11 minute read
CYBERSECURITY
SANITÀ PIÙ DIGITALE, I CYBER-RISCHI AUMENTANO
In tutto il mondo è cresciuto l’impiego della telemedicina e del virtual care, e il crimine informatico ne sta tranedo vantaggio.
Photo by Andres Urena on Unsplash
Il covid-19 ha scosso il mondo sanitario in molti modi. Non solo mettendo sotto stress il personale di assistenza o primo intervento e i reparti di terapia intensiva degli ospedali, ma anche spostando verso il digitale diverse attività che fino ad allora venivano svolte in modo tradizionale. Gartner ha rilevato come in cime alle priorità del 2021 per i fornitori dell’healthcare ci siano la telemedicina, il virtual care e le tecnologie di monitoraggio, davanti agli strumenti di gestione dei dati (che inevitabilmente si sono moltiplicati proprio per l’utilizzo delle nuove tecnologie). Il rischio informatico è però l’altra faccia della medaglia dell’innovazione, poiché la crescita del traffico di informazioni sensibili non ha certo lasciato indifferenti i cybercriminali. Secondo Forrester, i professionisti IT della sanità stanno chiedendo ai vendor soprattutto di essere aiutati a integrare alle necessità di dover rimediare alle violazioni”. Da una recente survey che Bitdefender ha realizzato su un campione di aziende sanitarie italiane, perlopiù appartenenti al settore pubblico (85%) e di dimensione medio-grande (il 39% dispone di oltre 500 letti), emerge come il 93% delle organizzazioni sia già stata vittima di cyberattacchi e il 64% se li aspetti ancora per il futuro. Avendo misurato il grado di maturità del campione esaminato sulla base di alcuni temi portanti, il vendor ha rilevato come l’efficienza complessiva sia pari al 57% per quanto riguarda le soluzioni di protezione adottate. Il 76% delle aziende sanitarie già dispone di sistemi di endpoint protection di nuova generazione (con machine learning integrato), il 67% ha dichiarato di avere una visualizzazione chiara degli asset da salvaguardare. “Ma il 64% ancora utilizza sistemi operativi datati o non
le nuove soluzioni adottate di recente (e perlopiù remotizzate) con i workflow clinici esistenti e a gestire un insieme di condivisioni sempre più frammentato sia al proprio interno sia nel rapporto con i pazienti. Bitdefender ha monitorato con attenzione l’evoluzione delle tematiche di sicurezza informatica sul mercato italiano dell’healthcare, a partire dalle misurazioni telemetriche, che hanno portato a rilevare, nel periodo novembre 2020-aprile 2021, un numero di minacce mirate sempre superiore a settemila al mese. “Gli attacchi ransomware sono molto diffusi e spesso portano all’esfiltrazione di dati”, ha commentato Denis Cassinerio, direttore regional sales per il Sud Europa di Bitdefender. “Oltre ai danni economici legati alle richieste di riscatto, si registrano effetti negativi diretti sulla salute dei pazienti, soprattutto per i ritardi nelle cure collegati
supportati e il 59% lamenta l’assenza di adeguati strati di protezione per i dispositivi medici, in rapporto alle normative europee”, ha fatto notare Cassinerio. Gli indici di efficienza calano su altri fronti delle strategie di sicurezza. Sul fronte del rilevamento, per esempio, siamo al 44%: oltre la metà delle realtà sanitarie ritiene di non disporre di soluzioni che consentano di individuare compromissioni su tutti gli endpoint (compresi quelli medici), ed è raro che venga fatto un monitoraggio costante del livello di rischio infrastrutturale e soprattutto delle macchine diagnostiche. In termini di prontezza di risposta l’indice di efficienza sale appena al 49%, con un buon livello di allineamento ai protocolli imposti dal Perimetro di Sicurezza Cibernetica e dal Gdpr, ma solo un terzo delle aziende dispongono di un Soc (Security operation center, interno o in outsourcing che sia) oppure svolgono regolarmente testi di simulazione di attacchi. Se sui budget la situazione è migliorata negli ultimi anni (indice di efficienza al 53%), soprattutto in termini di stabilità e reattività di intervento in caso di acclarata necessità, non altrettanto bene vanno le cose sul fronte della cultura organizzativa (indice al 44%) e delle competenze (indice al 46%). In quest’ultimo caso, si rileva soprattutto la carenza di personale interno dedicato, una carenza solo parzialmente compensata dall’accesso a risorse esterne quando necessario. “Si tende ancora a pensare che esista la soluzione universale per ogni problema”, ha osservato Cassinerio, “quando invece sarebbe più opportuno concentrarsi sulle situazioni specifiche. La tendenza futura, comunque, sarà di esternalizzare sempre più la sicurezza, nella consapevolezza che sia più complicato reperire e trattenere personale competente all’interno”.
