State facendo una risonanza magnetica. A un certo punto (forse troppo presto, per la verità) il rumore martellante cessa, pensate sia finita e che possiate finalmente uscire da quella macchina claustrofobica. Invece no: la macchina ha smesso di funzionare perché il campo magnetico è collassato. Come? Un hacker ha preso il controllo della RMN e ha annullato la potenza dei campi magnetici.
Una quarantenne si presenta per l’ultimo colloquio per una posizione prestigiosa, è quasi certa di avercela fatta invece viene preferita un’altra candidata. Quello che non sa è che l’azienda per la quale ha fatto il colloquio ha acquistato nel dark web i suoi dati sanitari dai quali risulta che, qualche anno prima, è stata ricoverata presso una casa di cura per un esaurimento nervoso.
Sono solo due esempi, ma se ne potrebbero fare decine, che mostrano quale può essere l’impatto su ognuno di noi se i sistemi sanitari ai quali ci affidiamo sono vulnerabili dal punto di vista informatico. E vulnerabili lo sono, come dimostrano i numeri.
I dati sul cybercrime nella sanità sono infatti sempre più allarmanti: nel 2020, il Clusit ha classificato 215 attacchi gravi andati a segno con una crescita del 5,9% sull’anno precedente, ma, come vedremo più avanti, l’attività criminale è esplosa con l’espandersi della pandemia da Covid.
Un problema, quello della cybersecurity nella sanità che richiede la massima attenzione da parte delle strutture sanitarie e delle istituzioni come dimostra anche l’azione compiuta nel 2018 da Anonymous Italia che, per “sensibilizzare” sul tema (come affermarono gli hacktivist) lanciò un’operazione di hacking a dieci strutture sanitarie italiane, tra cui l’Istituto Superiore di Sanità, con la quale pubblicò sul proprio blog le strutture dei database di questi enti (ma non i dati sensibili dei pazienti) per dimostrare quanto queste realtà fossero vulnerabili.
Perché la sanità è un mercato sempre più appetibile per i cybercriminali
Sono sostanzialmente due i macroambiti nei quali si muovono i cybercriminali che attaccano i sistemi sanitari e il mondo farmaceutico: il primo è quello economico e il secondo quello politico.
La maggior parte degli attacchi censiti ha finalità lucrative e se una fetta importante si concretizza con attacchi ransomware, è sempre maggiore il numero di attacchi riconducibile al crescente valore che vanno assumendo i dati sanitari, soprattutto sul mercato americano. Nel 2020, le cartelle cliniche esposte a violazioni negli USA sono state 29.298.01 (fonte HIPAA) e nel dark web, una cartella clinica può essere valutata anche 250 dollari (contro il valore medio di 5,40 dollari di una carta di credito): basta fare due conti per capire quanto il mercato sia appetibile.
Ma nel dark web non si trovano solo dati, è il luogo ideale per truffe che sfruttano un tema così delicato come quello della salute: i ricercatori Kaspersky hanno individuato messaggi pubblicitari per i tre principali vaccini anti Covid (Pfizer-BioNTech, Moderna e AstraZeneca) oltre ad altri non certificati con un costo medio di circa 500 dollari a dose, con punte che arrivano a 1200 dollari; gli accordi per la transazione avvengono tramite app di messaggistica criptate e i pagamenti sono richiesti in criptovaluta. Naturalmente nessuno sa cosa si sta esattamente acquistando: se vaccini veri trafugati dai centri di distribuzione o se fiale di acqua fresca.
Sul fronte politico gli scenari che si profilano sono degni di un romanzo Le Carré, ma il pericolo è molto reale. Qualche anno fa la World Anti-Doping Agency subì una violazione dei propri archivi che espose 29 cartelle cliniche di atleti (tra cui ciclisti come Bradley Wiggins, l’olimpionico britannico più decorato, e il tre volte campione del Tour de France Chris Froome) che, per esigenze mediche verificate, potevano assumere sostanze normalmente vietate. Gli autori dell’attacco, il gruppo Fancy Bears (o APT28, hacker ritenuti di nazionalità russa), sostenevano che le esenzioni erano di fatto “licenze per il doping” e che Wada è “corrotto e ingannevole”: un evidente tentativo di minare il sistema antidoping globale che Wada attribuì agli hacker russi come rappresaglia per la sua relazione con la quale accusava la Federazione Russa di manipolare i test anti-doping dei propri atleti.
