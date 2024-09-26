Secondo il report Report Cost of a Data Breach di IBM del 2024, il costo medio globale di una violazione dei dati ha raggiunto quest'anno i 4,88 milioni di USD, un aumento del 10% rispetto al 2023.
Per il settore sanitario, il report offre sia buone notizie che cattive notizie. La buona notizia è che i costi medi delle violazioni dei dati sono diminuiti del 10,6% quest'anno. La cattiva notizia è che, per il 14° anno consecutivo, il settore sanitario è in cima alla lista dei recuperi più costosi dopo le violazioni, con una media di 9,77 milioni di dollari.
Il ransomware gioca un ruolo chiave nel creare questa differenza di costo. Come rilevato dai dati dell'Office of the Director of National Intelligence, il numero di attacchi ransomware è quasi raddoppiato tra il 2022 e il 2023. Recenti attacchi su larga scala, come quelli contro Change Healthcare e Ascension, invece, hanno dimostrato l'efficacia di questi attacchi nel far ottenere agli hacker ciò che vogliono.
Il risultato? Il ransomware è in aumento. Ecco cosa le organizzazioni sanitarie devono sapere sul perché il ransomware funziona così bene, cosa vogliono gli aggressori e come le compromissioni passate guidano le tendenze future.
I dati sanitari sono preziosi, non solo dal punto di vista finanziario ma anche fisico.
Consideriamo un attacco ransomware che trova e cripta i dati del paziente. Nel migliore dei casi, i piani di trattamento dei pazienti vengono temporaneamente ritardati o messi in attesa. Nel peggiore dei casi, le vite sono a rischio perché il personale non può accedere alle informazioni critiche dei pazienti.
Se le aziende sanitarie resistono e si rifiutano di pagare, non stanno solo affrontando problemi finanziari e operativi, ma stanno anche potenzialmente mettendo a rischio i pazienti. Questo crea un problema di doppia pressione, con i vertici aziendali e le famiglie dei pazienti che fanno pressione sui team IT perché obbedisca all'estorsione invece di cercare di decriptare i dati compromessi. Di conseguenza, le aziende sanitarie sono più propense rispetto ad altre settori a pagare il riscatto, anche se non c'è garanzia che i dati vengano poi decriptati e gli attaccanti non riprovino il colpo.
Mentre problemi interni come errori umani e guasti IT hanno rappresentato il 26% e il 22% degli attacchi al sistema sanitario, rispettivamente, il 52% delle violazioni è stato attribuito ad attori malintenzionati.
Secondo un rapporto Office of Information Security and the Health Sector Cybersecurity Coordination Center (HC3), i principali percorsi di attacco per il settore sanitario includono social engineering, attacchi di phishing, compromissione delle e-mail aziendali (BEC), DDoS (Distributed Denial-of-Service) e botnet.
La compromissione attraverso uno di questi percorsi offre ai criminali informatici l'opportunità di scaricare e installare il ransomware. In caso di attacchi come il phishing o la compromissione delle e-mail, potrebbero passare giorni, settimane o addirittura mesi prima che le organizzazioni scoprano di essere state violate.
La carenza di personale IT facilita inoltre la violazione delle reti sanitarie da parte degli aggressori. Come evidenziato da recenti ricerche di CDW, solo il 14% delle organizzazioni sanitarie afferma che i propri team di sicurezza IT siano dotati di personale a sufficienza. Oltre la metà dichiara di aver bisogno di più aiuto e il 30% afferma di essere sotto organico o gravemente sotto organico. Ciò pone molte aziende in uno stato di continuo triage della cybersecurity, il che le lascia un passo (o più) indietro rispetto agli attori malintenzionati.
Gli aggressori cercano di criptare ed esfiltrare qualsiasi dato, il che rende più difficile per le organizzazioni sanitarie svolgere attività chiave o le mette a rischio di compromissione normativa.
Questo include le cartelle cliniche elettroniche (EMR) che contengono informazioni sul paziente come piani di trattamento, informazioni finanziarie, dettagli assicurativi o numeri di previdenza sociale. Gli aggressori possono anche impedire al personale di accedere a soluzioni chiave come strumenti di programmazione o interruzioni con i servizi cloud service.
In breve, vogliono tutto ciò che possono vendere e tutto ciò che possono usare per indurre ad agire immediatamente. Prendiamo in considerazione una società finanziaria. Se i documenti protetti vengono violati, le società finanziarie potrebbero subire perdite monetarie e di reputazione. Nel caso dell'assistenza sanitaria, invece, una compromissione potrebbe portare a lesioni gravi o addirittura alla perdita di vite umane, entrambi eventi significativi che rendono praticamente impossibile per le organizzazioni recuperare una solida reputazione nel settore.
Gli attacchi ransomware sono in crescita, in parte perché gli hacker vedono successi ripetuti.
Ad esempio, nel febbraio 2024, Change Healthcare ha subito un attacco ransomware orchestrato da un gruppo noto come BlackCat. Invece di correre il rischio di perdere dati critici, Change ha pagato agli aggressori 22 milioni di dollari. Secondo un recente articolo di NPR, le perdite totali dell'azienda dovute all'incidente probabilmente supereranno la cifra di 1,5 miliardi di dollari.
Tre mesi dopo, un altro gruppo ransomware ha colpito Ascension, un sistema sanitario cattolico con 140 ospedali in 10 stati. I fornitori sono stati esclusi dai sistemi critici che aiutavano a monitorare e coordinare l'assistenza ai pazienti, che includevano informazioni su tipi di medicina, dosi e potenziali reazioni problematiche. Il ritorno al cartaceo ha aiutato Ascension a gestire l'impatto, ma ha rallentato notevolmente i processi operativi.
Il successo continuo degli attacchi ransomware crea un'opportunità sia per aggressori esperti sia per i loro colleghi meno esperti: chi ha talento nella codifica può creare il proprio codice e combinarlo con gli strumenti malware esistenti, mentre chi non ha competenze può acquistare pacchetti ransomware pronti all'uso sui marketplace del dark web.
Ridurre i rischi di ransomware richiede un approccio in due fasi che includa protezione e rilevamento.
La protezione include l'uso di strumenti anti-spoofing e di verifica e-mail in grado di ridurre il numero di messaggi potenzialmente fraudolenti che arrivano nelle caselle di posta degli utenti. Ad esempio, le aziende possono contrassegnare determinate frasi come "azione urgente" o "trasferimento di fondi" per limitare il rischio di attacchi di phishing.
AI e gli strumenti automatizzati, invece, possono aiutare a ridurre il tempo necessario per le Organizzazioni per rilevare e, di conseguenza, mitigare gli attacchi. Secondo Brendan Fowkes, Global Industry Technology Leader for Healthcare presso IBM, le aziende sanitarie che utilizzavano AI e automazione sono riuscite a rilevare e contenere gli incidenti 98 giorni più velocemente della media. Inoltre, le aziende che utilizzano queste soluzioni hanno risparmiato in media quasi 1 milione di dollari.
Gli attacchi ransomware alle organizzazioni sanitarie continuano ad aumentare, poiché i criminali informatici riconoscono il valore dei dati operativi e dei pazienti per costringere le aziende colpite a prendere provvedimenti.
Sebbene sia impossibile eliminare completamente il rischio di ransomware, le aziende possono ridurre il loro potenziale di compromessa combinando strumenti di protezione e-mail con soluzioni di rilevamento AI capaci di automatizzare processi chiave e individuare potenziali problemi prima che compromettano i dati pertinenti dei pazienti.