Nicola Altavilla, Country Manager Italy & Mediterranean Area di Armis, analizza la situazione relativa agli attacchi informatici alle strutture sanitarie.
Se già nel 2022 si era assistito a un incremento del 138% degli attacchi informatici, il 2023 ha confermato questo preoccupante trend, con un aumento del 40% di incursioni solo nel primo semestre. In particolar modo, molte aziende sanitarie sono state vittime di attacchi su tutto il territorio italiano, con il 14,5% degli attacchi, percentuale che è seconda solo alle campagne non generalizzate (Multiple Targets) che contano per il 20% delle incursioni totali.
Le tattiche dei malintenzionati continueranno a diventare sempre più sofisticate e gli attacchi informatici saranno sempre più frequenti, complicando ulteriormente il panorama delle minacce che circondano gli operatori sanitari.
Cybersecurity e strutture sanitarie: attacchi ransomware
Gli attacchi ransomware non utilizzano più solamente una tattica casuale attraverso il phishing, ma continuano a immettere negli ambienti con punti di appoggio mirati e attacchi più complessi. Mentre il Ransomware as a Service (RaaS) e gli attacchi ransomware più “semplici” continueranno a colpire il settore, assisteremo a un aumento di ransomware molto più complessi e di altri attacchi informatici che prendono di mira in particolare i maggiori provider di servizi sanitari. In generale, la tendenza è un aumento della “Severity” degli attacchi, ossia la gravità delle conseguenze che devono affrontare le vittime, come ingenti perdite economiche, elevate quantità di dati sottratti o il blocco delle operazioni.
L’IA generativa
L’IA generativa è anche al centro dell’attenzione dei professionisti della sicurezza e dell’IT dei fornitori di servizi sanitari (HDO – healthcare delivery organizations), e diverse entità stanno istituendo comitati per esaminare le capacità dell’IA, a scopo offensivo, difensivo e di assistenza clinica. Man mano che il settore sanitario incorpora e innova le soluzioni con l’IA generativa lo faranno anche gli avversari.
Gli strumenti a disposizione dei professionisti della sicurezza e dell’IT lo sono anche per gli attori malintenzionati: basti pensare al ransomware come esempio lampante di ciò che può accadere quando una funzionalità di sicurezza – in questo caso la crittografia – viene capovolta e utilizzata in modo offensivo. La stessa tecnologia che serve a tenere fuori i cattivi viene sfruttata per impedire ai buoni di accedere ai loro file. L’IA contribuirà a far progredire l’assistenza ai pazienti, ma inizieremo anche a vedere che la tecnologia viene sfruttata sempre più spesso per condurre attacchi più sofisticati e con maggior frequenza. Nel nuovo anno sarà fondamentale che i professionisti della sicurezza e dell’IA accelerino l’uso di questa tecnologia, la sua governance e la sua sicurezza per proteggere meglio le loro organizzazioni alla luce di questa minaccia in evoluzione.
Una maggiore attenzione alla sicurezza dei dispositivi medici continuerà a diffondersi nelle normative a livello globale.
Abbiamo visto la Food and Drug Administration (FDA) degli Stati Uniti impartire questi mandati, come la più recente politica di rifiuto dell’accettazione (RTA), il National Health Service (NHS) del Regno Unito con la sua legislazione sul Data Security and Protection Toolkit (DSPT) e altri Paesi in Europa sviluppare linee guida simili, come l’impegno dell’Agenzia per la Cybersicurezza Nazionale (ACN). Credo che assisteremo anche a una rinnovata attenzione alla distinta base del software (SBOM), per fornire una chiara comprensione dei componenti software utilizzati per la creazione di vari asset. Continueremo a vedere ulteriori sviluppi e specificità in materia di sicurezza dei dispositivi medici, man mano che verranno elaborate normative più incentrate sulla cybersecurity e sulle infrastrutture critiche.