Roberto Bonino
LAVORO REMOTO
E MULTICLOUD CREANO TENSIONI
Solo il 22% delle aziende si sente pronta a gestire i rischi legati allo smart working, che si è imposto con prepotenza in seguito alla pandemia: così svela un’indagine sponsorizzata da Thales (“Thales Data Threat Report”) e realizzata da 451 Research su un campione di oltre 2.600 manager d’azienda, tra cui 900 europei. Nel gruppo di questi ultimi, l’81% si è detto preoccupato dei rischi di sicurezza collegati al lavoro remoto dei dipendenti e il 49% ha constatato un aumento quantitativo, di gravità e/o portata dei cyberattacchi nel corso dei dodici mesi precedenti. Il 41% ha subito un attacco nell’ultimo anno, percentuale doppia rispetto a quella registrata nella precedente edizione della Survey. Il 46% ha indicato la privacy e la sicurezza come gli ambiti di investimento più importanti durante la pandemia. “È come se le aziende avessero realizzato che si può lavorare da remoto, mentre prima questo concetto non era così chiaro”, ha commentato Luca Calindri, country sales manager Italy & Malta di Thales. “Tuttavia, nonostante l’aumento della spesa, ancora prevale l’incertezza”. I malware generici sono stati utilizzati nel 54% dei casi di attacco, mentre il ransomware è aumentato per il 47% delle aziende interpellate. “L’Italia appare più esposta a causa dell’arretratezza delle infrastrutture di sicurezza e manca ancora cultura e sensibilità sulla sicurezza” ha osservato Calindri. “Questo però significa che c’è un ampio margine d’azione e miglioramento”. Il settore più bersagliato da attacchi è stato il retail, seguito dal settore legale, call center, trasporti e telecomunicazioni. Oltre al lavoro remoto, l’evoluzione verso il multicloud è un altro importante fattore di rischio. Che si vada in questa direzione appare un dato di fatto, visto che il 48% del campione europeo utilizza almeno due fornitori IaaS, il 43% fa altrettanto per il PaaS e il 28% arriva a lavorare con più di 50 applicazioni SaaS. Oltre la metà delle aziende europee hanno memorizzato più del 40% dei propri dati su un cloud esterno e per buona parte (50%) si tratta di informazioni sensibili: “Tuttavia, solo il 17% delle aziende ha cifrato almeno la metà dei dati sensibili esternalizzati”, ha fatto notare uk manager di Thales, “e il solo il 25% ne conosce esattamente l’ubicazione”. La grande maggioranza delle aziende sa che il momento di rispondere alle crescenti minacce e agli attacchi informatici è adesso. Il “Data Threat Report” ha rilevato che il 76% delle aziende si affida ad alcuni concetti di sicurezza zero-trust per modellare la propria strategia di protezione, anche se solo il 31% ha adottato una strategia formale e attiva su questo fronte. L’approccio di Thales parte dalla rilevazione e classificazione dei dati, per poi passare alla cifratura di quelli sensibili, alla protezione delle chiavi e al controllo sistematico degli accessi degli utenti: “In Italia abbiamo già esempi di progetti realizzati, ad esempio in ambito bancario o nel campo della difesa”, ha indicato Calindri. “L’idea è abilitare l’adozione del cloud anche in tempi rapidi, ma lasciando sull’infrastruttura on-premise la custodia delle chiavi crittografiche, rispettando così la compliance e aumentando la sicurezza per le aziende nei rapporti con i provider, che altrimenti tendono a occuparsi anche del key management”.