E ha fatto la storia dell’hacking il furto di 80 milioni di documenti, tra cui dati sensibili sanitari, ai danni della compagnia assicurativa sanitaria Anthem reso noto nel 2015. Il sospettato numero 1 fu, fin dall’inizio, la Cina e nel 2019 è arrivato il verdetto del gran giurì federale di Indianapolis che ha incriminato due dipendenti cinesi dell’azienda: i due dipendenti, si legge nella scheda dei “most wanted” dell’FBI “erano presunti membri di un gruppo di hacker operante in Cina che ha condotto campagne di intrusione mirate ai sistemi informatici di grandi aziende negli Stati Uniti…una volta raccolte le informazioni, sarebbero state crittografate e inviate a destinazioni in Cina”. Ma perché la Cina dovrebbe avere interesse a trafugare i dati sanitari di cittadini americani? Forse una risposta la si può intuire se si considera che tra i clienti di Anthem c’erano numerosi dipendenti ed esponenti di enti governativi USA: le informazioni sanitarie possono rappresentare un’ottima arma di ricatto oppure per danneggiare politicamente le vittime qualora fossero di dominio pubblico.
Covid-19: una vera e propria manna per i cybercriminali
E in un contesto che già da anni si stava configurando come molto allarmante arrivò il Covid-19, un’occasione imperdibile per i cybercriminali che non hanno certo esitato per approfittarne: il Clusit ha segnalato che tra i 1.871 attacchi gravi complessivi emersi nel 2020, 188 sono direttamente collegati al tema Covid. Le violazioni (tutte, non solo quelle gravi) segnalate all’US Department of Health and Human Services sono state 366 nel secondo semestre 2020, contro le 270 del primo semestre (+36%) e risultano triplicati i record compromessi: 21,3 milioni contro 7,13 milioni.
Per chiudere con i numeri, la sanità è per il decimo anno di fila il settore con il più alto costo medio di un data breach (7,13 milioni di dollari contro una media di 3,86 milioni), aumentato del 10% rispetto alla precedente rilevazione; inoltre è il settore con il tempo medio di identificazione e contenimento di un data breach più elevato (329 giorni contro una media di 280).
Tutti gli studi delle aziende che rilasciano report sugli attacchi informatici rilevano come il tema Covid sia stato un ottimo driver per lo sviluppo dell’attività criminale in questo settore, che è diventato uno degli ambiti più presi di mira dai cosiddetti hacker nation-state (hacker di cyberwarfare direttamente collegati con stati nazionali). Lo scorso dicembre l’attacco informatico all’EMA, l’autorità comunitaria che vigila sulla filiera dei medicinali, ha portato alla sottrazione di documenti sensibili sui vaccini contro il Covid. Un furto dietro il quale si è ipotizzato fin da subito il coinvolgimento di uno stato straniero, Russia e Cina in primis, interessato a carpire informazioni o a manipolare i dati per lanciare campagne di disinformazione. E ad hacker cinesi vengono attribuiti anche gli attacchi cyber al centro IRBM di Pomezia che, come è noto, collabora con lo Jenner Institute di Oxford per la produzione del vaccino AstraZeneca: in luglio, ma se ne è avuta notizia a dicembre, i sistemi di posta elettronica di IRBM sono stati colpiti da attacchi informatici classificati come “sofisticati”.
Che si tratti di minare la credibilità di organizzazioni nazionali o sovranazionali o di carpire i segreti sulla ricerca relativa ai vaccini (con le enormi ripercussioni economiche su quello che si appresta a diventare l’affare del secolo, scusate il cinismo, per le società farmaceutiche coinvolte), il Covid sta rappresentando una vera e propria manna per i cybercriminali.
Perché il sistema sanitario è facilmente attaccabile?
E adesso veniamo al dunque: perché la sanità è facilmente attaccabile? Tralascio in questo discorso il tema delle società farmaceutiche che, come tutti i settori industriali altamente strategici e con forti investimenti nella ricerca, ha già messo in atto da tempo adeguate misure per autoproteggersi. Certo, non sempre gli attacchi, che sono sempre più sofisticati, vengono sventati ma non è una situazione diversa da altri settori. Quello su cui invece voglio focalizzarmi sono i sistemi sanitari, dagli ospedali, alle case di cura, alle attività direttamente connesse con la cura del cittadino.
Sono principalmente tre le tendenze che, in questo ambito, hanno maggiore impatto dal punto di vista della cybersecurity.