Cybersecurity e strutture sanitarie
Sebbene ci sia ancora del lavoro da fare e l’esecuzione sia da vedere e da modificare, queste norme sono un grande passo avanti per richiedere di integrare misure di sicurezza informatica nei prodotti e che le organizzazioni valutino regolarmente la propria postura di sicurezza e dei propri dispositivi. Come per tutte le nuove normative, anche in questo caso ci sono problemi emergenti, ma necessari. Dopo tutto, un piano è efficace quanto la sua esecuzione. In questo caso, un piano critico che fa progredire il settore.
I fornitori di servizi sanitari continueranno a modernizzare le loro strategie di sicurezza, dando priorità alla segmentazione e ad una difesa accurata nel 2024.
La segmentazione rimarrà uno dei metodi principali per aumentare la sicurezza informatica sanitaria. Per questo motivo, i professionisti di cybersecurity e dell’IT degli HDO (Healthcare Delivery Organizations) cercheranno di modernizzare la loro strategia per iniziare a segmentare la rete nel 2024, se non l’hanno già fatto. Si tratta di un progetto massiccio e difficile che può durare molti anni. Tuttavia, è il progetto che consentirà di ridurre al massimo i rischi in un ambiente sanitario e sarà un pilastro di una strategia proattiva di riduzione dei rischi.
La chiave per questi progetti è la pianificazione adeguata e la comprensione che un progetto di segmentazione può essere simile a un viaggio con più fasi: discovey/ inventory, mappatura dei comportamenti e delle comunicazioni, creazione di policy, definizione delle priorità, test/pilot, implementazione e automazione. Una tendenza in crescita è quella di un approccio di prioritizzazione basato sul rischio: invece di un metodo tradizionale di elenchi di segmenti creati in base al produttore o al tipo, le organizzazioni sanitarie possono ottenere un ROI molto più rapido identificando e dando priorità alla segmentazione dei dispositivi vulnerabili critici, in particolare quelli rivolti al paziente, per ottenere la massima riduzione del rischio in anticipo.
Inoltre, per i dispositivi medici più recenti inizieranno a emergere funzionalità di defense-in-depth. Documentazione e comportamenti di sicurezza più chiaramente delineati, funzionalità di sicurezza integrate, supporto per software e soluzioni di sicurezza e ritiro dei sistemi preesistenti a favore di nuovi dispositivi più sicuri.
I produttori di dispositivi medici svilupperanno ulteriori partnership e offerte di sicurezza.
Al momento non si sa ancora quale sarà l’efficacia di questa iniziativa, ma sia che si tratti di servizi professionali, di capacità tecniche o di nuovi dispositivi, vediamo che i produttori di dispositivi medici iniziano a concentrarsi sulle iniziative di cybersecurity per i loro nuovi device. Nel prossimo anno, ritengo che i fornitori di servizi di gestione dei dispositivi medici si concentreranno maggiormente sui servizi di correzione degli avvisi di sicurezza dei dispositivi medici. Le organizzazioni sanitarie sfrutteranno inoltre maggiormente gli MSSP e i servizi dei partner o fornitori per aiutare a scalare le proprie operazioni interne. Questo approccio può aiutare a scaricare le attività, a ridurre più rapidamente i rischi e a condividere le informazioni e le best practice per ottenere la massima efficacia.
La carenza di competenze in materia di cybersicurezza aumenterà.
L’intelligenza artificiale viene sempre più incorporata negli stack tecnologici, in particolare quando i fornitori di cybersecurity cercano di sfruttarne la potenza innovativa. L’IA aiuterà a semplificare le attività, ma le organizzazioni, in particolare quelle sanitarie più piccole e con meno risorse, continueranno a soffrire di una carenza di competenze ed esperienza nel campo della sicurezza informatica. Una raccomandazione fondamentale è quella di sfruttare i framework di sicurezza per contribuire a costruire un approccio sistematico per migliorare la postura di sicurezza con sforzi di sicurezza prioritizzati. È fondamentale ancorare il programma a un approccio basato su un framework come il NIST Cyber Security Framework (CSF), con revisioni periodiche e analisi delle lacune per definire le priorità e gli sforzi per l’anno successivo.