Gli aggressori stanno esercitando una notevole pressione sul settore sanitario in questo momento, dominando il ciclo delle notizie e mettendo in primo piano il ransomware e altri attacchi informatici. Il settore sanitario rappresenta un obiettivo interessante per i criminali informatici, con una media di 1.463 attacchi a settimana (un aumento del 74% rispetto al 2021). Negli ultimi dodici anni, il costo di una violazione nel settore sanitario è stato più alto di qualsiasi altro settore, raggiungendo i 10,1 milioni di dollari nel 2022. E con il passaggio di un numero sempre maggiore di sistemi sanitari alle tecnologie digitali e connesse, questi attacchi aumenteranno ulteriormente.
Perché colpire i sistemi sanitari?
Ci sono diversi motivi per cui gli aggressori si concentrano sul settore sanitario. Il primo è che quando sono a rischio vite umane, le organizzazioni prese di mira sono più propense a pagare il riscatto in modo da poter tornare alle normali attività aziendali, che consistono nel fornire cure urgenti e critiche, nel far nascere i bambini e nel fornire assistenza continua ai pazienti vulnerabili. La semplice interruzione delle operazioni in questi contesti può essere pericolosa per la vita.
In Ontario, un ospedale ha subito un'interruzione dei servizi di pubblica utilità, tra cui l'energia elettrica, l'acqua e i sistemi informatici critici. Definito un evento da "codice grigio", l'ospedale ha continuato a fornire i servizi ospedalieri critici, ma ha esortato i pazienti con condizioni meno urgenti a cercare opzioni di cura alternative. Anche dopo che il cyberattacco si sarà calmato, il sistema ospedaliero dovrà probabilmente affrontare delle difficoltà per tornare alle normali operazioni.
Pochi giorni prima, un attacco a un sistema sanitario della Florida ha costretto il Tallahassee Memorial HealthCare (TMH) a mettere offline i suoi sistemi informatici e a sospendere le procedure non urgenti. Le conseguenze sono di ampia portata per il sistema sanitario privato senza scopo di lucro che fornisce ospedali per acuti, ospedali psichiatrici, 38 studi medici affiliati e diversi centri di cura specializzati in Florida e Georgia.
Secondo l'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) all'inizio di quest'anno, le operazioni di ransomware nordcoreane estorcevano fondi e li utilizzavano per sostenere le priorità e gli obiettivi a livello nazionale del governo nordcoreano. Questi attacchi hanno come obiettivo la sanità pubblica e altri settori di infrastrutture critiche. Il CISA ha indicato che gli hacker hanno utilizzato diversi ceppi di malware per la crittografia dei file per attaccare i sistemi sanitari della Corea del Sud e degli Stati Uniti, oltre ad armadietti sviluppati privatamente.
Oltre agli attori statali che finanziano le operazioni governative attraverso attacchi ransomware, un gruppo di hacktivisti chiamato KillNet ha preso attivamente di mira il settore sanitario statunitense con attacchi informatici DDoS (Distributed Denial-of-Service), osserva il Centro di coordinamento della sicurezza informatica del settore sanitario. Questo gruppo prende di mira i Paesi che sostengono l'Ucraina, colpendoli con attacchi DDoS (Distributed Denial of Service) che causano interruzioni di servizio della durata di ore o giorni. Questi ritardi possono causare ritardi negli appuntamenti, tempi di inattività dei sistemi EHR critici e il dirottamento delle ambulanze verso altri sistemi sanitari. Con il protrarsi della guerra in Ucraina, il settore sanitario statunitense deve essere ancora più vigile nel tentativo di prevenire le minacce informatiche.
Come entrano gli aggressori?
I sistemi sanitari sono ecosistemi IT incredibilmente complessi. Le acquisizioni di piccoli ospedali, le applicazioni cloud e SaaS fornite senza la supervisione del team di sicurezza, i dispositivi medici connessi e le migliaia o centinaia di migliaia di risorse digitali creano una superficie di attacco che può essere difficile da gestire. A ciò si aggiunge il fatto che esistono molte vulnerabilità sconosciute che saranno sempre sfruttate per attacchi zero-day, rendendo ogni sistema non patchato un rischio incredibilmente grande.
