Data protection

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

Il settore sanitario italiano sta registrando un sensibile aumento di attacchi informatici. Dal gennaio 2023, si contano in media 3,5 attacchi informatici al mese contro strutture sanitarie, metà dei quali sfociano in incidenti gravi che compromettono la disponibilità e la riservatezza dei servizi, mettendo a rischio la privacy dei pazienti.[1]

Un attacco informatico o cyberattacco, nell’ambito della sicurezza informatica, indica una qualunque manovra impiegata da individui od organizzazioni che colpisca sistemi informatici, infrastrutture, reti di calcolatori e/o dispositivi elettronici tramite atti malevoli, finalizzati al furto, alterazione o distruzione di specifici obiettivi violando sistemi suscettibili.

I tipi di attacco spaziano dall’installazione di spyware e di malware su di un PC fino a tentativi di demolizione delle infrastrutture di interi Stati, come avviene nel caso delle guerre cibernetiche.[2]

Secondo l’Agenzia per la Cybersicurezza Nazionale, le cause di questi attacchi sono spesso pratiche di sicurezza inadeguate o ignorate, derivanti da scarsa formazione del personale e dalla gestione decentralizzata dei sistemi informatici, senza politiche di sicurezza centralizzate. L’agenzia europea ENISA conferma che il settore sanitario è particolarmente vulnerabile a causa della sensibilità dei dati trattati e dell’interesse crescente dei cybercriminali.

Nel periodo 2023-2024, il numero di eventi cyber nel settore sanitario è aumentato drasticamente, con un incremento del 111%, passando da 27 eventi nel 2023 a 57 nel 2024. Le minacce più frequenti includono ransomware[3], attacchi malware[4] e compromissioni tramite credenziali valide[5]. Gli attacchi ransomware, in particolare, hanno avuto un impatto significativo, rappresentando il 36% degli eventi nel 2023.

Anche la distribuzione degli incidenti per tipologia conferma tale andamento, come rappresentato dalla Figura 4, dove sono riportate le principali tipologie di minacce rilevate nei 55 incidenti. Da evidenziare che: 

• i ransomware risultano essere la tipologia di incidente più diffusa, rappresentano infatti il 17% nel 2024 ed il 46% nel 2023;

• le compromissioni da malware hanno caratterizzato il 17% degli incidenti nel 2024;

• l’intrusione tramite credenziali valide è stata rilevata nel 17% degli incidenti nel 2024;

• la diffusione malware tramite e-mail ha caratterizzato l’11% degli incidenti nel 2024.

Negli ospedali gli impatti maggiori si sono registrati principalmente sulla disponibilità dei servizi, a causa della cifratura dei file; sono stati altresì rilevati anche altri impatti sulle infrastrutture IT:

  • esfiltrazioni di dati (riservatezza), non sempre ai fini di riscatto,
  • modifiche ai dati (e quindi perdita dell’integrità, con conseguente impossibilità per gli operatori sanitari di utilizzare alcuni macchinari) e cancellazioni di file (disponibilità).

In particolare, gli impatti rilevati sono stati i seguenti: 

• blocco temporaneo dell’erogazione di almeno un servizio nella maggioranza dei casi, con variazioni nella distribuzione che includono: o blocco di tutti i servizi IT; o blocco di tutti i servizi tranne uno; o blocco di almeno due servizi;

• esfiltrazione di dati con e senza cifratura;

• modifiche all’integrità dei dati. 

A luglio 2024, un attacco alla supply chain ha colpito un fornitore di servizi IT, causando gravi danni a più enti sanitari interconnessi. Questo episodio ha messo in evidenza la vulnerabilità sistemica del settore, che è sempre più esposto a minacce sofisticate.

Per contrastare queste vulnerabilità[6], l’ACN suggerisce raccomandazioni mirate, tra cui la necessità di implementare pratiche di sicurezza robuste e una governance centralizzata della cybersecurity. Un approccio programmatico, basato sulla gestione del rischio e sulla separazione dei ruoli, è essenziale per rafforzare la sicurezza dei sistemi sanitari e prevenire gli incidenti informatici.

Il CSIRT Italia, il team di risposta agli incidenti cibernetici, è un punto di riferimento fondamentale nel supportare le strutture sanitarie colpite, analizzando gli eventi cyber e fornendo assistenza per il ripristino delle operazioni e per il miglioramento della sicurezza. In determinati casi anche operando direttamente presso le strutture vittime di tali attacchi.

