Anche la sanità presa di mira da hacker, cybersecurity in prima linea
Dagli hacker in finta fila al pronto soccorso per accedere alle reti degli ospedali alle chiavette abbandonate appositamente alla reception. La minaccia digitale può arrivare anche in ospedali e strutture sanitarie e, spesso, in presenza. Uno dei metodi più usati è che un membro di un gruppo cybercrime entri in un ospedale per mettersi in coda per un esame al poliambulatorio (che naturalmente non deve fare) e individui facilmente un punto rete non custodito come, ad esempio, un armadio di cablaggio. Qui, attraverso dispositivi per lo sniffing dei dati, vengono ottenute le password, spesso sono in chiaro proprio perché l'ospedale utilizza applicativi antiquati e non dotati di crittografia.
Cynet, società israeliana fondata nel 2015, ha messo a punto un sistema di automatizzazione il cui punto di forza è la caccia ai ransomware proprio nelle prime fasi dello sviluppo di una minaccia. Una volta riscontrato che le attività anomale non sono falsi positivi, Cynet trova la firma dell'attaccante, individuale macchine su cui ha messo le proprie credenziali e avvia un'attività di rimedio con il recuperare i dati esfiltrati. Il fondatore di Cynet è Eyal Gruner, che ha una storia particolare: a 15 anni ha hackerato la sua banca, Bank Leumi. Poi si è unito al team di sicurezza informatica della banca per un anno, prima di passare un altro anno all'età di 16 anni a lavorare presso l'ex Aladdin Knowledge Systems. Ha fondato BugSec nel 2005. È stato inserito nella Hall of Fame di Google con un Google Security Reward per aver identificato e segnalato vulnerabilità.
Anche il dilagare della pandemia ha dato una spinta ai criminali informatici. Lo abbiamo visto in Italia con l’attacco alla piattaforma per le prenotazioni digitali della Regione Lazio. Non solo. Nel Dark Web, alcune piattaforme mettono a disposizione le dosi di vaccino Covid-19 di diverse case farmaceutiche, tra cui Pfizer-Biontech e Sputnik, naturalmente a prezzi da borsa nera.
Nello specifico, 800 fiale di Pfizer-Biontech vengono vendute a 19.000 euro (in sconto da 34.000) e 1.000 dosi di Sputnik a 6.500 euro (in sconto da 8.000). Insieme ai vaccini vengono spedite le istruzioni dettagliate per l’inoculazione, i componenti, i contenuti dei trial clinici e il bugiardino con gli effetti indesiderati. I venditori sono recensiti con average score molto alti (“excellent” e “very good”), forse anche per via della loro disponibilità: non è difficile contattarli via mail, WhatsApp o Telegram.
Ma il punto più importante da difendere anche in sanità sono le banche dati. CybergOn, business unit di Elmec Informatica dedicata alla cyber security, ha evidenziato un tema caldo per la protezione di aziende del settore healthcare. Possiamo definirlo un trade off: da un lato, la strategia aziendale che richiede di non esporre in alcun modo i dati sensibili (dai più critici come ricerche e brevetti, alle informazioni aziendali e ai dati di clienti e dipendenti); dall’altro lato, la necessità di pianificare una strategia di protezione dell’azienda, appunto, avendo visibilità di sistemi e flusso di dati che, in ottica Data Loss Protection, richiede il monitoraggio continuo. La difesa deve quindi essere coerente dal punto di vista della tecnologia per chi la eroga e della più alta strategia aziendale per chi la riceve.
Cosa deve fare allora l’esperto cui è affidata la protezione dei dati di un’azienda sanitari? Intanto, deve avere un’idea ben precisa del dominio critico da proteggere, deve pianificare la difesa e realizzarla. Si mantengono di fondamentale importanza le attività di vulnerability management: la capacità di intercettare l’emergere di nuove vulnerabilità di software che possono essere vettore di attacco. E poi l’awareness, ovvero la formazione: ci sono organizzazioni industriali in cui la formazione sui dipendenti ha giocato un ruolo fondamentale, trasformando l’utente inesperto da possibile punto di ingresso per un attaccante a ulteriore scudo di difesa, arrivando quindi a 'sventare' mail di phishing e tentativi di truffe. Infine, le attività continuative di Intelligence, che permettono di identificare nel minor tempo possibile l’esposizione di eventuali database aziendali nel web, sia esso clear (quello di uso quotidiano) o dark.