Le vittime umane degli attacchi informatici: realtà o fantascienza?

Quando si tratta di attacchi informatici si pensa soprattutto ai danni economici che ne conseguono tralasciando quelli di immagine e quelli relativi alle persone coinvolte.

Eppure, uno dei trend più inquietanti per quanto riguarda le gang ransomware è quello di attacchi mirati ad ASL e ospedali che hanno già causato alcune morti.

Ebbene sì, i rischi degli attacchi malware vanno oltre il conto corrente e la reputazione, possono arrivare a compromettere lo stato di salute di una persona o addirittura metterne a repentaglio la vita.

• Ospedali: vittime perfette degli attacchi ransomware
• Ospedali Italiani e attacchi ransomware, lo stato della cybersecurity
• Il primo caso: Wannacry
• Morto causa ransomware realtà o fantascienza
• Alabama 2019
• Germania 2020
• Conseguenze per gli ospedali dopo i decessi da ransomware
• Conclusioni

Ci si potrebbe chiedere come mai gli hacker attacchino regolarmente le strutture sanitarie nonostante questo metta a repentaglio la vita di alcune persone. La risposta sta nel fatto che queste, spesso sono tra le strutture più propense a pagare il riscatto in tempi brevi per tutelare i dati e la salute dei pazienti.

Questo, se da un lato significa scegliere il male minore, dall’altro incoraggia i malviventi a perpetrare attacchi nei confronti di queste strutture alimentando la convinzione che così facendo ricaveranno certamente un guadagno.

Secondo un rapporto di Sophos gli attacchi alle strutture sanitarie sono quasi raddoppiati tra il 2021 e il 2022.
Ecco un breve sunto dei risultati ottenuti dall’indagine:

• Il 66% delle aziende sanitarie intervistate è stata colpita da ransomware nel 2021

• Gli attacchi hanno impatti molto più critici

• Il 61% delle aziende sanitarie colpite paga il riscatto, la categoria è al primo posto per percentuale di riscatti pagati su una media di 46% per le società che operano in altri settori

• Solo il 2% delle aziende sanitarie che hanno ceduto al riscatto ha riottenuto tutti i dati rubati. Le altre hanno recuperato in media solo il 65% delle informazioni criptate.

• I tempi di recupero dopo un attacco ransomware possono raggiungere il mese per una percentuale cospicua delle strutture sanitarie.

Un’ altro incentivo per gli attacchi contro gli ospedali viene dal tipo di informazioni che essi trattano: i dati sanitari sono una merce preziosissima nel dark web.
La conoscenza dello stato di salute di un soggetto in base alla sua età, luogo di  residenza, stato civile può orientare le scelte di mercato delle aziende farmaceutiche ma anche quelle delle compagnie assicurative, permettendo un incremento del profitto praticamente assicurato.

Ancora, gli ospedali sono tra le strutture con le peggiori difese informatiche e quindi quelle che massimizzano le probabilità di successo di un attacco.

Anche in Italia gli attacchi agli ospedali si fanno sempre più frequenti e gravi.
Solo tra 2021 e i primi mesi del 2022 la scia di strutture attaccate è stata lunghissima.

Ecco le infrastrutture attaccate:

• 11/04/ 2021 ASL 2 di Terni
• 12/09/2021 Ospedale San Giovanni Addolorata di Roma
• 14/10/2021 ASL 2 di Savona
• 30/10/2021 ASL 3 di Roma
• 16/11/2021 ASP di Messina
• 03/12/2021 ULSS6 di Padova
• 28/12/2021 ASST di Lecco
• 07/01/2022 ASL Napoli 3
• 15/04/2022 ASP di Messina
• 05/05/2022 ATS Insubria
• 01/05/2022 Fatebenefratelli Sacco
• 01/05/2022 Ospedali Macedonio Melloni

Questo dimostra ancora una volta come gli ospedali siano tra le vittime preferite delle gang ransomware e come i nostri ospedali non abbiano ancora delle difese sufficienti a difendere la privacy delle migliaia di pazienti che vi si affidano.

Una buona notizia viene dai fondi stanziati per la sanità nel PNRR, la speranza è che vengano usati anche per rinforzare le difese cibernetiche delle strutture.

Il primo casi di attacco hacker ai danni di una struttura sanitaria, o meglio, ad oltre sessanta strutture sanitarie, è stato il celeberrimo Wannacry.

Nel 2017 questo ransomware colpì gli ospedali causando l’annullamento di quasi 20.000 prestazioni tra cui qualche centinaio di interventi urgenti. Per fortuna in quell’occasione non ci furono decessi correlati al malware ma questo esito non era per nulla scontato.

Dal momento che in un attacco ransomware i dati vengono criptati, se la rete di un’intero ospedale viene attaccata da un ransomware, tutte le cartelle cliniche dei pazienti possono subire dei danni.

Considerata questa breve ma logica premessa, possiamo dire che il pagamento del riscatto ransomware, in questi casi, può rappresentare una scelta estrema ma comprensibile, forse addirittura auspicabile.

