La Sanità, per sua natura, è particolarmente esposta a questi attacchi. Quella italiana soprattutto. Datacenter frammentati, scarsa preparazione cyber del personale. Per rimediare bisogna fare grossi cambiamenti in infrastrutture, risorse umane, processi. Ma serve una forte volontà politica a tutti i livelli.
Articolo pubblicato in anteprima su AgendaDigitale.eu in collaborazione con Alessandro Longo
Non ci deve stupire l’attacco ransomware alla Regione Lazio, che ha bloccato dati e prenotazioni dei vaccini.
Era, purtroppo, soltanto questione di tempo prima che, anche in Italia, la pubblica amministrazione fosse oggetto di un attacco ransomware come è già avvenuto in Francia, Regno Unito, e Irlanda. La Sanità, per sua natura, è particolarmente esposta a questi attacchi. Quella italiana soprattutto.
L’attacco alla Regione Lazio
Non è ancora chiaro dove e come sia partito l’attacco. Ci sono diverse indiscrezioni, tutte abbastanza plausibili, sull’origine e la modalità di infezione dei server regionali (oggi gli inquirenti propendono per attacco partito, a scopo di riscatto e quindi criminale, tramite un fornitore tecnologico di Lazio Crea, società della Regione; fornitore compromesso dallo stesso ransomware già da maggio).
Per questa ragione non penso sia utile fare commenti, né avvalorare l’una o l’altra tesi. Ciò che è vero e indiscutibile è la ragione di fondo che rende così vulnerabili i sistemi sanitari e regionali.
In inglese esistono due termini che, in italiano, vengono tradotti con sicurezza: safety e security. La prima indica il concetto di analisi e prevenzione dei rischi mentre la seconda quella di sorveglianza e protezione. È evidente che se si vogliono evitare i crimini informatici sia necessario impegnarsi in entrambe le attività ma, purtroppo, ci sono alcuni aspetti che giocano a sfavore della sicurezza. Vediamo quali.
La frammentazione dei data center
Ogni azienda sanitaria possiede un proprio data center (o anche più di uno), così come le regioni e le province autonome.
Solo in sanità ci sono quindi centinaia di data center più o meno estesi. È facilmente comprensibile come, tale frammentazione, renda estremamente difficile prevenire i rischi e presidiare adeguatamente i data center.
Competenze e misure di sicurezza
Le competenze in materia di sicurezza informatica sono molto specifiche e non si possono improvvisare. La cybersecurity è una materia relativamente “giovane” e in grande evoluzione, due aspetti che limitano fortemente il numero di esperti oggi presenti sul mercato. Il personale informatico delle aziende sanitarie e delle regioni è poco formato su queste tematiche e spesso privo di reale esperienza operativa. Gli investimenti in cybersecurity sono davvero esigui e i Security Operations Center (SOC) in sanità sono una rarità.
La sicurezza non si può soltanto delegare all’esterno
La scelta obbligata, per la maggioranza dei responsabili IT delle aziende sanitarie, è allora di delegare all’esterno i servizi per la sicurezza ricorrendo a fornitori esterni specializzati. Fornitori che, come si è visto, possono essere un cavallo di troia per l’attacco ransomware.
Ma a parte questo, avere un presidio tecnico specializzato è un requisito necessario, anche se non non sufficiente, per mettere e conservare in sicurezza i propri sistemi informativi. L’anello debole della catena sono, quasi sempre, il personale IT e i dipendenti delle aziende sanitarie. Il problema non è soltanto la carenza di formazione ma, più in generale, l’assenza di un processo continuo di educazione, sensibilizzazione e controllo dei comportamenti del personale (e dei lavoratori dei fornitori esterni che operano nelle aziende).
La mancanza di consapevolezza sui rischi che alcuni comportamenti determinano o che provengono da interazioni con l’esterno (mail, file, etc..) sono quasi sempre alla base degli eventi che mettono a rischio la sicurezza.
