La minaccia cibernetica al settore sanitario. Relazione di ACN.

Con la presente si partecipa che l’Agenzia per la Cybersicurezza nazionale (di seguito, ACN) ha pubblicato il documento rubricato: la minaccia cibernetica al settore sanitario. Analisi e raccomandazioni, Gennaio 2022 – Settembre 2024.[1]

Si espongono, in estrema sintesi rinviando alla lettura del testo per un eventuale approfondimento, le risultanze cui è giunta ACN per ciascuna tipologia di minaccia, così come le vulnerabilità e le cattive pratiche.

Le principali minacce al sistema sanitario sono di quattro tipologie, precisamente:

• Ransomware. Tipologia di minaccia che ha lo scopo di cifrare i dati del bene informatico target in modo da comprometterne la disponibilità e l’integrità. Gli attacchi ransomware, per i quali è intervenuta ACN, hanno avuto i seguenti impatti: a.1) disponibilità dei servizi, a causa della cifratura dei file; a.2) altri impatti sulle infrastrutture IT, quali: esfiltrazione dei dati (riservatezza), modifiche ai dati (perdita della  integrità) e cancellazioni di file (perdita della disponibilità).
• Information disclosure. Tipologia di minaccia cyber in cui si è verificata una violazione di sicurezza dei dati/informazioni personali o proprietarie. L’information disclosure, la cui natura può essere sia intenzionale sia accidentale, può avvenire mediante la divulgazione non autorizzata, la perdita, la modifica o la distruzione dei dati.
• Sfruttamento vulnerabilità. Gli attacchi svolti mediante l’utilizzo degli errori e difetti involontariamente presenti nel software (di seguito, SW), cioè le c.d. vulnerabilità. I cyber criminali possono sfruttare vulnerabilità già note nella comunità ma non ancora sanate dalle vittime, oppure vulnerabilità di tipo “O-day”, tipicamente scoperte dagli attaccanti e non ancora note al produttore del SW, per le quali quindi non ancora esiste un rimedio.
• Tentativi di intrusione tramite credenziali. Tipologia di eventi cyber che utilizzano come vettore d’attacco un account valido e illecitamente le autorizzazioni dell’utenza interessata per compiere attività malevole come ad es. ottenere privilegi superiori, attivare persistenza, sottrarre illecitamente informazioni o eseguire codice non autorizzato. Questo tipo di evento può coinvolgere sia utenze privilegiate sia non.

Partendo dall’assunto che lo sviluppo di strategie di sicurezza efficaci per il settore sanitario richiede l’identificazione delle vulnerabilità, ACN ha classificato le criticità rilevate in tre categorie:

• Dispositivi e servizi esposti incautamente; trattasi, in buona sostanza, di servizi e dispositivi che generalmente non dovrebbero essere esposti pubblicamente su Internet. Questa criticità va mitigata evitando di esporre tali servizi su Internet.
• Servizi con vulnerabilità o obsoleti; si fa riferimento a servizi che presentano vulnerabilità note o che usano versioni di SW non più supportate o End of Life. Questa criticità va mitigata ricorrendo ad una policy di patch management.
• Configurazioni errate o che non rispettano best practice. ACN si riferisce a servizi che presentano delle configurazioni non in linea con le best practice del settore o errate, che potrebbero comprometterne la sicurezza. Questa criticità va mitigata modificando le configurazioni del servizio.

A fronte delle minacce sopra esposte, ACN ha rilevato una serie di cattive pratiche (bad practice) che – qualora in essere – possono favorire, se non causare, gli attacchi informatici alle infrastrutture digitali. Le bad practice individuate sono le seguenti:

• Gestione decentralizzata di sistemi digitali: Unità Operative all’interno della stessa struttura sanitaria hanno la possibilità di approvvigionamento di HW, SW e servizi IT da società terze in maniera autonoma senza il coinvolgimento della UOC Sistemi Informativi e senza una politica comune che definisca processi, regole, strutture e strumenti che guidano le decisioni e l’orientamento strategico delle singole decisioni.
• Obsolescenza dei dispositivi sanitari: i device elettromedicali hanno una vita più lunga rispetto alle tecnologie di sicurezza e IT in generale; per cui apparati obsoleti dal punto di vista informatico, non più aggiornabili e/o non più supportati dai produttori, rimangono in uso perché la manutenzione evolutiva è ritenuta troppo onerosa.
• Carenza quantitativa e qualitativa di personale dedicato alla cybersicurezza: non è presente personale dedicato alla sicurezza informatica, la quale viene quindi gestita meritoriamente dalla UOC S.I. al meglio delle proprie possibilità.

 A seguito degli incidenti rilevati, ACN ha individuato una serie di cattive pratiche, quali:

• Assenza di autenticazione multifattore sulle VPN;
• Utilizzo di protocolli di autenticazione e cifratura obsoleti;
• Password policy inadeguata;
• Errata gestione dei privilegi utente;
• Assenza di inventario dei servizi critici;
• Prodotti non aggiornati;
• Errata gestione di Microsoft Active directory; con riferimento al servizio di archiviazione delle informazioni relative agli oggetti sulla rete.
• Errata gestione dei log;
• Errata gestione dei back up;
• Rete non segmentata;
• Mancanza di procedure di Incident responce;
• Assenza di endpoint detection and response;

Sulla scorta di quanto sopra esposto si suggerisce al titolare del trattamento di predisporre una check list basata sulle bad practice e sulle relative contromisure riportate da ACN nel citato Documento, a pag. 23, inserendo un’ulteriore voce relativa ai tempi di adeguamento; da utilizzare in fase di rilevazione delle minacce e delle vulnerabilità.

[1]https://www.acn.gov.it/portale/documents/20119/551838/acn_la+minaccia+cyber+al+settore+sanitario_clear.pdf/0f72c9c8-58e0-fcb0-7367-0999dced74e8?t=1726754835723 .