Esami, visite e cartelle sanitarie bloccate: da un giorno all’altro, a dicembre del 2021, l’Ulss 6 Euganea, che raccoglie i sei principali ospedali del padovano, ha subito un severo attacco informatico. Un ransomware – software malevolo che cifra i dati e chiede un riscatto per dare la chiave di decrittazione – aveva colpito i sistemi ospedalieri interrompendone l’operatività e obbligando l’azienda a uno sforzo mastodontico per ripristinarli nel minor tempo possibile. 

Dopo l’attacco, la pubblicazione dei dati

“L’Ulss 6 Euganea informa che nella notte si è verificato un attacco hacker, che ha comportato il blocco della maggior parte dei server. Stiamo intervenendo con la massima celerità con tutti i nostri tecnici informatici al fine di ripristinare il prima possibile i servizi”. Con un post sui principali social network, il 3 dicembre 2021, l’azienda pubblica padovana informava i suoi utenti dell’attacco informatico. A registrare problemi per più tempo erano i poli di Pronto soccorso, il Cup, le Radiologie, il Laboratorio Analisi, i Punti prelievi. In alcuni casi si doveva ricorrere a registrazioni manuali su supporto cartaceo, con rallentamento delle attività.
Seguiva una sequela di comunicati, a cadenza regolare, che davano conto delle operazioni di ripristino (gestite da “una task force di oltre sessanta tecnici informatici aziendali e collaboratori esterni”), della chiara indisponibilità a pagare un riscatto e persino della minaccia ricevuta da parte dei cybercriminali di pubblicare online tutti i dati sottratti all’azienda. L’epilogo arrivava con la pubblicazione online, da parte del gruppo criminale, delle informazioni sottratte: un archivio di oltre 9mila file, contenente per lo più documenti di carattere amministrativo e gestionale, come procedure, verbali, regolamenti e disposizioni interne, ma anche file con dati personali e cartelle sanitarie provenienti dalla struttura ospedaliera di Schiavonia, secondo quanto confermato dalla stessa Ulss.
“Non possiamo abbassare la guardia — aveva dichiarato il direttore generale dell’Ulss 6 Euganea, Paolo Fortuna, alla stampa — perché, in estrema trasparenza, al momento non sappiamo con certezza se i criminali siano in possesso di altre informazioni, il loro numero e tipologia ma da parte nostra continueremo a garantire la massima assistenza ai nostri utenti”.  Nel mentre gli operatori dell’Ulss 6 Euganea contattavano telefonicamente gli utenti coinvolti, tutti dell’ospedale di Schiavonia.

Dagli ospedali alle Regioni

Niente di nuovo sotto il sole. Sempre più spesso le aziende sanitarie, così come la pubblica amministrazione in generale, sono vittime di attacchi informatici di intensità e portata variabile, il cui scopo finale è quasi sempre lo stesso: pretendere che il bersaglio paghi un riscatto. Attacchi simili se ne registrano diversi, in Italia e nel mondo, e tutti sono accomunati dalle drammatiche conseguenze che può avere l’interruzione dell’operatività di un ospedale. A settembre del 2021 era il turno del San Giovanni, a Roma, dove i medici si sono trovati nell’impossibilità di leggere le cartelle cliniche, fare referti o chiedere esami in laboratorio. La cronaca riferisce di cartelle, richieste di esami ematici o di trasfusioni interamente trascritte a mano su fogli di carta e poi trasmesse con i cellulari tramite Whatsapp. Ancora: pochi mesi prima, in agosto, la vittima è stata Regione Lazio, che si è vista colpita nel cuore dei servizi sanitari regionali, con un impatto, tra le altre cose, su tutti i servizi informatici per la gestione vaccinazione e tamponi Covid, il servizio referti online, le prenotazioni di esami, la piattaforma Cup regionale, il portale delle visite specialistiche, quello per la rendicontazione mensile dei farmaci. In pratica, ha dichiarato a Repubblica Sandro Petrolati, cardiologo del San Camillo, “ad agosto non si riusciva a fare niente”.

