Premessa
In un panorama tecnologico in continua evoluzione, il settore sanitario ha assistito a una notevole trasformazione digitale ed è sempre più indirizzato verso sistemi medici interconnessi e dipendenti dalle attuali tecnologie. Referti/prescrizioni disponibili online, dispositivi medici connessi a internet e database condivisi, hanno sì notevolmente migliorato le pratiche mediche ma hanno anche esposto le istituzioni sanitarie e i loro operatori a una nuova serie di minacce di cui oggigiorno bisogna essere consapevoli e preparati.
In quanto custodi di informazioni sensibili, qualsiasi infrastruttura sanitaria deve essere in grado di salvaguardare la privacy e l’integrità dei dati in suo possesso, garantire la sicurezza dei pazienti e scongiurare fermi o disservizi alla normale operatività. Troppo spesso, invece, l’inadeguatezza di risorse, budget stanziati, formazione specifica, piani di Incident response/Disaster recovery, creano le condizioni ideali a organizzazioni criminali mosse da finalità terroristiche, che sfruttano vulnerabilità non sanate con l’intento di trarne un profitto (spesso anche economico).
Principali minacce in ambito sanitario
Ransomware
È un tipo di malware che colpisce prevalentemente sistemi operativi Windows (anche se sono in crescita ransomware per ambienti Unix-like) ed esegue la crittografia dei dati memorizzati su disco, presentando quasi sempre una richiesta di riscatto in criptovalute e istruzioni per recuperarli (verosimilmente) una volta pagata la cifra ai malfattori.
In caso di mancato pagamento talvolta, per ripicca, segue una pubblicazione in chiaro su forum underground. Il vettore tipico di questo tipo di attacchi è un eseguibile (mascherato da PDF, file immagine, documento Office) allegato via mail.
Contrastare questo tipo di attacchi non è semplice: in primo luogo, viene tendenzialmente preso di mira l’utente non tecnico che tuttavia ha diversi privilegi di accesso a risorse/server interni; questi malware, inoltre, sfruttano vulnerabilità recenti (talvolta anche 0-day) non ancora patchate negli ambienti in produzione e adottano tecniche di antivirus evasion che consentono loro di far breccia nel sistema operativo.
Successivamente, ad infezione avvenuta, la procedura ideale da seguire per gli amministratori prevede un isolamento della macchina colpita, ripristino dei backup disponibili o snapshot in caso di macchina virtuale. In linea teorica è anche possibile tentare di decrittografare autonomamente i dati: identificare con precisione il malware impiegato, nella speranza si tratti di una versione datata per cui le community o vendor specifici hanno già elaborato strumenti per il recupero. Questa opzione sicuramente aumenta le probabilità di recupero ma rimane comunque un percorso da intraprendere come extrema ratio.
Social engineering
Oltre il 70% delle violazioni ha inizio da phishing o social engineering. È un insieme di tecniche rapide da realizzare e piuttosto efficaci se portate a segno, utilizzate da malintenzionati per attirare e indurre l’utente a inviare loro credenziali o informazioni sensibili, facendo leva sulla buona fede o mancanza di conoscenza in uno specifico contesto. Vi sono diversi tipi di tecniche di social engineering, di seguito le più utilizzate in ambito sanitario:
- Phishing: via mail ma anche sms, messaggi WhatsApp (Smishing in questo caso), in genere la comunicazione è ben contraffatta e presenta un senso di urgenza, inducendo la vittima a compiere una determinata azione (cliccare un link, scaricare/eseguire un allegato).
- Vishing (Voice Fishing): con una semplice telefonata (magari ben contestualizzata e dettagliata) è possibile impersonare un determinato soggetto, ottenere informazioni preziose per allargare la superficie d’attacco e talvolta anche ottenere accessi/credenziali.
- Piggybacking/Tailgating: facendo leva su empatia e persuasione, è possibile ottenere da un soggetto autorizzato accesso fisico a una determinata area della struttura (raggiungendo magari un terminale sbloccato e non presidiato in quel momento) così come accodarsi e sfruttare l’ingresso di una persona normalmente autorizzata.
