Wannacry | Così il Rapporto Clusit aveva previsto gli attacchi ransomware negli ospedali

Non è passato molto tempo dall’allarme provocato dall’infezione da Wannacry. Un allarme che ha provocato grande eco: forse perché tutto è iniziato nel sanitario, perché il malware si è diffuso tramite Windows e perché pretendeva il riscatto in Bitcoin. Si è trattato insomma di una truffa molto moderna e tutta digitale. Ma qui non vorrei tornare su Wannacry, ma vorrei fare il punto su come

il Rapporto Clusit avesse in qualche modo già previsto il suo diffondersi nella sezione Trend del 2017

  e di come lo stesso Modafferi (dirigente settore sanità presso l’Autorità Garante per la Protezione dei Dati Personali) l’avesse considerato nel sue recente parere pubblicato su Agenda Digitale.

credits pixabay.com

Attacchi ransomware negli ospedali

Come è noto, il 12 maggio 2017 Wannacry ha contagiato migliaia di computer, soprattutto all’interno di ospedali e strutture sanitarie. Molto si è detto di questa vicenda. Quello che non tutti sanno è che la sezione Trend 2017 del Rapporto Clusit aveva previsto attacchi ransomware negli ospedali. 

Il riscatto e la decriptazione

Intanto  quando si parla di ransom occorre sapere che con questo termine si intende riscatto. Sostanzialmente, Wannacry era un virus in grado di bloccare tutti i dati presenti sui computer attaccati mediante una sorta di criptazione da mantenersi fino al pagamento di un riscatto, dopo il quale veniva fornita la chiave di decriptazione. Questa tecnica era stata prevista già nel Rapporto Clusit 2016 presentato da Andrea Zapparoli Manzoni membro del direttivo di Clusit e tra gli autori dello stesso al Security Summit a Milano nel  Febbraio 2017. Nel rapporto Clusit si legge che il Cybercrime (con questo intendendosi i reati compiuti con l’obiettivo di estorcere denaro alle vittime, o di sottrarre informazioni per ricavarne denaro) è la causa del 72% degli attacchi verificatisi durante l’anno 2016 a livello globale, a dimostrazione che

il denaro è sempre la causa prevalente degli attacchi e la motivazione ultima degli attaccanti

Peraltro, tale trend appare costante dal 2011, quando tale tipologia di attacchi e reati si attestava al 36% del totale.

Furti di dati sanitari

Dall’attività di analisi svolta dal Data Breach Investigations Report team per la realizzazione del primo Verizon Protected Health Information Data Breach Report è risultato che 18 aziende su 20 sono state interessate da furti di dati sanitari. Oggetto dell’analisi sono state le violazioni confermate che hanno coinvolto oltre 392 milioni di record in 1.931 incidenti in 25 nazioni (incluse alcune europee, ad esempio la Germania). In modo abbastanza preoccupante, il  report ha rilevato che dal 2009 quasi la metà della popolazione degli Stati Uniti è stata impattata da violazioni sui dati sanitari. Inoltre, nei primi mesi del 2015 l’FBI ha emesso un warning per gli operatori sanitari evidenziando che il settore non sarebbe stato pronto ad affrontare eventuali cyber intrusioni.

Poche risorse

Considerato il livello delle minacce attuali ed il loro tasso di crescita, ed i danni già oggi sopportati dall’economia nel suo complesso, in particolare a causa del cybercrime e del cyberespionage (in Germania, da una recente ricerca, pari all’1,6% del PIL), appare francamente sconcertante che in Italia si spenda un solo euro in Information Security (e solo una frazione di questa cifra per attività di Cyber Security) per ogni 66 euro spesi in ICT (pari cioè al 1,5% della spesa in ICT), ovvero circa lo 0,05% del PIL.

Questo trend è evidentemente non solo irragionevole ma soprattutto insostenibile

Dati sanitari violati

Le violazioni dei dati sanitari si distinguono da altre tipologie di violazioni per vari motivi. Una prima area di differenza riguarda chi compie gli attacchi: il numero di attori esterni e interni è quasi uguale (solo 5 punti percentuali di scostamento), evidenziando così un importante livello di abuso da parte di insider  Spesso i dati delle cartelle cliniche sono sottratti con intenti malevoli, ma ciò che i criminali cercano davvero sono i dati sensibili personali (PII – Personable Identifiable Information) quali numeri di carte di credito e di previdenza sociale al fine di agevolare i reati finanziari e le frodi fiscali.