Procedure e dati saltati: la testimonianza di un medico

Un copione che si è ripetuto più volte negli ultimi mesi nella sanità italiana.
“All’improvviso abbiamo dovuto modificare ogni procedura, inviare informazioni sensibili tramite messaggi e camminare per ore da una stanza all’altra per cercare documenti e analisi dei pazienti”, racconta a Guerre di Rete il dottor Pieri (nome di fantasia), medico di un importante nosocomio del nord Italia, vittima di un attacco informatico. “Abbiamo appreso dell’attacco informatico dai giornali online perché a noi avevano solamente spiegato che c’erano stati dei problemi tecnici”, commenta ancora il medico. Come molti suoi colleghi, ricorda i giorni in cui, pochi mesi fa, degli attaccanti informatici hanno colpito l’infrastruttura sanitaria per la quale lavora, impiegando un ransomware: “Per alcuni giorni non ha funzionato nulla, ma anche dopo che i sistemi sono stati ripristinati sono certo che alcuni dati siano andati perduti, dal momento che li abbiamo dovuti richiedere ai laboratori di analisi. Così per giorni, durante le visite, ho dovuto lasciare soli i pazienti per andare a vederne i dati sanitari o le radiografie, una perdita di tempo che ci ha messi in grave difficoltà davanti agli utenti”.

L’allerta Usa agli ospedali: preparatevi ad attacchi

Gli ospedali statunitensi devono prepararsi al rischio di possibili attacchi o da parte del governo russo, o da parte di gruppi cybercriminali residenti in Russia, o da parte di entrambi, come conseguenza dell’invasione dell’Ucraina e delle contromisure occidentali prese contro Mosca. Questo il senso di una serie di alert emessi nelle settimane scorse negli Stati Uniti, riferisce la rivista specializzata Medscape. In particolare l’associazione degli ospedali americani (American Hospital Association o AHA) ha pubblicato un avviso in cui paventa tre scenari: il rischio che ospedali e sistemi sanitari siano presi di mira direttamente da attori cyber sponsorizzati dallo Stato; il rischio che possano essere vittima casuale, ovvero danno collaterale di un attacco malware che inavvertitamente arrivi a reti ed entità sanitarie americane; il rischio che un cyberattacco danneggi il servizio di qualche fornitore critico degli ospedali. Secondo John Riggi, consigliere nazionale per la cybersicurezza di AHA, ci sarebbero evidenze di attaccanti russi intenti a cercare vulnerabilità nei sistemi IT delle strutture sanitarie americane.
La preoccupazione è soprattutto per bande criminali come il Conti Group (su cui Guerre di Rete ha scritto un articolo dedicato proprio al funzionamento interno della gang). Ancora nel maggio 2021 l’Fbi riteneva questo gruppo responsabile di 400 attacchi a livello globale, e avvertiva le strutture sanitarie del rischio che un cyberattacco alle reti usate dai servizi di emergenza potesse rallentare o ritardare le risposte da parte del personale, mettendo in pericolo il pubblico. Proprio nel maggio 2021 il sistema sanitario irlandese era stato duramente colpito dal Conti Group (vedi il box successivo in questo articolo). L’ultimo alert Fbi contro il rischio che dei ransomware mettano in difficoltà servizi pubblici, con possibili impatti per la sicurezza fisica, è del 31 marzo 2022.

Vulnerabilità e poca formazione

A volte sono sufficienti un server esposto erroneamente in rete o una mail con un allegato infetto per aprire un varco all’intrusione. E sebbene sia raro conoscere l’esatto vettore di ogni attacco — informazioni riservate che raramente trapelano sulla stampa — anche Pieri riconosce che “nell’utilizzo dei computer, spesso i medici non sono molto disciplinati. Soprattutto per un’esigenza professionale o durante una pausa, può capitare di voler scaricare file per molteplici ragioni, per aggiornamento personale o per conoscere le caratteristiche di un farmaco”, continua il medico. “In ogni caso, adesso i sistemi che utilizziamo hanno ogni tipo di blocco, anche se quella che manca davvero è la formazione del personale sui temi della cybersicurezza”.