- Dumpster diving: è la pratica con cui si cercano informazioni frugando nei cestini della spazzatura, anche in prossimità dei locali dell’organizzazione, con l’intento di rintracciare stampe di mail, note, contatti e documenti non correttamente smaltiti.
- Reverse Social Engineering: meno frequente, anche se comunque degno di nota. L’attaccante, senza avere iniziale contatto con la struttura, crea un disservizio per poi presentarsi al momento opportuno – se non già fatto in precedenza, in quest’ultimo caso verrà probabilmente ricontattato dalla vittima stessa – come soggetto/ente competente a risolvere la problematica. L’alto grado di fiducia creatasi nei suoi confronti, assicurerà all’attaccante un ampio spazio di manovra per garantirsi accessi o trafugare dati.
Applicazioni web vulnerabili
Così come qualsiasi attività oggi giorno si presenta al pubblico con un sito web, anche le aziende ospedaliere interagiscono con i pazienti tramite portali che raccolgono e scambiano informazioni. Se non correttamente sviluppate, le applicazioni web possono presentare vulnerabilità più o meno gravi che sono ben puntualizzate dallo standard di riferimento OWASP Top 10. Di seguito le più diffuse e impattanti:
- SQL Injection: quando nella web app sono presenti dei campi di input che non convalidano e sanificano correttamente tutto ciò che viene inserito dall’utente, è possibile iniettare codice SQL con l’intento di interagire e manipolare il database sottostante. Oltre all’estrazione di campi e tabelle (le più ricercate sono sempre quelle di username e password), è possibile anche bypassare form di login e alterare (o eliminare) i record dei contenuti.
- Cross-Site Scripting (XSS): è una vulnerabilità che sfrutta la buona fede dei browser, che durante la navigazione tendono a eseguire qualsiasi script per soddisfare la richiesta client e presentare al meglio le pagine web. Gli aggressori inseriscono codice JavaScript dannoso nella pagina web vulnerabile. Una volta iniettati gli script lato client, è possibile eseguire operazioni quali il furto di cookie, defacciare il sito con l’intento di rovinarne la reputazione o reindirizzare gli utenti verso altri siti controllati avviando operazioni di phishing. In questo tipo di scenario, è la vittima stessa a scatenare (involontariamente) l’attacco.
- Path Traversal: errori in fase di configurazione dei permessi a file e directory dell’applicazione web, consentono a un utente malintenzionato di manipolare i percorsi del web server e ad accedere a risorse che normalmente dovrebbero essere inaccessibili (si pensi a una cartella con immagini, uploads, elenco utenti presenti sulla macchina).
- Insecure Direct Object Reference (IDOR): si verifica quando un utente malintenzionato accede a risorse non autorizzate modificando i parametri negli URL o effettuando particolari richieste al web server non correttamente configurato. Come nel caso precedente, è possibile tentare una enumerazione delle risorse e visualizzare cartelle cliniche di altri pazienti o altre informazioni mediche normalmente non accessibili.
Attacchi DoS/DDoS
Sono attacchi mirati tramite strumenti network che inoltrano in breve tempo centinaia di richieste alla web app sovraccaricando il server sottostante e rendendo indisponibile il sito web. Si parla di DDoS (Distributed Denial of Service) quando viene impiegato un gran numero di device (spesso botnet che sfruttano host zombie, ovvero dispositivi a loro volta compromessi e sfruttati a loro volta). Questi attacchi non lasciano conseguenze permanenti ma rendono indisponibile al pubblico la risorsa per tutta la durata dell’attacco.
Autenticazione e controlli di accesso
Uno dei principi base della sicurezza informatica è quello del Least privilege, secondo cui è importante assegnare a un utente (o processo) solamente i privilegi minimi necessari per eseguire la propria mansione (o funzione). Meccanismi di autenticazione basici, la concessione di privilegi troppo ampi e controlli alle autorizzazioni non adeguati, possono consentire l’accesso a risorse interne riservate. Esempi classici rinvenibili in qualsiasi infrastruttura, sono share di rete troppo permissive, utenze con privilegi di amministratore non realmente necessari e password riciclate per più accessi o file server.
