Il ransomware blocca la sanità: un'azienda sanitaria su quattro ferma le operazioni in seguito a un attacco

Fra le infrastrutture più importanti di ogni Paese ci sono quelle sanitarie, da cui dipende la vita di milioni di persone. Proprio per questo motivo, ospedali e istituti di ricerca sanitaria sono fra i bersagli preferito dai criminali informatici: considerata la loro importanza strategica, infatti, è probabile che le vittime siano più propense a pagare il ricatto pur di poter essere operative nel più breve tempo possibile. Come affrontano il problema queste imprese? La risposta la offre Trend Micro con uno studio commissionato a Sapio Research che ha coinvolto 2.958 responsabili IT in 26 Paesi. In Italia il campione è stato di 100 intervistati.

Più della metà delle aziende sanitarie è stata vittima di ransomware

Lo spaccato che emerge dallo studio EVERYTHING IS CONNECTED: Uncovering the ransomware threat from global supply chains, è preoccupante: il 57% delle realtà facente parti del campione ha subito almeno un attacco ransomware negli ultimi tre anni. L'impatto è stato in molti casi notevole: un'azienda su quattro (25%) ha dovuto infatti bloccare completamente le operazioni, mentre il 60% è riuscito a proseguire, pur dovendo modificare i processi interni per aggirare il problema. Nel 60% dei casi, inoltre, l'attacco è stato accompagnato dal furto dei dati sensibili, un tattica da tempo in voga fra i criminali informatici che. prima di cifrare i dati, li sottraggono così da avere un ulteriore elemento per fare pressione sulle vittime e costringerle a cedere al ricatto. Considerata l'importanza e la sensibilità dei dati sanitari, il furto di queste informazioni è gravissimo, anche perché va a minare la fiducia nel sistema sanitario. 

Le contromisure messe in atto dalle istituzioni sanitarie

Dai numeri dell'indagine potrebbe sembrare che ospedali e aziende attive nel settore medicale non diano importanza alla sicurezza informatica, ma la realtà è differente. L'analisi di Trend Micro infatti sottolinea come la stragrande maggioranza (il 95%) applichi regolarmente le patch di sicurezza, mentre il 91% ha introdotto soluzioni per limitare gli allegati alle e-mail (il principale vettore di attacco) così da mitigare il rischio. In molti casi, ma parliamo di percentuali inferiori al 50%, le strutture sanitarie utilizzano soluzioni evolute per la difesa informatica, come strumenti per rilevare le minacce sugli endpoint e piattaforme NDR e XDR per l'identificazione e la risposta ai malware. 

Come fanno dunque gli attaccanti a superare queste barriere? Secondo l'analisi di Trend Micro, uno dei principali punti deboli è da ricercare nell'assenza di piattaforme evolute per la sicurezza. Le soluzioni NDR sono adottate solo dal 51% del campione, quelle EDR dal 50% e quelle XDR solo dal 43%. 

Un altro problema è quello della scarsa condivisione delle informazioni di intelligence: il 30% delle imprese del campione non condivide nulla con i partner, il 46% non lo fa coi fornitori e addirittura un'azienda sanitaria su tre (il 33%) non comunica nemmeno con le forze dell'ordine. 

Il 17% delle imprese, inoltre, non ha attivato alcun controllo sul protocollo RDP (Remote Desktop Protocol). 

Pochi intervistati, infine. sono in grado di rilevare il movimento laterale (32%), l'accesso iniziale (42%) o l'uso di strumenti come Mimikatz e PsExec (46%).

“Nella sicurezza informatica si parla spesso di violazioni dei dati e di compromissione della rete. Ma nel settore sanitario, il ransomware può avere un impatto fisico potenzialmente molto pericoloso", dichiara Salvatore Marcis, Technical Director di Trend Micro Italia. “In questo settore le interruzioni operative mettono a rischio la vita dei pazienti, le organizzazioni sanitarie devono migliorare nel rilevamento e nella risposta delle minacce e condividere l'intelligence appropriata con i partner per proteggere i propri ecosistemi”.