Il punto però è che un ospedale dovrebbe tutelare la salute dei suoi pazienti e quindi non dovrebbe trovarsi nella situazione di dover mettere sul piatto della bilancia le vite dei pazienti o un riscatto milionario.
Proprio per questo, non è accettabile che le strutture ospedaliere siano difese con tecnologie obsolete.

Nel 2019 presso lo Springhill Medical Center è nata una bambina con gravi lesioni celebrali, che ne hanno causato la morte 9 mesi dopo.

Al momento del parto la struttura si trovava sotto attacco hacker e quindi disponeva solo di una parte dei test chiave che avrebbero permesso di sapere che il cordone ombelicale si era avvolto attorno al collo della neonata. La mancanza di questa informazione ha esposto la bambina e la partoriente a danni irreversibili per la neonata.

La madre Teiranni Kidd, ha avviato una causa contro l’ospedale nel gennaio del 2020 sostenendo di non essere stata avvertita dello stato di assedio in cui si trovava la struttura e dei rischi relativi. Se avesse saputo della compromissione dei sistemi informatici avrebbe potuto spostarsi altrove per maggiore sicurezza.

L’azienda si è difesa sostenendo di aver reso nota la notizia dell’attacco hacker già il 9 di luglio, ovvero il giorno in cui l’attacco è iniziato e che il 16 luglio (data del ricovero di Teiranni Kidd) il personale stava già lavorando per il ripristino del sistema.

In quei giorni una parte dei pazienti aveva già scelto di proseguire le cure presso un altro ospedale proprio a causa dei problemi informatici.

Nella notte del 11 settembre 2021 a Düsseldorf, i paramedici hanno ricevuto una chiamata di soccorso per L’aggravarsi delle condizioni di una settantottenne con gravi patologie pregresse.
Quella che avrebbe dovuto essere un normale intervento si è trasformato in una tragedia a causa di un attacco malware. Giunti sul posto, infatti, i paramedici hanno allertato l’ospedale universitario locale, informando il personale delle condizioni della donna e avvertendo del loro imminente arrivo. La paziente però è stata rifiutata in quanto l’intero pronto soccorso era chiuso a causa di un attacco hacker in corso che aveva parzialmente bloccato i sistemi informatici dell’ospedale.

L’ambulanza ha dovuto trasferire quindi l’anziana nel secondo ospedale più vicino, ovvero l’Helios University Hospital di Wuppertal, allungando il tragitto di 32 chilometri e posticipando l’ingresso in ospedale di un’ora. La signora non resistita tanto a lungo.

Apprese le conseguenze delle loro azioni, gli hacker hanno ritirato immediatamente l’attacco alla struttura ma era ormai troppo tardi.

A rendere possibile l’intrusione nei sistemi della struttura ospedaliera, è stata una vulnerabilità dei gateway Citrix nota già da mesi. Solo il giorno prima della tragedia c’era stata una segnalazione alle autorità relativamente a questa debolezza.

A seguito di questa vicenda i pubblici ministeri di Colonia si sono adoperati per perseguire legalmente i criminali che si celavano dietro l’attacco per omicidio colposo.

Ancora troppe strutture sanitarie sottovalutano i rischi correlati agli attacchi hacker e si trovano poi a dover correre ai ripari quando la situazione diventa improvvisamente critica. Questo amplifica notevolmente i danni e aumenta drasticamente la possibilità di incappare in errori irreversibili.

Le conseguenze in un primo momento sono:

• Limitazione della capacità dell’ospedale di accogliere e gestire i pazienti

• Impossibilità di accedere ai referti e quindi alla informazioni utili per degli interventi

• Ritardi nel rilascio dei risultati delle analisi

• Annullamento di molte prestazioni anche urgenti

• Probabile aggravamento delle condizioni di salute di pazienti già fragili o gravi, se non addirittura decessi.

• Dirottamento dei pazienti in altre strutture

• Difficoltà nel coordinamento di letti, medici e cure

Ma ci sono anche conseguenze a lungo termine, come:

• Diminuzione del numero di pazienti e di interventi giornalieri (nel caso di Duesseldorf si è passati da circa 1000 a circa 500 pazienti al giorno e da 70-120 interventi a circa 15)

• Aumento delle morti in ospedale rispetto al normale

• Danni economici dovuti alle richieste di risarcimento

• Danni economici conseguenti l’ipotetico pagamento del riscatto

• Danni economici dovuti alle spese per il ripristino dei sistemi

• Spese di comunicazione e gestione dell’emergenza

• Citazioni in giudizio per responsabilità civile e penale.

In conclusione, appare evidente come anche una piccola negligenza nella impostazione della sicurezza IT del comparto ospedaliero possa innescare una catena di eventi negativi difficile da arginare.

Ancora troppe strutture sanitarie però, non sono sufficientemente protette dalla minaccia hacker.
Gli ultimi sviluppi e la comparsa delle prime vittime umane da ransomware sono la prova che non si può più aspettare.

Tutte le società che operano in questo settore dovrebbero investire in soluzioni di sicurezza cibernetica complete, efficaci, del più alto livello disponibile. Inoltre, per qualsiasi struttura sanitaria è opportuno effettuare periodici test e verifiche di sicurezza e formare il personale sui temi della cybersecurity.