Più 36 per cento. Di tanto sono aumentati l’anno scorso i cyber attacchi nel mondo contro organizzazioni di ogni tipo. Ma il Rapporto Clusit 2019 sulla sicurezza ICT (Information and Communications Technology), che sarà presentato il 21 febbraio prossimo a Milano, ha registrato in particolare un’impennata di azioni mirate a «bucare» le reti delle strutture sanitarie anche in Italia. Si parla di data breach, cioè furti di dati personali dei pazienti, cartelle cliniche comprese. «La sanità è uno dei settori nei quali gli attacchi sono cresciuti molto di più rispetto all’anno precedente - spiegano Andrea Zapparoli Manzoni, che fa parte del Consiglio direttivo Clusit e Sofia Scozzari, del Comitato scientifico - perché i “cattivi” colpiscono dove è più facile avere successo. Questo è il segnale eclatante che il settore deve mettere in campo strategie di risposta adeguate e lo deve fare in fretta».

Quali sono i risultati della ricerca?

«Lo studio si basa sull’analisi di un campione di 8.400 attacchi noti di particolare gravità, avvenuti nel mondo (inclusa quindi l’Italia) nel corso di 8 anni, dal primo gennaio 2011 al 31 dicembre 2018 - continuano i due esperti di Clusit -. La gravità degli attacchi è valutata in base all’impatto stimato per le vittime in termini di danni subiti a livello geopolitico, economico,sociale e di reputazione. A parità di criteri di selezione, nel 2018 abbiamo analizzato 1.536 attacchi (+76% rispetto al 2014 e +36% rispetto al 2017). Gli attacchi gravi verso il settore “Health” sono praticamente raddoppiati tra il 2017 e il 2018 e rappresentano ormai il 10% del campione».

Che cosa accade nel mondo?

Secondo una ricerca condotta da Ermes Cyber Security, startup dell’Incubatore I3P del Politecnico di Torino e specializzata nella difesa delle aziende dai pericoli del Web, gli hacker nel 2018 sono riusciti a violare globalmente oltre un miliardo di account. Cifra che raddoppia, nelle stime di Eset Trend Report 2019. Previsione non del tutto azzardata, se si pensa che gli attacchi a cinque colossi come Aadhaar, Exactis, Under Armour, MyHeritage e Facebook ha messo allo scoperto 1miliardo e 800 mila documenti. Il Data Breach Investigation Report di Verizon (2018) dice che il 15 per cento dei data breach riguarda le organizzazioni sanitarie. E così anche altri Rapporti internazionali (Symantec, Fortinet, Office for Civil Rights dello U.S. Department of Health & Human Services, HiMSS , Accenture, Lloyds e Aon). Insomma c’è poco da stare allegri.

E la situazione in Italia?

La vera novità riguarda il nostro Paese. Per la prima volta si è venuti a conoscenza di diciassette «incursioni» ai danni di siti istituzionali, ospedali e Asl (si veda il grafico), perché sono stati «rivendicati» dagli attivisti di Anonymous. Il data breach più grave - secondo la classificazione di Clusit - è avvenuto ai danni dell’ospedale Sant’Andrea di Roma: sono state rese pubbliche 12.143 tra email, username e password. Tutti «dati sensibili». Possibile che siano davvero così pochi i casi? Il bollettino dell’Ufficio del Garante per la protezione dei dati personali ha reso note 630 notificazioni di furto di dati personali, fino al 31 dicembre scorso. Ma non è possibile sapere quante di queste riguardino strutture sanitarie.

Quali sono i metodi di attacco ?

Anche per il 2018, il principale sistema di attacco si conferma il malware, cioè qualsiasi tipo di software dannoso sviluppato con l’obiettivo di infettare computer oppure dispositivi mobili. All’interno di questa categoria, per quanto riguarda il settore Healthcare la parte del leone la fanno i ransomware (39%), ovvero software malevoli utilizzati da gruppi cybercriminali per realizzare estorsioni via Internet. «Sono i peggiori - sottolinea Zapparoli Manzoni - perché bloccano le strutture colpite e questo quando si tratta di salute non va bene. Nel 90 per cento dei casi, la finalità è l’estorsione o il furto di enormi quantità di dati personali con i quali realizzare infinite truffe oppure costruire false identità per il mercato nero criminale». Così ad esempio SingHealth, la più grande istituzione sanitaria di Singapore, ha riportato un attacco che comprometteva le informazioni personali di 1,5 milioni di pazienti e i dettagli delle prescrizioni per altri 160 mila. In Australia, i medici di base dell’Ocher Health Medical Centre a Wollongong non sono stati in grado di accedere alle cartelle cliniche dei loro pazienti per due settimane. In California, una gang specializzata è riuscita ad hackerare perfino i lettori di carte di credito in studi dentistici e medici (oltre a rubare le identità dei pazienti) intascando un milione di dollari.

