La minaccia del cybercrime nel settore sanitario: come difendersi. Il caso ASL 1 Abruzzo

L’eredità di una crisi è sempre una nuova opportunità, purché la si sappia intravedere e cogliere. Lo sa bene Riccardo Urbani, esperto tecnico in materia di digitalizzazione, innovazione tecnologica e cybersicurezza del Presidente della Regione Abruzzo, alla guida della task force dell’emergenza hackeraggio in occasione dell’attacco cyber alla ASL 1 Abruzzo, Avezzano Sulmona L’Aquila.

Cronaca di un attacco

L’attacco alla sicurezza si è verificato il 3 maggio 2023 e, rivendicato dalla gang ransomware Monti, ha causato la totale interruzione delle attività amministrativo e sanitarie della ASL e un’ingente perdita di dati.
L’impianto difensivo dell’ente era conforme al framework dell’ACN, ma: “Si è trattato di un hackeraggio anomalo – racconta Urbani – perché sono stati cifrati tutti i server, contrariamente a quanto avviene di solito.  Fortunatamente siamo intervenuti subito e abbiamo salvato molti dati, perché erano stati fatti i backup”.

“Nicola Mugnato di Gyala e i suoi collaboratori – prosegue Urbani – hanno avuto un ruolo predominante nella gestione dell’emergenza, nell’attività di recupero e nella messa in sicurezza dell’amministrazione”.

Le migliori competenze al servizio della cybersecurity

Nei giorni successivi al 3 maggio 2023 sono stati rilevati altri tentativi di hackeraggio in altre ASL abruzzesi. “I tentativi sono stati respinti – ci racconta Urbani – anche grazie a tutte le persone di altissima competenza con cui abbiamo fatto squadra. Penso a Luciano Cococcia, dirigente del Servizio Informatico Regione Abruzzo, a Camillo Odio, direttore del Dipartimento Informatico settore Sanità, a Marco Marra, coordinatore delle attività di intelligence. Tutti insieme abbiamo creato un design architetturale diverso per le ASL, che ha innalzato i canoni di sicurezza dei sistemi”.

Oggi le Aziende Sanitarie Locali d’Abruzzo sono entrate in una nuova era, una fase storica in cui sono sicuramente più resilienti rispetto al passato: “Stiamo adottando modelli organizzativi che corrispondono al framework dell’ACN e abbiamo migrato tutti i sistemi delle ASL abruzzesi sul Cloud nazionale. Anzi, va detto che la ASL 1 è stata la prima amministrazione in assoluto a essere migrata sul PSN”, specifica Urbani.

Grazie al lavoro intenso della task force, l’ospedale San Salvatore di L’Aquila è tornato del tutto operativo dopo 25 giorni.

Lo scenario di rischio informatico per la Sanità

I dati non sono confortanti: il settore sanitario è nel mirino del cybercrime ed è tra i più colpiti all’interno della PA. Attrae la possibilità di rivendere nel dark web i dati personali e sensibili.
Secondo l’ultimo rapporto dell’Associazione italiana di cybersecurity – Clusit – in Italia, nel 2022, il 12,2% degli attacchi ha colpito la Sanità, registrando un incremento del +16% rispetto all’anno precedente.

“Purtroppo, c’è scarsa cultura in relazione alla sicurezza informatica – commenta Urbani -. Di frequente gli utenti invalidano le contromisure messe in atto dell’organizzazione sanitaria per la poca consapevolezza che hanno rispetto alle gravi conseguenze delle loro azioni. Pertanto, è fondamentale puntare sulla formazione e sulla stesura di corrette policy da utilizzare all’interno delle amministrazioni”.

Certamente, però, queste attività non sono sufficienti. Le minacce informatiche sono in continua evoluzione, dunque, oltre alle misure comportamentali e di formazione, la strategia di contrasto al cyber crime in Sanità necessita di approcci nuovi, originali.

Dal canto suo e anche alla luce di quanto accaduto in Abruzzo, ad agosto l’ACN ha pubblicato l’aggiornamento delle “Linee guida per la realizzazione di CSIRT”, che si rivolgono a quelle organizzazioni che intendono istituire o potenziare un Cyber Security Incident Response Team (CSIRT) seguendo le migliori prassi e standard internazionali”, specifica il documento.

Proteggere l’ingegneria clinica

“In Abruzzo, abbiamo avviato alcuni progetti sperimentali che mirano a rafforzare ulteriormente il perimetro degli enti sanitari” anticipa Urbani.

In particolare, l’esperto ritiene che la vera scommessa per la Sanità non sia alzare esclusivamente muri di protezione sulle reti e sulle LAN, ma proteggere l’ingegneria clinica, cioè tutti gli apparati elettromedicali. “È da lì che i criminali informatici entrano nei sistemi dell’organizzazione sanitaria, nel 60-70% delle volte. Ormai lo abbiamo capito e vogliamo essere i primi in Italia a centrare questo obiettivo. Insieme ad alcuni partner, tra i quali Gyala, abbiamo iniziato a progettare una Poc presso una primaria realtà sanitaria regionale, puntando  a rendere impenetrabili i macchinari per esami come Tac e risonanze magnetiche, in tutte le strutture sanitarie della regione, nel più breve tempo possibile”, dichiara.

Il POC per proteggere gli apparati elettromedicali

Gyala vanta una grande esperienza in Cyber Protection di infrastrutture critiche, avendo sviluppato soluzioni in partnership con diverse unità del Ministero della Difesa e con i principali System Integrator nazionali.

Tra cifre distintive dell’azienda, vi è proprio la realizzazione di un POC (Proof of concept) per la difesa delle apparecchiature elettromedicali, realizzato attraverso l’estensione del sistema di cybersecurity Agger.

Il tool Agger è in grado di monitorare in forma sia attiva che passiva gli apparati OT, tra i quali gli elettromedicali, e di ridurre al minimo i tempi di reazione dell’organizzazione sanitaria.

In dettaglio, Agger identifica l’attacco istantaneamente e reagisce in tempo zero, bloccandolo e minimizzando l’impatto sui servizi erogati dalle apparecchiature sanitarie.

“Abbiamo la certezza, invece, che all’ASL 1 il cybercrime ha colpito almeno venti giorni prima del fatidico 3 maggio, riuscendo a non farsi scoprire. Grazie alla ingegnerizzazione in corso, gli attacchi non potranno più rimanere nell’ombra e dare esiti tanto drammatici”, conclude Urbani.