Con così tanti punti di accesso alle informazioni assicurative e ai dati dei pazienti, i team IT faticano a proteggerli tutti. A complicare ulteriormente le cose, medici, fisioterapisti, assistenti medici, infermieri e gli stessi pazienti interagiscono con decine di endpoint, ma raramente si tratta di utenti sofisticati. Possono condividere le password o usarne di facili da indovinare, e pochi probabilmente utilizzano in modo efficace le funzionalità di autenticazione a più fattori. Le credenziali compromesse e la scarsa verifica dell'identità offrono agli aggressori un accesso alle reti, alle applicazioni e ai dati del sistema sanitario.
Mitigazione del potenziale di attacco e dell'impatto
Il mondo è sempre più connesso e i piani e i protocolli di sicurezza devono adattarsi a questa realtà. I sistemi sanitari possono prepararsi agli attacchi mettendo in atto piani di risposta ben definiti e praticati in caso di attacco. Condurre esercitazioni regolari di cybersecurity per garantire che i protocolli siano ben coordinati e aggiornati può aiutare i team di sicurezza a prepararsi per gli attacchi apparentemente inevitabili.
Anche se i budget e le risorse di personale possono essere limitati, investire in ulteriori tecnologie zero-trust può ridurre notevolmente la superficie delle minacce. Il settore sanitario si affida molto alle e-mail per le comunicazioni quotidiane e ai portali di applicazioni web per condividere e caricare file e dati dei pazienti. Entrambi, tuttavia, comportano gravi rischi di ransomware, furto di dati, problemi di conformità e altro ancora. Le soluzioni di upload di file ed e-mail a fiducia zero che sfruttano la sanitizzazione dei dati, la prevenzione proattiva della perdita di dati per rimuovere i dati sensibili e la scansione multipla con più motori anti-malware contribuiscono già a ridurre notevolmente il rischio di malware e attacchi zero-day.
L'implementazione del controllo degli accessi zero-trust per questi ambienti complessi può anche consentire agli utenti meno sofisticati di disporre di un modo semplice per eseguire controlli di sicurezza in linea con i criteri di sicurezza dell'organizzazione prima di concedere l'accesso a un sistema. Grazie all'accesso alla rete a fiducia zero, le istituzioni sanitarie possono proteggere l'accesso al cloud, remoto e on-premise, ottenere visibilità immediata su chi è connesso alla rete, rilevare le vulnerabilità e distribuire patch automatiche, nonché imporre la conformità e gli aggiornamenti degli endpoint quando necessario. Impedire l'accesso non autorizzato ai dati aziendali può anche aiutare le organizzazioni a soddisfare i requisiti HIPAA per la sicurezza e la protezione dei dati sensibili dei pazienti dagli aggressori.
Recupero da un attacco
La preparazione a un attacco è il modo più importante in cui un'organizzazione può riprendersi rapidamente da un attacco informatico. Poiché ogni sistema sanitario ha esigenze e risorse specifiche, è essenziale coinvolgere i dirigenti, gli esperti di sicurezza e IT, i team legali e di comunicazione nella creazione di un processo di risposta agli incidenti attuabile e testato. Rilevare tempestivamente le attività sospette e indagare su di esse è un primo passo importante, oltre a garantire l'attivazione dell'EDR. Sia che si tratti di un team di risposta agli incidenti esterno o di risorse interne, è essenziale eseguire un'analisi tecnica per identificare la causa dell'incidente e avviare il piano di IR e attivare soluzioni di backup sugli endpoint. Contenere gli aggressori mentre si raccolgono dati forensi per le indagini in corso è importante, così come informare le forze dell'ordine locali, statali e federali. I team legali, informatici e di comunicazione devono collaborare per garantire il rispetto delle normative e limitare il potenziale impatto legale e reputazionale di un incidente critico.
La portata dell'attacco influisce sul processo di recupero e sui requisiti di notifica della violazione. Una volta sradicato l'attacco ransomware o DDoS, le organizzazioni devono ripristinare i dati dai backup e risolvere eventuali lacune nella sicurezza. Sulla base delle lezioni apprese dall'attacco, i sistemi sanitari possono adeguare il loro piano IR e mettere in atto tattiche e soluzioni di sicurezza per rendere più facile l'individuazione e più rapido il contenimento di attacchi futuri.
Volete sapere come OPSWAT può aiutarvi?