I dispositivi medici sono esposti?

Sì, nel mirino degli hacker finiscono anche i dispositivi medici controllabili da remoto attraverso la rete. Secondo il report Fortinet (che raccoglie i dati di 450 fornitori di programmi di sicurezza informatica nel mondo) anche nel 2018 si sono intensificati gli attacchi soprattutto contro il cosiddetto «Internet delle cose» (IoT, Internet of Things) cioè l’estensione di Internet al mondo degli oggetti e dei luoghi concreti. Un bracciale conta-calorie, un cardiofrequenzimetro collegato ad una app o anche dispositivi medici più complessi che lavorino attraverso la rete sono già stati hackerati. Per fortuna, finora, senza conseguenze dirette sulla salute dei malati - certo, la violazione di dati sensibili può produrre effetti altrettanto gravi - perché l’obiettivo principale di chi mette a segno i «colpi» è ricattare la struttura messa sotto attacco per ricavarne soldi.

Quanto cosa «l’insicurezza»?

I costi delle offensive via web sono quintuplicati in sette anni. È l’altra faccia della medaglia, in tema di cybersecurity: non solo rischi enormi per la privacy, ma anche risorse economiche gettate al vento. L’ultima ricerca condotta dal Ponemon Institute, un centro di ricerca negli Stati Uniti che si occupa di security intelligence (servizi di informazione sulla sicurezza), per conto di IBM Security, ha calcolato che il costo medio di una violazione dei dati a livello globale ha raggiunto la ragguardevole cifra di 3.86 milioni di dollari, con un aumento del 6,4 per cento rispetto al Rapporto 2017. Sulla base di interviste approfondite con circa 500 aziende, anche del mondo della sanità, che hanno subito una violazione dei dati, lo studio analizza centinaia di fattori di costo relativi a una violazione, dalle indagini tecniche e recupero, alle notifiche, alle attività legali e normative e al costo degli affari persi e della reputazione. Quest’anno, per la prima volta, lo studio ha calcolato anche i costi associati a «mega-violazioni», cioè quelle che vanno da 1 milione a 50 milioni di documenti persi, e ha valutato che comportino un danno rispettivamente tra i 40 e i 350 milioni di dollari per le aziende.

Quanto si investe in sicurezza?

«Il risultato di Clusit purtroppo era atteso - riflette l’ingegner Francesco Vellucci del Comitato consulenza sulla sicurezza della Società Italiana di Telemedicina e Sanità Elettronica (Digital SIT) -: si tende a colpire il più debole. E la sanità è un settore molto debole: gestisce i sistemi più critici per i diritti e le libertà dei soggetti, tratta grandi quantità di dati riservati (immagini digitali/fascicoli sanitari…) e ha una spesa corrente talmente elevata da rendere da sempre minimali gli investimenti». Uno dei nodi critici, soprattutto per l’Italia, è proprio quello delle risorse economiche destinate alla cybersecurity. «Secondo i nostri dati - spiega Gabriele Faggioli , professore aggiunto area Gestione strategica della digital innovation del MIP-Politecnico - i finanziamenti in Italia sono cresciuti di circa il 9% dal 2017 al 2018. In totale, parliamo di 1 miliardo e 200 milioni di euro. In due anni la crescita è stata di oltre il 22-23%. Ciò non toglie che si tratti di cifre comunque ancora non particolarmente elevate in termini di valore assoluto». Ad investire sono soprattutto le aziende di grandi dimensioni, mentre tutto il settore delle piccole e medie imprese e dei professionisti fa fatica.

La sanità italiana è sicura?

Ma qual è la situazione della sicurezza informatica nella sanità italiana? Le due indagini nazionali sulla sicurezza dei servizi informativi sanitari, quella relativa al rischio generale per la salute e quella relativa alla sicurezza dei dispositivi medici (IoT) connessi alle reti sanitarie, condotte dall’Alta Scuola di Economia e Management dei Sistemi Sanitari dell’Università Cattolica e ministero della Salute (ancora in corso) provano a dare qualche risposta. Alla survey hanno finora partecipato 31 aziende sanitarie e 106 ospedali, sia pubblici sia privati.