Perché avvengono questi attacchi? Cosa c’è dietro? E cosa possiamo fare?
di Michele Pinassi*
“L’unico modo di restare in salute è mangiare quello che non si vuole,
bere quel che non piace, e fare quello che si preferirebbe evitare.”
(Mark Twain)
SIENA. Notizia odierna: sembra che da lunedì pomeriggio i sistemi informatici dell’Ospedale San Giovanni Addolorata di Roma siano fuori servizio a causa di un attacco informatico. Parliamo, a quanto si apprende dalle fonti a stampa, di 300 server e 1500 postazioni informatiche, già sotto indagine da parte degli uomini della Polizia Postale.
L’ennesimo attacco ransomware ai danni di infrastrutture informatiche pubbliche.
Secondo alcuni studi, gli attacchi alle infrastrutture digitali sanitarie italiane sono aumentati esponenzialmente: il 24% delle strutture ha dichiarato di aver subìto attacchi informatici, di cui l’11% circa da parte di ransomware e un importante 33% da accessi abusivi ai dati. Ne abbiamo avuto tutti un assaggio con l’attacco di qualche mese addietro alla Regione Lazio, con il blocco di alcune attività e conseguenti disagi per i cittadini, degli effetti di questi impalpabili byte malevoli sui sistemi informatici della PA.
Mentre attendiamo di saperne di più, nella speranza che il nosocomio recuperi completa operatività al più presto (e questo dipenderà moltissimo non solo dalla bravura dei tecnici ma anche e soprattutto dalle azioni preventive attuate), proviamo a riflettere sul perché accadono certi eventi, usando il linguaggio più semplice e comprensibile possibile.
Partiamo dalla sintesi offerta dal DL 14 giugno 2021, n. 82, “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale“: Considerato che le vulnerabilità delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche di soggetti pubblici e privati possono essere sfruttate al fine di provocare il malfunzionamento o l’interruzione, totali o parziali, di funzioni essenziali dello Stato e di servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, nonché di servizi di pubblica utilità, con potenziali gravi ripercussioni sui cittadini, sulle imprese e sulle pubbliche amministrazioni, sino a poter determinare un pregiudizio per la sicurezza nazionale; DECRETO-LEGGE 14 giugno 2021, n. 82 disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale.
Siamo davanti, quindi, a una presa di consapevolezza importante da parte del legislatore italiano in merito agli attacchi informatici, che ormai da qualche anno stanno flagellando le reti e i sistemi ICT del nostro Paese (e non solo).
La risposta alla più classica delle domande – ma perché ci attaccano? – è semplice: per soldi.
Siamo ormai ben oltre agli adolescenti smanettoni che esploravano i meandri della Rete alla ricerca di sistemi aperti o poco protetti: oggi gli attacchi informatici sono portati avanti da organizzazioni di cybercriminali organizzate e motivate, con l’obiettivo unico di monetizzare tanto e in breve tempo.
Criminali opportunisti che sfruttano, senza etica alcuna, le vulnerabilità che riescono a individuare, senza alcuno scrupolo nel bloccare l’operatività di una struttura ospedaliera. La vera sfida della PA, quindi, sta nel ridurre al minimo le possibilità d’intrusione di questi codici malevoli all’interno delle reti informatiche, sfruttando spesso vulnerabilità note mai corrette (proprio qualche giorno fa, 911 realtà italiane ancora vulnerabili a una falla scoperta nel 2018…).
Difficilmente siamo davanti ad attacchi mirati: spesso e volentieri, questi cybercriminali agiscono a strascico, alla ricerca spasmodica di porte di accesso per inoculare il malware che lavorerà, dall’interno, al posto loro. Un po’ come i topi di appartamento, alla ricerca di appartamenti con finestre lasciate incautamente aperte, con la differenza che nel caso di sistemi ICT connessi alla Rete, gli attacchi possono essere portati avanti da qualunque luogo nel mondo, anche a migliaia di km di distanza.