Fisionomia di un attacco

Ma cosa succede in un ospedale, quando i suoi sistemi finiscono nelle mire di un attaccante? “Trovato un punto d’accesso, gli attaccanti si muovono all’interno dell’infrastruttura cercando di estendere il proprio controllo su tutti i sistemi connessi”, spiega a Guerre di Rete Stefano Fratepietro, Ceo di un’azienda specializzata in incident response e che ha operato anche nel settore sanitario. “A questo punto i sistemi e i servizi erogati possono essere interrotti per due ragioni: o perché gli attaccanti hanno iniziato a cifrare i database cruciali per l’erogazione dei servizi o invece perché gli stessi amministratori di sistema hanno rilevato delle anomalie e decidono di spegnere tutto per interrompere l’espansione degli attori malevoli. Anche perché subito è il panico totale, e anche se probabilmente da qualche parte c’è scritto come comportarsi, nessuno segue mai le indicazioni. In tal senso, funziona come in una normale azienda, con i criminali informatici che cercano di raggiungere gli apici dell’infrastruttura e l’IT che cerca un modo per impedirglielo”.
La complicazione che si aggiunge, in una struttura sanitaria, è che i compiti svolti sono indifferibili e possono avere un impatto sulla salute delle persone.

Doppia estorsione

Il primo passo, in eventi di questo tipo, è di individuare il punto di partenza, la vulnerabilità, la porta dalla quale sono entrati gli attaccanti. Agire prima di aver spuntato questa casella può voler dire un ritorno di fiamma, con i criminali informatici che tornano nuovamente all’attacco senza che nessuno sappia come estrometterli dall’infrastruttura. 
Ad aumentare la pressione, in attacchi di tipo ransomware, sono le cosiddette double extortion, doppie estorsioni, nelle quali l’attaccante non si limita a cifrare i dati dell’azienda sanitaria, rendendoli indisponibili ai legittimi proprietari, ma ne sottrae anche quanti più possibile. Torneranno utili per ricattare l’ospedale, minacciando di divulgare tutto online, se non vengono soddisfatte le loro richieste.

Irlanda: cosa è successo al suo sistema sanitario sotto attacco

Nel maggio 2021 il gruppo Conti ha attaccato con un ransomware il sistema sanitario irlandese (HSE) provocando settimane di disservizi negli ospedali del Paese. Come conseguenza dell’attacco sono stati spenti 85mila computer, e decine di servizi ambulatoriali sono stati cancellati; il portale delle vaccinazioni Covid-19 è andato offline, e sono stati cancellati appuntamenti in radiologia, così come hanno subito conseguenze reparti pediatrici e maternità.
La necessità di correre ai ripari, dopo l’incidente, ha portato a staccare una serie di sistemi IT e “questo ha immediatamente comportato per chi lavora nella sanità la perdita di accesso a tutti i sistemi IT gestiti dall’HSE (il sistema sanitario irlandese, ndr), inclusi i sistemi con le informazioni sui pazienti, sulle cure cliniche e i laboratori. Anche i sistemi non clinici come quelli finanziari, di pagamento e procurement sono andati persi”, si legge nell’analisi post-incidente commissionata dalla stessa sanità irlandese. Che continua: “Si sono verificati disservizi importanti e molti professionisti della sanità hanno dovuto ricorrere a carta e penna per continuare a trattare i pazienti. Severi disservizi anche per le prestazioni sanitarie nel Paese con conseguenze reali e immediate per migliaia di persone che hanno bisogno di quelle prestazioni ogni giorno. I normali canali di comunicazione, sia al centro nazionale dell’HSE sia nei servizi operativi, sono andati persi, inclusa l’email e le linee telefoniche. Lo staff ha fatto ricorso a telefoni cellulari e analogici; fax; e incontri faccia a faccia”.
I danni sarebbero potuti essere anche maggiori se gli attaccanti non avessero rilasciato la chiave di decrittazione, che “ha permesso di accelerare il processo di ripristino”, scrive ancora l’analisi post-incidente.