Esposizione server a Internet
Anche in ambito sanitario è possibile trovare server esposti a internet e raggiungibili con protocollo RDP (Remote Desktop Protocol). Si tratta perlopiù di macchine applicative legacy non più mantenute che svolgono ancora qualche funzione marginale. Una rapida ricerca mirata su porta 3389 sul portale Shodan, confermerà l’elevato numero di nodi attivi nel nostro paese e pubblicamente esposti, spesso senza reali necessità operative. Oltre a fornire diverse informazioni preziose per ricerche OSINT (come nomi utente, dominio, nome organizzazione), queste macchine sono facilmente soggette ad attacchi bruteforce e non essendo patchate alle ultime release – o peggio ancora, avendo sistemi operativi End-of-life – possono essere più facilmente compromesse con exploit e tentativi di Privilege escalation, per poi essere sfruttate in operazioni di pivoting e raggiungere altri host interni dell’organizzazione.
Rischi di terzi parti
Proprio come per qualsiasi altra attività, anche in ambito sanitario spesso ci si affida a fornitori. Per ragioni di convenienza, utenti malintenzionati potrebbero decidere di non attaccare direttamente un ospedale bensì un fornitore o un affiliato, come ad esempio un produttore di attrezzature mediche. In virtù delle funzioni svolte presso la struttura, le probabilità di ottenere informazioni, credenziali e accessi rilevanti sono comunque alte.
Dispositivi IoT
I dispositivi IoT hanno un enorme potenziale in grado di rivoluzionare il modo in cui fornire assistenza e monitorare attività ospedaliere. In questa categoria non rientrano solamente dispositivi personali indossabili ma anche ad esempio sensori di temperatura/umidità e allarmi che possono essere implementati in una struttura. Oltre ai rischi lato web app di cui abbiamo accennato prima – i dispositivi smart si appoggiano infatti a un servizio hostato sul web – esistono altri rischi connessi, quali vulnerabilità del firmware impiegato, CVE che possono sorgere nel tempo non sanabili dal produttore, impostazioni/credenziali di default e crittografia debole (o assente) nelle comunicazioni dispositivo/server che consentono attacchi di tipo Man-in-the-Middle (MitM), in cui viene intercettato o manipolato il traffico di dati. L’accesso fisico del dispositivo, infine, può permettere l’estrazione dalla memoria di informazioni rilevanti (si pensi alla password memorizzata di un Access point Wi-Fi).
Best Practices
“Chi non progetta la sicurezza programma il fallimento” diceva lo scomparso Kevin Mitnick. Il settore sanitario è da sempre uno dei più bersagliati dagli attacchi informatici: i dati in possesso delle strutture sanitarie sono di grande valore per i criminali informatici. Basti pensare che questa tipologia di informazioni – una volta rese note – consente a multinazionali del settore farmaceutico o assicurativo di orientare scelte commerciali condizionando l’andamento del mercato. Statisticamente, purtroppo, la sanità registra le peggiori performance in termini di investimenti dedicati alla sicurezza informatica. Falso senso di sicurezza, mancata prevenzione e tempi di reazione troppo lenti costano in media 10,10 milioni di dollari a violazione.
Formazione continua
Nella cyber security si ricorda spesso che l’anello debole nella catena di difesa si trovi fra il monitor di un computer e la sedia della scrivania. Dato che un attacco tramite Social Engineering è più semplice ed efficace rispetto alla violazione di un perimetro o un’applicazione, sarebbe auspicabile istituire programmi di formazione regolari per aiutare gli operatori a riconoscere potenziali minacce, a prevenire gli attacchi di phishing e altre tattiche di attacco comuni.
Risk assessment and Risk management
È necessario predisporre piani periodici di Risk assessment e Incident response in caso di violazioni e data breach di modo da mitigare i danni, così come assicurarsi di essere conformi alle ultime normative sulla privacy e protezione dei dati.
Aggiornamenti regolari del software e gestione delle patch
Dal momento che prevenire è meglio che curare, avere un’infrastruttura in linea con le ultime release e patch di sicurezza rende la vita difficile agli utenti malintenzionati. È sempre buona norma stabilire a monte policy e modalità operative da attuare regolarmente di modo da restringere la superficie e ridurre i vettori di attacco.