Una volta scoperta la finestra aperta (vulnerabilità o utente maldestro che apre una mail contenente il malware), il programma si attiva e cerca di catturare più dati possibile, esfiltrandoli e cifrandoli, così da rendere inutilizzabili i sistemi e portare nelle mani del loro “padrone” gli straordinari strumenti del doppio ricatto: la pubblicazione dei dati in Rete. Al che parte l’estorsione: pagamento per la chiave di decrittazione dei dati, pagamento per evitare la pubblicazione dei dati in Rete.
Difendersi è un lavoro duro e difficile, che aumenta esponenzialmente con la complessità dei sistemi e dei dati. Un lavoro che deve essere portato avanti da personale specializzato, capace non solo d’individuare le potenziali vulnerabilità sugli apparati ma anche informato sui processi e sui protocolli relativi al trattamento dei dati. A cui si aggiunge la formazione per ogni dipendente abbia accesso ai sistemi ICT, in particolare a coloro che hanno credenziali di accesso privilegiate e rappresentano, quindi, un vettore di attacco particolarmente critico.
Ho parlato di “dati”, e quando parliamo di “dati” e di “sanità”, affrontiamo un argomento particolarmente importante: i cosiddetti “dati particolari”, individuati all’art. 9 del Regolamento Europeo sulla Protezione dei Dati (“GDPR”).
Sono tutte quelle informazioni che rivelano “dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” che sono trattate per “motivi di interesse pubblico nel settore della sanità pubblica“. Informazioni importanti, tanto da essere individuate esplicitamente dal Regolamento e che sono quindi meritevoli, come da artt. 24 e 25 del GDPR stesso, di particolare attenzione sia nel trattamento che nella conservazione perché “aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche“.
Il contesto sanitario, oltretutto, riveste una criticità particolare nel settore della Pubblica Amministrazione, poiché opera direttamente sulla salute delle persone e un ritardo nell’erogazione di una prestazione potrebbe rappresentare un rischio concreto per i cittadini stessi. Purtroppo, infatti, in Germania abbiamo già avuto la prima vittima, uccisa a causa di un ritardo provocato da un attacco ransomware.
A tutte queste criticità si aggiungono spesso budget inadeguati per la cybersecurity, personale non adeguatamente formato e/o motivato, scarsa consapevolezza del rischio e assenza di protocolli e policy atte a mitigarlo. E parliamo di realtà con migliaia di sistemi e centinaia di km d’infrastrutture fisiche!
L’ospedale di oggi, infatti, è ben lontano dalla realtà delle cartelle cliniche cartacee e da faldoni conservati in sottoscala (oddio, forse proprio “ben lontano no…”): molte informazioni transitano in Rete, via e-mail o piattaforme realizzare ad-hoc dove la gestione del paziente avviene quasi esclusivamente per via telematica. Basta pensare a realtà come la telemedicina, così come la chirurgia da remoto, per immaginarsi la gravità di un attacco informatico su queste infrastrutture!
Se in queste strutture ormai il personale medico e quello amministrativo hanno consolidato procedure e protocolli, in decenni di studi e lavoro in settori ormai consolidati, i sistemi ICT sono arrivati da relativamente pochi anni, cogliendo impreparate dirigenze e molto personale, che –e lo dice la Commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA– spesso non hanno ancora maturato la necessaria consapevolezza. Quante di queste sono deputate alla gestione dei sistemi ICT? Quanto è il budget dedicato alla manutenzione delle infrastrutture informatiche e quali sono i protocolli e le procedure attuate per garantire la sicurezza dei sistemi e dei dati? Vale la pena, a tal proposito, dare una lettura al resoconto stenografico avvenuto nel 2017 con il responsabile della direzione generale della digitalizzazione, del sistema informativo sanitario e della statistica del Ministero della salute, dove ad esempio si parla di BYOD (bring-your-own-devices, “usa il tuo dispositivo anche per lavoro”) per i dipendenti e che, alla precisa domanda “i dipendenti possono utilizzare i loro dispositivi o ci sono restrizioni ?” la risposta fu “Ci sono restrizioni sui social.“
La laconica conclusione della Commissione succitata, nel 2020, è stata che “le pubbliche amministrazioni, nella grande maggioranza dei casi, approcciano il tema del digitale in modo episodico e non organico. Sicuramente non strategico e non prioritario.“
Le conseguenze di questo approccio, purtroppo, le stiamo pagando tutti.
*www.zerozone.it