La sottovalutazione del rischio

Tuttavia, non è facile misurare questi eventi, per i quali le stesse vittime spesso si trincerano dietro il silenzio e i “no comment” di rito, che rendono incomprensibile la gravità del danno agli utenti, oltreché più difficile mappare la reale situazione dei sistemi ospedalieri nazionali. Certo è che le infrastrutture sanitarie sono costantemente esposte al rischio di un attacco informatico, che poi può concretizzarsi nella richiesta di un riscatto o nella rivendita dei dati sul mercato nero. 
Il problema principale è “la costante sottovalutazione del rischio, che limita la capacità di investire nel tempo e di adottare piani pluriennali per strutturare la sicurezza informatica”, spiega a Guerre di Rete Paolo Caccia, presidente onorario dell’Associazione italiana sistemi informativi in sanità (Aisis). “Budget limitati comportano che chi si occupa di sicurezza si concentri su esigenze macroscopiche, senza poter davvero agire sulle vulnerabilità reali che mettono in pericolo la sicurezza dei sistemi ospedalieri”.
Prima tra tutte, secondo l’esperto, è quella umana, fatta di procedure, tempi stretti e disattenzione, che spesso possono far sì che un dipendente installi in modo inconsapevole un malware sul proprio computer, fornendo l’innesco per la diffusione di un attacco su larga scala. “Malgrado l’attenzione crescente sul tema, osserviamo che ancora troppi errori vengono fatti”, precisa Caccia. “Credo che investire in formazione, oltre che in tecnologie, sia cruciale e indispensabile”. 
Ma proprio gli investimenti sono un punto centrale del problema: “Negli ultimi anni la spesa media per l’innovazione digitale in Italia si è attestata intorno all’1,3% del budget dell’azienda ospedaliera, contro il 2% europeo”, prosegue Caccia, e pure queste risorse devono essere contese tra gli investimenti per la sicurezza e le innovazioni dei servizi al cittadino. “Dovendo scegliere basandosi su risorse limitate, facilmente il responsabile dell’innovazione si orienterà verso servizi come la digitalizzazione dei fascicoli sanitari piuttosto che la sicurezza dei sistemi”. 

Il valore dei dati e quello dei ricatti

Così l’intensità e l’entità degli attacchi sembra crescere, anziché diminuire, sulla spinta del valore economico dei dati raccolti e dei riscatti potenzialmente ottenibili da una struttura ospedaliera al collasso perché i computer non funzionano più. Non un mondo così diverso dal 2013, quando il Financial Times lanciava online il “misurometro” del valore dei dati sul dark web, nel quale si stimava che una cartella clinica potesse valere fino a 25 dollari.
“Ma il sistema statunitense è molto diverso dal nostro, soprattutto perché in esso convivono le strutture sanitarie e quelle assicurative, per le quali i dati hanno un valore incommensurabile”, spiega a Guerre di Rete Stefano Zanero, professore associato in Computer Security al Politecnico di Milano. “È comprensibile dunque come gli attacchi orientati verso Paesi nei quali la sanità è maggiormente partecipata dal settore pubblico, gli attaccanti ricorrano al ricatto, per mettere sotto pressione gli ospedali e spingerli a pagare”.

Attacchi come servizio

Così gli attacchi aumentano, sia a livello italiano o europeo, quantomeno nella percezione. Perché è difficile parlare di dati precisi, non essendoci un sistema organizzato di monitoraggio di eventi cibernetici nella sanità. 
“Le minacce maggiori arrivano dai gruppi di cyber criminali, che soprattutto durante la pandemia (di Covid19, ndr) hanno trovato terreno fertile nel fare pressione sui sistemi già in grave difficoltà degli ospedali”, aggiunge Zanero. “A questo si aggiunge la pratica sempre più diffusa di compiere attacchi as a service”, nei quali gruppi di cybercriminali vendono la loro conoscenza di una vulnerabilità in un sistema ad altri attaccanti, i quali trovano la strada spianata per inoculare il loro ransomware. 
A risolvere il problema, almeno nella teoria, sarebbero dovute intervenire misure come la Direttiva Nis (Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione) e il Regolamento generale dell’Ue sulla protezione dei dati (Gdpr), con i quali negli ultimi sette anni si è cercato di innalzare gli standard europei in materia di sicurezza informatica. “Ma gli stessi regolamenti, se applicati in modo asettico e unicamente per ragioni di compliance, possono poco di fronte a una vulnerabilità incustodita o al click inconsapevole di un dipendente su un allegato apparentemente legittimo”, conclude Zanero.