La prima riguarda la sempre più elevata digitalizzazione delle “operations” della sanità con centri di cura sempre più affollati di apparati collegati in rete: non solo TAC o grandi macchinari, ma anche apparati più piccoli, e vitali, come le centrali di monitoraggio, per non parlare dei dispositivi impiantiti nei pazienti (come i pacemaker). È tutto il mondo dei cosiddetti IoMT (Internet of Medical Things), i cui sistemi di sicurezza sono molto disomogenei. In un vecchio episodio di Homeland, la serie televisiva USA tutta azione e spie, un terrorista attenta alla vita del Presidente manomettendo il funzionamento del suo pacemaker da remoto. E che non si trattasse di una improbabile finzione cinematografica è dimostrato dal fatto che nel 2007, all’allora vice presidente Dick Cheney venne impiantato un pacemaker al quale erano state disabilitate le funzioni wireless, impedendo così a chiunque di inviare un segnale al dispositivo che potesse provocare un arresto cardiaco al vicepresidente.
La seconda tendenza è la sempre più intensa interconnessione tra sistemi sanitari. Tra sedi diverse della stessa struttura ospedaliera, tra differenti strutture sanitarie, a livello regionale e nazionale, i dati sensibili dei pazienti viaggiano sulla rete. Il Fasciolo Sanitario Elettronico, strumento essenziale per una sanità integrata dove la condivisione delle informazioni sul paziente è il primo passo per rendere più efficienti i processi di diagnosi, rischia di essere un vero e proprio Cavallo di Troia per i malintenzionati. La vulnerabilità del dato sanitario è pericolosa non solo in termini di violazione della privacy, ma anche perché consente una manipolazione del dato che potrebbe determinare errori diagnostici o terapeutici anche letali.
La terza tendenza riguarda l’espletazione delle pratiche mediche al di fuori delle strutture sanitarie, stiamo parlando di medicina territoriale e telemedicina. Come si è visto anche in occasione di questa pandemia, garantire la fruizione di servizi sanitari presso il domicilio del paziente consente, da un lato, l’alleggerimento della pressione sulle strutture ospedaliere e, dall’altro, consente al paziente di vivere la malattia con minore stress. Una pratica di cura innovativa che è possibile attraverso l’adozione di dispositivi di teleassistenza, chat bot, lo stesso Fascicolo Sanitario Elettronico, strumenti che abilitano lo scambio di dati e informazioni.
Tutte tendenze che portano i sistemi sanitari verso l’adozione del modello che viene denominato Connected Care, adozione che nel nostro paese ha finora proceduto con un forte ritardo, come rileva l’Osservatorio Innovazione Digitale in Sanità del Politecnico di Milano che sostiene come sia indispensabile una riprogettazione e un rilancio del sistema sanitario italiano nel quale il digitale deve giocare un ruolo di primo piano.
L’Osservatorio indica tre punti di attenzione che dovrebbero essere tenuti in considerazione:
- Divario crescente tra i bisogni dei cittadini e il finanziamento del SSN: con una spesa sanitaria sul PIL dell’8,7% (percentuale rimasta invariata negli ultimi 3 anni), il finanziamento della sanità è inferiore a quello di paesi come Germania (11,7%), Regno Unito (10,3%) e Francia (11,2%). Una stagnazione della spesa che contrasta con l’aumento costante e veloce dei bisogni dei cittadini/pazienti italiani: l’aspettativa di vita alla nascita è in continua crescita (+0,4 anni nel 2019 rispetto al 2018), le nascite però sono sempre meno (-4,5%)3 e la popolazione, di conseguenza, tende ad invecchiare; il cambiamento demografico comporta che i bisogni di salute siano sempre maggiori.
- Necessità di spostare il baricentro della sanità sul territorio: con l’invecchiamento della popolazione aumenta l’incidenza delle malattie croniche che possono essere curate a casa, ma questo richiede l’implementazione di un sistema di sanità territoriale nel quale sono indispensabili forti investimenti
- Disomogeneità nell’accesso alle cure tra le aree geografiche: un dato esemplificativo riguarda la differenza tra l’aspettativa di vita alla nascita nelle regioni, che nella Provincia di Trento è di circa due anni superiore, ad esempio, rispetto alla Calabria. Un sistema iniquo per superare il quale ancora una volta l’innovazione digitale può essere di aiuto connettendo servizi e competenze per superare disparità a livello geografico.
Un quadro il cui prerequisito fondamentale è l’adozione di adeguate policy e tecnologie di cybersecurity che, nella riprogettazione del sistema sanitario devono quindi assumere immediatamente un ruolo di primo piano. Non c’è sanità senza sicurezza.