Inoltre, l’analisi delle vulnerabilità nei dispositivi e nei servizi del settore ha evidenziato l’importanza di monitorare costantemente la “superficie di attacco esposta”[7], ovvero le configurazioni errate e le vulnerabilità dei dispositivi collegati a Internet. Soluzioni tempestive e mirate, come l’aggiornamento del software[8] e la corretta configurazione dei sistemi[9], sono cruciali per ridurre i rischi.

Le raccomandazioni dell’ACN puntano su un miglioramento delle pratiche di sicurezza, con una particolare attenzione alla formazione del personale e all’adozione di tecnologie avanzate per contrastare le minacce informatiche che continuano ad aumentare nel settore sanitario.

Il settore sanitario, peraltro, è stato anch’esso destinatario, ai fini del rafforzamento della postura di cybersicurezza di Regioni e Province Autonome, di risorse PNRR e nazionali per circa 150 milioni di euro, erogati da ACN sulla base di progetti di implementazione presentati dagli enti.

Adempimenti a carico delle aziende sanitarie in qualità di titolari del trattamento

  1. la necessità di implementare pratiche di sicurezza robuste;
  2. una governance centralizzata della cybersecurity.
  3. un approccio programmatico, basato sulla:
    1. gestione del rischio:
    1.  separazione dei ruoli.
  4. l’aggiornamento del software;
  5. una corretta configurazione dei sistemi.

[1] Link: https://www.acn.gov.it/portale/w/sanita-nel-mirino-in-forte-aumento-gli-incidenti-informatici-nelle-strutture-italiane

[2] In dettaglio, esistono una serie di tecniche utilizzate negli attacchi informatici ed una grande varietà di modi di attuazione degli stessi verso individui o, su scala più ampia, verso istituzioni. Si dividono in due grandi categorie: gli attacchi sintattici e gli attacchi semantici: i primi sono diretti e consistono nella diffusione ed utilizzo di malware e di software malevolo in generale come virus, worm o trojan, i secondi invece sono indiretti e consistono nella modifica di informazioni corrette e nella diffusione di informazioni fasulle. La disseminazione di informazioni errate può essere utilizzata per coprire le proprie tracce o per impostare qualcuno nella direzione sbagliata facendogli credere che sia quella giusta. Altri esempi sono: l’attacco a dizionario e il metodo forza bruta hanno ad oggetto database di informazioni e password, mentre l’attacco man in the middle ha ad oggetto parti interessate nelle telecomunicazioni, mentre l’amplification attack si avvale del denial of service.  Link: https://it.wikipedia.org/wiki/Attacco_informatico

[3] Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano all’utente di pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo. Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250.000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente. CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità. link: https://it.wikipedia.org/wiki/Ransomware

[4] Malware (abbreviazione dell’inglese malicious software, lett.”software malevolo”), nella sicurezza informatica, indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un utente di un computer. Termine coniato nel 1990 da Yisrael Radai, precedentemente veniva chiamato virus per computer. Il malware non necessariamente è creato per arrecare danni tangibili ad un computer o un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall’utente anche per lunghi periodi di tempo (es. Regin malware). Oltre a carpire informazioni di nascosto, un malware può essere creato con l’intento di arrecare danni ad un sistema informatico, spesso tramite sabotaggio (es. Stuxnet), oppure può criptare i dati del computer della vittima, estorcendo denaro per la decriptazione (CryptoLocker). Malware è un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo, inclusi Virus informatici, Worm, Trojan, Ransomware, Spyware, Adware, Scareware, e altri programmi malevoli. Può assumere diverse forme, come Codice eseguibile, Script, e altro software. Il malware si diffonde principalmente inserendosi all’interno di file non malevoli. Link: https://it.wikipedia.org/wiki/Malware

[5] La compromissione tramite credenziali valide, nota anche come “credential stuffing”, avviene quando un aggressore utilizza credenziali di accesso valide (nome utente e password) ottenute in precedenza, spesso tramite attacchi di phishing, furto di dati o database di credenziali compromesse, per accedere ad un account o sistema senza autorizzazione. Questo metodo permette agli aggressori di aggirare le misure di sicurezza e accedere a sistemi o dati sensibili.

[6] Sviluppare strategie di sicurezza efficaci per il settore richiede l’identificazione accurata delle vulnerabilità nei servizi e dispositivi. Le vulnerabilità esposte possono rappresentare rischi di sicurezza per i sistemi informatici utilizzati nel settore sanitario, potenzialmente compromettendo la privacy dei dati dei pazienti e la sicurezza delle informazioni mediche. Pertanto, è fondamentale monitorare e affrontarle prontamente per garantire la sicurezza e l’integrità dei sistemi e delle informazioni. L’insieme dei dispositivi esposti su internet, delle loro vulnerabilità e delle loro errate configurazioni costituisce la “superficie di attacco esposta”, ovvero l’insieme di punti critici che offrono accessi ai potenziali attaccanti. Ovviamente, non tutte le criticità riscontrate hanno lo stesso livello di gravità. Ve ne sono alcune, con gravità alta, come quelle associate a vulnerabilità critiche che permettono ad un attaccante di assumere con facilità il controllo del servizio o del dispositivo esposto, mentre ve ne sono altre meno gravi che spesso sono solo errate configurazioni non direttamente sfruttabili da un attaccante, ma, comunque, indice di un servizio potenzialmente poco manutenuto e presidiato.

