, le stime sul futuro

L’interesse per le cartelle cliniche sul dark web è in tendenziale crescita. Da alcune ricerche sui forum underground sta verificandosi un’impennata dei prezzi: i dati sanitari sono a volte anche più costosi dei dati della carta di credito. Si aprono anche nuovi potenziali metodi di frode: un potenziale hacker potrebbe, avendo a disposizione i dati medici di un paziente, ricattare una struttura ospedaliera, anche con la minaccia di far pagare alla stessa una multa per violazione della legge sulla Privacy.

L’accesso alle informazioni del paziente permette non solo di rubare ma anche di modificare le cartelle cliniche. Ciò può portare ad attacchi mirati contro le persone per confondere la diagnostica. Secondo le statistiche, gli errori diagnostici sono la prima causa di morte dei pazienti (anche davanti a personale medico scarsamente qualificato).

Il numero di attacchi ai dispositivi delle strutture mediche nei paesi che hanno appena iniziato il processo di digitalizzazione nel campo dei servizi medici aumenterà significativamente l’anno prossimo. Ci si aspetta l’emergere di attacchi mirati di ransomware contro gli ospedali dei paesi in via di sviluppo. Gli istituti medici si stanno trasformando in infrastrutture industriali. La perdita di accesso ai dati interni (ad es. cartella clinica digitale) o alle risorse interne (ad es. apparecchiature mediche collegate all’interno di un ospedale) può bloccare la diagnostica dei pazienti e persino interrompere gli aiuti di emergenza.

Esiste un numero crescente di attacchi mirati contro istituti di ricerca medica e aziende farmaceutiche che svolgono attività di ricerca innovativa. La ricerca medica è estremamente costosa e alcuni gruppi di hacker specializzati nel furto di proprietà intellettuale attaccheranno più spesso tali istituzioni nel 2020.

Fortunatamente, non abbiamo mai visto attacchi a dispositivi medici impiantati (ad es. neuro-stimolatori) in natura. Ma il fatto che ci siano numerose vulnerabilità di sicurezza in tali dispositivi significa che è solo questione di tempo. La creazione di reti centralizzate di dispositivi medici indossabili e impiantabili (come nel caso degli stimolatori cardiaci) porterà all’emergere di una nuova minaccia: un unico punto di accesso per attaccare tutti i pazienti che utilizzano tali dispositivi.

Lo stato delle apparecchiature mediche

Un altro problema serio è la mancanza di standard di sicurezza adeguati implementati nei dispositivi medici dell’Internet of Things (in EU le direttive sui “medical devices” sono obsolete). Nel corso degli ultimi anni sono state identificate una serie di vulnerabilità nelle diverse apparecchiature mediche. Mentre ci si augura che, richiamando l’attenzione su questo argomento, i produttori collaboreranno con la comunità della sicurezza e contribuiranno maggiormente alla creazione di un ambiente più sicuro nel mondo della medicina, a marzo 2020 arriveranno due nuove regolamentazioni dalla UE dove gli aspetti principali saranno:

  • un controllo ex ante più rigoroso per i dispositivi ad alto rischio attraverso un nuovo meccanismo di controllo prima dell’immissione sul mercato con la partecipazione di un pool di esperti a livello UE
  • rafforzamento dei criteri di designazione e delle procedure di controllo degli organismi notificati
  • l’inclusione di alcuni dispositivi estetici che presentano le stesse caratteristiche e lo stesso profilo di rischio di analoghi dispositivi medici nel campo di applicazione della normativa
  • un nuovo sistema di classificazione del rischio per i dispositivi medico-diagnostici in vitro in linea con le linee guida internazionali
  • una maggiore trasparenza grazie a una banca dati completa dell’UE sui dispositivi medici e a un sistema di tracciabilità dei dispositivi basato sull’identificazione univoca dei dispositivi
  • introduzione di una “scheda di impianto” per i pazienti contenente informazioni sui dispositivi medici impiantati
  • rafforzamento delle norme in materia di prove cliniche, compresa una procedura coordinata a livello UE per l’autorizzazione di indagini cliniche multicentriche
  • rafforzamento dei requisiti di sorveglianza post-vendita per i produttori
  • il miglioramento dei meccanismi di coordinamento tra i paesi dell’UE nei settori della vigilanza e della sorveglianza del mercato.