Perché gli ospedali

E’  evidente che lo scopo di un ospedale è quello di curare ma fino ad oggi, e gli attacchi recenti lo dimostrano, si è sottovalutata l’importanza della tecnologia digitale perché non sembrava direttamente e immediatamente connessa alla cura, anche se ormai l’informatica viene utilizzata in qualsiasi processo clinico o amministrativo (si pensi ai semplici referti on line, al fascicolo e al dossier elettronico, all’internet delle cose  sanitario con calcolo calorie, battito del cuore ecc. ai dispositivi medici in generali). L’utilizzo dell’informatica in sanità non è quasi mai avvenuto nel quadro di un piano di sviluppo organico del sistema informativo aziendale bensì come risposta a problemi contingenti e di nicchia. Tale approccio ha ridotto la capacità organizzativa a gestire grandi cambiamenti nel medio lungo periodo. Di conseguenza ha causato dei ritardi dello sviluppo dell’ICT, una scarsa propensione a percepire l’ICT come reale leva di cambiamento e a notevoli scoperture in merito alla sicurezza informatica

Il parere di Francesco Modafferi 

Francesco Modafferi, dirigente Dipartimento libertà pubbliche e sanità dell’Autorità Garante per la protezione dei dati personali, ha recentemente illustrato QUI con una articolata opinione personale come cambierà la Privacy in Sanità grazie al Nuovo Regolamento UE (679/2016). Secondo Modafferi

tutti gli operatori del sistema sanitario devono comprendere che esercitare la professione sanitaria oggi vuol dire non solo curare le persone, ma prendersi anche cura dei loro dati

Le due cose non sono più scindibili. In un sistema sanitario sempre più “dipendente” dai dati personali trattati attraverso molteplici strumenti (fascicolo sanitario elettronico, sistemi di diagnostica, telemedicina, dispositivi medici, ecc.) il pieno rispetto dei principi di protezione dati (tra i quali quelli di liceità, correttezza, trasparenza, esattezza, integrità e sicurezza) rappresenta ormai una condizione indispensabile per il corretto svolgimento della professione medica (come peraltro già espressamente previsto del Codice di deontologia medica).

Secondo Modafferi occorre investire nell’individuazione di soluzioni che consentano di rispettare, anche in questi nuovi scenari, i diritti delle persone, assicurandosi così che lo sviluppo tecnologico avvenga in un clima di fiducia da parte di tutti i soggetti coinvolti.

Il nuovo quadro europeo

Le soluzioni devono poi avere come riferimento il nuovo quadro regolatorio europeo contenuto nel Regolamento 2016/679/UE. Tra i nuovi principi in esso contenuti appare rilevante sempre secondo l’autore quello definito “privacy by design” che, nell’ottica di garantire uno sviluppo tecnologico più equilibrato, incoraggia espressamente gli sviluppatori di prodotti, servizi e applicazioni a tenere conto del diritto alla protezione dei dati sin dalla fase di progettazione. Tale concetto sarà efficace se gli strumenti (hardware e software) utilizzati per il trattamento dei dati personali sono concepiti, sin dall’origine, per un uso responsabile dei dati applicando il criterio della minimizzazione e tecniche di pseudonimizzazione degli stessi, riducendo così i rischi del trattamento e, conseguentemente, l’impatto sui diritti degli interessati.

Network and Information Security

Il 2016 ha costituito un anno decisivo per la Privacy, e ha rappresentato un importante passo avanti verso la definizione di una singola legislazione Europea per la sicurezza informatica.  La direttiva Network & Information Security (NIS) è stata approvata il 6 luglio 2016.  L’obiettivo della direttiva è raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i Paesi membri dell’UE. Le principali scadenze per la sua adozione prevedono, entro agosto 2017, che i fornitori di servizi essenziali adottino i requisiti minimi di sicurezza e di notifica degli incidenti previsti nella direttiva. Poi a maggio 2018, ci sarà la data ultima per l’integrazione della direttiva NIS all’interno degli ordinamenti nazionali, e a Novembre 2018 ogni Stato membro dovrà identificare gli operatori di servizi essenziali (Gli operatori di servizi essenziali sono aziende pubbliche o private che hanno un ruolo importante per la società e l’economia, quelli che comunemente vengono chiamate “infrastrutture critiche”).

Tecnologie informatiche e privacy nelle aziende sanitarie

Sicurezza e Privacy rappresentano quindi due aspetti, solo apparentemente antitetici, che devono essere governati, possibilmente “ex ante”, in quanto la loro pianificazione può determinare impatti considerevoli nel disegno e nella realizzazione del sistema informativo aziendale. La criticità che oggi si evidenzia consiste nell’equilibrare un utilizzo sempre più esteso e pervasivo delle tecnologie informatiche nelle aziende sanitarie con i necessari requisiti di sicurezza e privacy che devono essere perseguiti sia dagli utilizzatori del sistema informativo aziendale (team socio-sanitari) sia dai clienti che ne usano i servizi.