RANSOMWARE, LA MINACCIA SEMPREVERDE
Tra vittime illustri, richieste di riscatto astronomiche e nuovi strumenti di attacco, il fenomeno dei malware “ricattatori” riserva continue sorprese.
Photo by FLY:D on Unsplash
Ne sentiamo parlare da anni, ma è sempre una novità. Il ransomware continua a stupire il mondo, trovando incessantemente nuovi bersagli e nuovi metodi di diffusione. Dai monitoraggi di Bitdefender (“Consumer Threat Landscape Report 2020”) emerge che nel 2020 gli attacchi con richiesta di riscatto sono cresciuti del 485% rispetto al 2019. Il ransomware è diventato un problema tanto grave ed esteso da essere inserito nell’agenda del summit G7 tenutosi a giugno in Cornovaglia, riunendo intorno a un tavolo i governi di Italia, Francia, Germania, Regno Unito, Stati Uniti, Canada e Giappone. Nel comunicato di fine lavori del “gruppo dei sette” c’è un invito “a tutti gli Stati a identificare e smantellare urgentemente le reti criminali ransomware che operano all’interno dei propri confini”. Nessuno è escluso, ma poco più avanti si legge una specifica ammonizione rivolta alla Russia, a cui viene chiesto di “identificare, smantellare e chiedere conto a coloro che, entro i suoi confini, conducono attacchi ransomware”. La frecciatina diretta al Cremlino non appare certo casuale, in un momento in cui i rapporti diplomatici fra Washington e Mosca non sono tra i più felici. A detta dell’Fbi, sarebbero i russi del collettivo hacker DarkSide gli autori dell’attacco dello scorso maggio alla rete di oleodotti di Colonial Pipeline. L’operatore avrebbe pagato un sostanzioso riscatto (5 miliardi di dollari, secondo le fonti di Bloomberg) per poter riattivare l’erogazione sugli 8.550 chilometri della sua rete, che veicola quasi la metà del fabbisogno di benzina, gasolio e altri petroliferi della Costa Est statunitense.
Vittime illustri del ricatto digitale Di lì a pochi giorni, il ransomware ha colpito un’altra infrastruttura critica, di altro tipo: il servizio sanitario nazionale irlandese, l’Health Service Executive (Hse), che “per precauzione”, è stato costretto a interrompere tutte le attività informatiche, scollegando temporaneamente i server e i computer della propria rete. Secondo quanto dichiarato dal direttore generale dell’Hse, Paul Reid, si è trattato di un attacco molto sofisticato, realizzato da persone in carne e ossa (dunque non da bot) che puntavano ad accedere ai dati del servizio sanitario irlandese per chiedere il pagamento di
TATTICHE SOFISTICATE PER MONETIZZARE
Nel 2020 l’81% delle aziende ha subìto almeno un attacco: è quanto emerge da uno studio di Vmware, “Global Security Insights”, condotto a fine 2020 su 3.542 responsabili informatici (Cio, Ciso e Cto) di imprese di 14 Paesi. Il fenomeno più macroscopico è stato l’incredibile aumento del 900% del numero di ransowmare nel primo semestre: un chiaro segno di come i cybercriminali abbiamo sfruttato l’ascesa dello smart working. “Gli aggressori hanno oggi un’opportunità senza precedenti di indirizzare i propri attacchi di social engineering, come il phishing ad esempio, verso una moltitudine di lavoratori ignari”, commenta Rodolfo Rotondo, principal business solution strategist per la regione Emea di Vmware. Un fenomeno parallelo è la crescita degli attacchi ransomware basati su tattiche sofisticate, che tentano di rimanere nell’ombra per il tempo necessario a diffondersi e stabilire una presenza nella rete target. “La crittografia del sistema e la richiesta di riscatto non sono effettuate fino a quando l’hacker non ha dissimulato bene le proprie tracce e stabilito un percorso di ritorno nella rete di destinazione”, spiega Rotondo. “Queste tecniche, sicuramente più sofisticate, concedono ai criminali informatici una maggiore presa e controllo sulle vittime. Oltre alla necessità di decriptare i propri sistemi, per le organizzazioni si pone anche il rischio che risorse critiche come i dati dei clienti o i segreti commerciali vengano diffusi illecitamente per la vendita sul dark web e che la violazione venga resa pubblica”. Dunque spesso il riscatto viene pagato, e oltre al danno c’è la beffa: è sempre possibile che l’aggressore si ripresenti in futuro con un nuovo attacco.