Come arrivare preparati a nuovi attacchi

Ecco cinque cose che le tutte le entità (nessuna esclusa) dovrebbero considerare come parte delle risoluzioni di sicurezza nel 2020:

  • Rafforzare le difese. Migliorare la baseline della sicurezza informatica è il primo punto da cerchiare contro qualsiasi tipo di attacco, incluso il ransomware. Questa è la versione cybersecurity dei buoni propositi per l’anno nuovo. Un buon punto di partenza per le aziende è assicurarsi di avere forti pratiche di gestione delle vulnerabilità in atto e che i loro dispositivi abbiano le ultime patch di sicurezza. Possono anche assicurarsi di adottare le precauzioni di sicurezza di base che spesso sono importanti anche per la conformità normativa, come l’esecuzione di software antivirus aggiornati o la limitazione dell’accesso a sistemi che non possono essere resi conformi. In ultima analisi, tuttavia, per la maggior parte delle organizzazioni, a partire da CIS Control 1, Inventario e controllo delle risorse hardware, (riedito dall’ AgiD in lingua italiana) costituirà una buona base su cui lavorare.
  • Test di penetrazione. Se la baseline è più che sufficiente, si può pensare di effettuare dei Vulnerability Assessment/ Penetration Test del perimetro, per garantire ulteriore protezione. Trovando quali mezzi o meccanismi gli aggressori potrebbero hackerare o forzare un attacco per accedere ad applicazioni o sistemi interni bypassando altre protezioni, come i firewall, i responsabili della sicurezza possono risolvere questi problemi prima che i “cattivi” li trovino.
  • Discussioni del CdA. La Cybersecurity sta diventando sempre più un problema a livello di consiglio di amministrazione. Questo perché un attacco può avere un impatto significativo sulle entrate, il marchio, la reputazione e le operazioni in corso di un’azienda. Tuttavia, vale la pena avere una conversazione specifica a livello di consiglio di amministrazione sul ransomware per assicurarsi che comprendano i rischi specifici che potrebbe comportare per l’azienda e che vi sia un budget a disposizione per prevenire o limitare i danni di un attacco. Questo tema si rivelerà critico se l’azienda vuole implementare protezioni aggiuntive, come una migliore igiene informatica, o mettere in atto tecnologie reattive automatizzate per limitare la diffusione di un attacco. Se il CIO o il CISO non stanno discutendo di un budget da data recovery (sicurezza informatica o ransomware poco importa) questo è sicuramente un buon punto di partenza per il 2020.
  • Formazione su misura. C’è una vulnerabilità che si è dimostrata sempre più efficace come punto d’ingresso per gli attacchi: le persone. È possibile acquistare tutte le più recenti e migliori tecnologie di sicurezza informatica, ma se non si addestrano i propri dipendenti in materia di sicurezza informatica di base o su come rispondere durante un attacco, ci si rende vulnerabili. La formazione per prevenire il ransomware inizia insegnando ai dipendenti a riconoscere gli attacchi di phishing e cosa fare se ne sospettano uno. Questo è importante perché – anche se molti utenti sono migliorati – il phishing rimane uno dei modi più efficaci per un aggressore di violare un’organizzazione. Insegnare agli utenti a convalidare gli URL o ad evitare del tutto di cliccare su link o allegati può contribuire notevolmente alla protezione contro ogni tipo di attacco. Questa è una buona pratica da iniziare o da rivedere nel 2020.
  • Limitare la portata di un attacco. Le risoluzioni del Ransomware dovrebbero includere non solo la prevenzione di un attacco, ma anche l’adozione di misure per ridurre al minimo i danni di un attacco riuscito. Il primo passo consiste nel poter contare su strumenti, come i sistemi SIEM, in grado di identificare i modelli di comportamento e le euristiche di un attacco e iniziare a isolare e a porre rimedio automaticamente a tali sistemi quando vengono segnalati degli indicatori.

Ultimo ma non ultimo, è importante ricordare la Direttiva europea 2016/1148 NIS, recepita dall’Italia con il D.lgs. 18 maggio 2018, n.65, utilizzabile per migliorare la sicurezza interna ed esterna di una qualsiasi entità, o ameno seguire le “misure minime” segnalate da AgiD: anche se pensate per le PA, possono essere riutilizzate per qualsiasi realtà, pubblica o privata.

________________________________________________

  1. Lo Health Insurance Portability and Accountability Act del 1996 (HIPAA) è una legge che ha lo scopo di rendere più facile per i lavoratori statunitensi mantenere la copertura assicurativa sanitaria quando cambiano o perdono il posto di lavoro. La legge incoraggia inoltre l’utilizzo dei registri sanitari in formato elettronico per migliorare l’efficienza e la qualità del sistema sanitario statunitense mediante la condivisione delle informazioni. Lo HIPAA si applica a tutti i soggetti interessati, che possono essere ospedali, fornitori di servizi sanitari, piani sanitari sponsorizzati da datori di lavoro, centri di ricerca e compagnie assicurative che trattano direttamente con pazienti e relativi dati. Il requisito HIPAA si estende anche alle società in affari. Lo Health Information Technology for Economic and Clinical Health Act (HITECH) ha ampliato le norme HIPAA nel 2009. HIPAA e HITECH stabiliscono un insieme di standard federali volti a proteggere la sicurezza e la privacy delle informazioni sanitarie protette.
360digitalskill
Autonomous & continuos learning: fornisci ai tuoi collaboratori lo strumento giusto per ripartire
Risorse Umane/Organizzazione
Smart working

@RIPRODUZIONE RISERVATA

Articolo 1 di 2