Crittografia dei dati e controlli di accesso
Oltre ad applicare la regola del privilegio minimo, per un’infrastruttura è importante avere sotto controllo log e statistiche degli accessi eseguiti alle varie risorse (chi e quando). Ogni dato sensibile dovrebbe essere sottoposto a cifratura con algoritmi recenti e sicuri (così come sarebbe bene aggiungere un salt agli hash delle credenziali memorizzate nei database) e bisognerebbe istituire policy rigorose circa la complessità delle password e la gestione dei device in dotazione agli operatori.
Segmentazione della rete e adozione di IPS/IDS
La segmentazione della rete è una strategia che prevede la suddivisione dell’infrastruttura network in segmenti più piccoli, ciascuno con le proprie risorse e accessi. È una prassi di fondamentale importanza finalizzata a ridurre il rischio di eventuali violazioni, limitando la quantità di danni che un attacco può causare. Oltre all’implementazione di regole rigorose lato firewall e di un antivirus centralizzato, è auspicabile implementare anche piattaforme IDS/IPS (Intrusion Detection System e Intrusion Prevention System) a sorvegliare il traffico sulla in entrata/uscita. Un IDS monitora il traffico di rete alla ricerca di attività sospette, come attacchi brute force o accessi non autorizzati, inviando una notifica agli amministratori. Un IPS, oltre a rilevare un’attività sospetta, è in grado di bloccare quest’ultima prima che possa causare danni ed effettuare una serie di operazioni decise dall’amministratore. Sebbene efficaci, è necessario che la loro configurazione sia impeccabile per evitare di bloccare accidentalmente traffico legittimo causando interruzioni di servizio e falsi positivi.
Policy di backup
Per garantire la sicurezza e l’affidabilità dei dati e far fronte a situazioni critiche o data breach, è necessario stabilire policy e strategie di backup efficienti. In particolare, è buona norma determinare i momenti in cui eseguire i backup in base alla frequenza con cui vengono modificati i dati sorgente; successivamente si stabilirà se optare per backup completi, incrementali o differenziali. È importante che esistano più supporti per l’archiviazione (come detta la famosa regola del 3-2-1) e che i dati siano protetti da furti fisici e crittografati nel caso vengano comunque trafugati o compromessi. Tutti i backup, infine, devono essere verificati nel tempo per garantirne l’integrità, così come devono essere effettuati test di ripristino per accertarsi che siano realmente utilizzabili in caso di necessità.
Penetration test
Nonostante accada raramente in ambito sanitario, ingaggiare un team che svolga un penetration test o quantomeno un Audit interno aiuterebbe enormemente ad identificare potenziali vulnerabilità applicative o infrastrutturali, evidenziando carenze e migliorando la comprensione dei rischi e delle difese da attuare per contrastarli.
Gestione dei log
Una piattaforma di logging assicura a qualsiasi infrastruttura il controllo delle attività interne, presentando in maniera organizzata e facilmente consultabile log di sistema, rete, applicativi. Oltre ad essere utile nell’identificazione di eventuali anomalie e a monitorare le prestazioni complessive del sistema, fornisce all’amministratore informazioni preziose circa potenziali punti deboli o mancanze che possono rappresentare un vettore di attacco e allo svolgimento di audit interni volti a migliorare la sicurezza generale dell’ambiente.
Conclusioni
In un mondo connesso e dipendente da internet, i dati e le informazioni personali sono gli elementi più preziosi e le sfide per garantirne un’adeguata protezione sono ancora tante. Nonostante i numerosi vantaggi portati dallo sviluppo dell’informatica e delle comunicazioni, è importante essere consapevoli che esisteranno sempre rischi specifici nel data management ed è necessario che tutti gli operatori coinvolti seguano tutte le misure necessarie alla protezione di ogni singolo asset senza sottovalutare l’importanza che ogni singola informazione potrebbe avere. Come recita un celebre aforisma di Edward Snowden, “affermare che non si è interessati al diritto alla privacy perché non si ha nulla da nascondere è come dire che non si è interessati alla libertà di parola perché non si ha nulla da dire”.
English 
Italian