[7] La superficie di attacco(attack surface) di un sistema è quella parte del sistema stesso che può essere esposta ad accesso o a modifiche di utenti non autorizzati. Il termine viene utilizzato principalmente in informatica. Tanto maggiore è la superficie, tanto più il sistema è vulnerabile. In questo concetto vengono inclusi: gli input forniti da un utente i protocolli; le interfacce del sistema; i servizi (es. le porte di rete). Un approccio alla sicurezza informatica è di ridurre la superficie di attacco, rendendo il sistema o il software più difficile da attaccare. Questo approccio non è molto efficace nel limitare i danni che un attaccante può fare nel momento in cui trova una vulnerabilità, ma riduce comunque la possibilità di trovarne una. Link: https://it.wikipedia.org/wiki/Superficie_di_attacco#:~:text=La%20superficie%20di%20attacco%20(attack,pi%C3%B9%20il%20sistema%20%C3%A8%20vulnerabile.

[8] Un aggiornamento software (in lingua inglese upgrade, update), in informatica, si riferisce al processo di sostituzione di un componente software di un sistema informatico con un componente di uguale funzione più recente. In riferimento al programma si utilizza il termine patch. Upgrade e Update non sono la stessa cosa. La sostituzione ha solitamente lo scopo di risolvere dei difetti riscontrati nel precedente componente, migliorarne le prestazioni oppure aggiungere nuove funzioni. Un esempio di aggiornamento hardware è l’aggiunta di memoria RAM in un personal computer oppure l’aggiunta di nodi in un cluster di calcolo. Un esempio di aggiornamento software è l’installazione di una nuova versione di un programma.Nel caso di aggiornamenti software spesso non è richiesta una nuova installazione dell’intero programma, ma di una patch contenente solo le differenze rispetto alla versione precedente. Questo espediente permette di contenere le dimensioni in byte dell’aggiornamento, facilitandone il trasferimento/trasmissione attraverso la Rete Internet con minore occupazione di banda. Link: https://it.wikipedia.org/wiki/Aggiornamento_software

[9] Con configurazione, in informatica, s’intende la modifica delle caratteristiche funzionali di un software (ad es. di programmi o di un sistema operativo o di una risorsa hardware o di una rete informatica) una volta installato sul computer, impostando opportuni parametri sulla propria utenza (istanza). Un caso particolare di configurazione è l’hardening, ovvero la configurazione per la sicurezza del sistema. Una configurazione non è altro che una collezione (set) di valori di impostazione di parametri relativi ad una applicazione, servizio, sistema, asset. Esempio molto banale: il driver (marca, modello e versione) della periferica audio e il valore impostato del volume dell’uscita dell’altoparlante della detta periferica di uno smartphone (marca, modello e versione sistema operativo) è una configurazione (che può essere riversata su un file di configurazione). Dato un set di parametri, i valori specifici di una determinata configurazione formano una particolare istanza. Una schermata che ritrae l’istanza è un modo per riprodurre la configurazione (in questo caso però occorrerà eseguire le impostazioni a mano in caso di necessità). Il concetto di configurazione si applica molto anche in ambito sistemistico al software presente su macchine hardware, ad esempio sui vari apparati di rete, server, firewall, ecc. di un’infrastruttura di rete telematica, di cui rappresenta, assieme alla fase di installazione e monitoraggio, l’operazione tipica di gestione svolta da uno o più amministratori di sistema e amministratori di rete (detti “sistemisti”). Oltre che le funzioni, la configurazione può riguardare le prestazioni, la sicurezza e l’esperienza utente. Link: https://it.wikipedia.org/wiki/Configurazione_(informatica)

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

istruzione scolastica
cybersicurezza

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

sicurezza informatica
Le misure di sicurezza informatica declinata attraverso le prescrizioni contenute nel Piano triennale AGID per l’informatica nella P.A., 2024-2026.
25 Marzo 2025
anonimizzazione
I metodi di anonimizzazione alla prova dei sistemi LLL
28 Febbraio 2025
software gestionale
Il Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale.
7 Marzo 2025

Start typing and press Enter to search