Quali misure si possono adottare: 7 punti
Anche se la sicurezza assoluta non esiste, si possono tuttavia attuare degli interventi per migliorare la sicurezza:
- Nominare un responsabile della cyber-sicurezza con competenze tecniche e professionali adeguate. I DPO, presenti in azienda, non hanno di solito le competenze necessarie per svolgere questo ruolo
- Stanziare un budget dedicato alla cyber-security
- Predisporre un piano di formazione continua e sensibilizzazione sulla cyber-sicurezza
- Eseguire un assessment sulla sicurezza anche attraverso dei test di vulnerabilità
- Predisporre gli interventi necessari per adeguare la sicurezza dei sistemi e dell’infrastruttura IT
- Dotarsi di un SOC
- A livello strategico è necessario attivare un processo di migrazione verso il cloud così da concentrare e ottimizzare le risorse disponibili.
La volontà politica per cambiare
Evitare attacchi di questo tipo sarà impossibile, ma li si può ridurre in frequenza e, soprattutto, conseguenze. Tra le migliori pratiche cyber, che sembrano non essere state adottate in Regione Lazio, c’è il sandboxing degli accessi (per evitare che da un account compromesso l’attacco si estende a tutto), l’isolamento dei back up (quelli di Regione sono stati pure criptati, motivo per cui il sistema non torna ancora su).
Finora gli ultimi grandi attacchi sono avvenuti al solito per una sola ma grande lacuna di sicurezza. L’attacco Colonial Pipeline dovuto a una password vecchia, già rubata, usata per un accesso VPN e non dotata di autenticazione a doppio fattore. L’attacco Solarwind a una password semplice messa da uno stagista. Altri casi tipici sono mail di phishing che sottraggono credenziali a un singolo dipendente poco cyber-attento o sistemi che non sono aggiornati nonostante la disponibilità di patch di sicurezza.
A volte la superficialità di un fornitore crea effetti a cascata su tutti i suoi clienti (può essere il caso di Regione Lazio), come nell’attacco Kaseya. Kaseya è stata avvisata mesi prima di vulnerabilità ma è stata lenta a rimediare, perché finora i costi di farlo sono stati superiori a quelli di non farlo. Lo scenario è cambiato di colpo.
Il lavoro remoto dovuto al covid ha aumentato il rischio cyber, sia per il maggiore uso di accessi VPN sia per una ridotta sorveglianza da parte del personale esperto. Il maggiore del digitale per servizi critici (vedi i vaccini) ha ampliato sia il rischio sia le conseguenze di un attacco.
Ci auguriamo che l’Agenzia per la cybersecurity, anche in attuazione delle norme (vedi sotto), e il piano per la migrazione dei datacenter aiutino a fare meglio. La storia della cybersecurity insegna però che norme e organismi dedicati non bastano. Per evitare quelle piccole grandi lacune che fanno crollare l’intero castello serve però una cosa molto difficile: una cyber security a tappeto, su tutti i sistemi e tutte le persone che operano. Un solo anello debole fa cadere tutto.
Serve allora una forte volontà politica di cambiare – a livello non solo centrale ma anche locale. L’Italia finora è stata fortemente in ritardo rispetto ad altri Paesi sul fronte dell’attenzione istituzionale alla cyber security. Adesso il quadro sta migliorando e simili incidenti servono da sprone; un po’ come il caso Colonial Pipeline negli Usa, che ha spinto l’amministrazione americana a imporre per la prima volta anche ad aziende private misure di sicurezza da adottare (a partire dai fornitori della PA).
Sappiamo però che lo sprone politico è solo una prima scintilla che poi deve diffondere il fuoco della consapevolezza a tutti i livelli delle organizzazioni – a partire da quelle che come Regione Lazio stanno dietro a infrastrutture critiche del Paese.
Come capita per tutti gli eventi dolorosi nella vita, l’errore più grave sarebbe fare passare questo evento senza essere migliorati.
La cartina tornasole sarà come si riuscirà a diffondere risorse (umane e materiali) cyber e soprattutto consapevolezza in ognuna delle organizzazioni critiche del Paese.