un riscatto. Di lì a poco è emerso, dalle analisi di BleepingComputer, che gli autori della malefatta hanno preteso una cifra di circa 20 milioni di dollari (anzi, la beffarda richiesta era di 19.999.000 dollari), che tuttavia l’Hse si sarebbe rifiutata di pagare. Gli autori dell’attacco sostengono di aver sottratto ben 700 GB di dati sensibili, inclusivi di documentazione clinica dei pazienti, contratti con i dipendenti e documenti di bilancio. I casi descritti illustrano bene la trasformazione del fenomeno ransomware. Agli attacchi di massa indifferenziati, in cui vengono crittografati singoli server, Pc o smartphone per chiedere riscatti da qualche centinaia di dollari, sempre più si affiancano attacchi mirati con richieste di pagamento astronomiche. La brasiliana Jbs, multinazionale colosso della lavorazione della carne, ha pagato 11 miliardi di dollari dopo che un ransowmare aveva bloccato parte delle sue attività in diversi Paesi. Nemmeno le società tecnologiche sono immuni dal rischio di cadere vittima, come è successo in primavera prima a Toshiba e poi a Fujifilm.
Il caso di Ryuk Nato nel 2018 dalle ceneri di un precedente ransomware (Hermes 2.1), Ryuk è il perfetto esempio della potenza distruttiva di questi programmi malevoli. Al pari della maggioranza dei ransomware, la sua arma principale è la cifratura dei dati, ma non nua qualsiasi: viene usata una combinazione di diversi algoritmi di crittografia per rendere illeggibili i file e allo stesso tempo proteggere le chiavi crittografiche (necessarie per riportare i dati in chiaro). Tra le vittime di Ryuk sfilano centinaia di ospedali nordamericani, compagnie petrolifere, un’agenzia governativa statunitense, amministrazioni locali, una grande società di servizi ingegneristici, una testata giornalistica, un fornitore di servizi finanziari, un produttore alimentare e - ultimo in ordine cronologico - un istituto di ricerca biotecnologica europeo. L’istituto ha relazioni strette con università locali e ha avviato con gli studenti diversi programmi di ricerca. Stando all’analisi di Sophos, che ha intercettato e contenuto l’attacco in questione, è stato proprio uno studente ad aprire la porta a Ryuk, scaricando dal Web e installando sul proprio computer una versione pirata di un presunto software di visualizzazione. Quest’ultimo era in realtà un programma deputato al furto di dati, che ha intercettato le credenziali usate dallo studente per collegare il Pc alla rete dell’azienda. Tredici giorni dopo, una connessione Rdp (remote desktop protocol) si è registrata sulla rete dell’istituto usando tali credenziali, per poi sganciare il ransomware da lì a dieci giorni. Secondo stime delle società di cybersicurezza Advintel e Hyas, gli autori di Ryuk hanno finora guadagnato oltre 150 milioni di dollari (per lo più ottenuti in Bitcoin) ricattando le loro vittime. Tracciando i percorsi dei pagamenti su una sessantina di depositi di criptovaluta, i ricercatori di Hyas ipotizzano un’origine asiatica, forse cinese. Oltre che tramite botnet (come Trickbot) e con catene d’attacco simili a quella usate con il sistema sanitario irlandese, Ryuk può anche propagarsi in modo automatico sulle reti già infette, sfruttando funzionalità simili a quelle di un worm.
