Perché gli Ospedali Italiani sono nel mirino del Cybercrime? Se una PA non può pagare un riscatto, cosa ci guadagnano?

Redazione RHC : 31 Maggio 2024 10:16

La sicurezza informatica (o la sua mancanza) è diventata uno dei principali argomenti di tendenza nelle notizie in tutto il paese, con segnalazioni di nuovi attacchi che sembrano emergere su base quasi settimanale.

Dalle agenzie governative agli assicuratori sanitari, sembra che nessun settore sia al sicuro dagli attacchi informatici, ma le aziende sanitarie, quelle che nel 2021 chiamavamo come le “le galline dalle uova d’oro”, sono ad oggi tra i settori più colpiti.

Ma perché?

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

In questo articolo vogliamo fare una panoramica sul perchè in maniera ricorrente i criminali informatici attaccano le strutture sanitarie e il valore del dato sanitario nel mercato nero oggi.

Un po’ di Storia sugli attacchi agli ospedali

L’interesse dei criminali informatici per le organizzazioni sanitarie risale a diversi anni fa, ma negli ultimi tempi si è verificato un aumento significativo di questi attacchi. Uno dei primi casi di rilievo è stato nel 2016, quando l’ospedale Hollywood Presbyterian Medical Center a Los Angeles è stato colpito da un attacco ransomware che ha bloccato il sistema informatico dell’ospedale, richiedendo un riscatto di 17.000 dollari in bitcoin per ripristinare l’accesso ai file critici dei pazienti.

Questo incidente sollevò l’allarme sulla vulnerabilità delle organizzazioni sanitarie agli attacchi informatici e ha evidenziato la necessità di rafforzare le misure di sicurezza informatica nel settore sanitario.

Negli anni successivi, gli attacchi informatici contro le organizzazioni sanitarie sono diventati sempre più sofisticati e diffusi, con un’ampia varietà di minacce, tra cui ransomware, phishing, violazioni dei dati e attacchi mirati.

Nel 2020, durante la pandemia di COVID-19, gli attacchi informatici contro le strutture sanitarie sono aumentati ulteriormente. Ricordiamo l’attacco alla Vastaamo, una clinica di psicoterapia privata finlandese fondata nel 2008. Il 21 ottobre 2020, Vastaamo ha annunciato che il suo database dei pazienti era stato rubato. I pirati informatici avevano chiesto 40 bitcoin, all’epoca circa 450mila euro, minacciando di pubblicare i dati trafugati. L’azienda alla fine andò in bancarotta.

Sempre nel 2020 vogliamo ricordare l’attacco all’ospedale di Düsseldorf che comportò della morte di una donna di 78 anni affetta da un aneurisma aortico. Quello che era iniziata come una chiamata di routine ha preso una brutta piega quando hanno chiamato l’ospedale universitario locale per informare il personale del loro imminente arrivo scoprendo che era paralizzato da un attacco ransomware.

Successivamente le cyber gang criminali si divisero in due fazioni. Chi esplicitamente dichiarava di non colpire ospedali e aziende sanitarie e cliniche pediatriche e chi invece non aveva intenzione darsi delle regole come ad esempio la cyber gang Black Basta.

Il fenomeno italiano degli attacchi agli Ospedali

L’Italia subisce costantemente attacchi alle strutture sanitarie, in quanto la loro sicurezza risulta molto da migliorare. Nel tempo in Italia, abbiamo visto moltissimi aziende sanitarie pubbliche oltre che private cadere vittima del ransomware.

Di seguito un elenco di quelle trattate in 2 anni su Red Hot Cyber:

• L’ospedale San Giovanni Addolorata di Roma,
• ASL 3 di Roma
• ASL 2 di Savona
• ASL 2 di Terni
• ASP di Messina 2021
• ULSS6 di Padova
• ASL Napoli 3
• ASST Lecco
• ASP Messina 2022
• ATS Insubria
• Fatebenefratelli Sacco
• Ospedale Macedonio Melloni
• ASL5 di La Spezia
• Ospedale Universitario di Parma
• Ospedale Niguarda
• ASL1 Abruzzo
• Centro Ortopedico di Quadrante
• Azienda ospedaliera universitaria integrata di Verona.

Ma se le aziende non pagano i riscatti, cosa ci guadagnano?

Gli ospedali e altre istituzioni sanitarie sono diventati obiettivi privilegiati per gli attacchi informatici, anche da parte di criminali informatici che sfruttano il ransomware per estorcere denaro. Tuttavia, c’è una domanda che sorge spontanea: perché attaccare istituzioni che potenzialmente non possono permettersi di pagare i riscatti richiesti?

Perché i dati presenti all’interno degli ospedali possono consentire loro di svolgere ulteriori azioni fraudolente come:

• Frodi Finanziarie: Utilizzano le informazioni personali dei pazienti per effettuare frodi finanziarie, come aprire nuovi conti bancari, richiedere carte di credito o ottenere prestiti, utilizzando l’identità delle vittime.
• Estorsioni: Possono minacciare di divulgare informazioni sensibili dei pazienti a meno che non venga pagato un riscatto, utilizzando i dati rubati come leva di pressione.
• Vendita al Mercato Nero: Le informazioni mediche personali possono essere vendute su mercati neri online a malintenzionati interessati a compiere frodi nel settore sanitario, a praticare estorsioni o a compiere altre attività illegali.
• Phishing e Truffe Online: Utilizzano i dati sensibili dei pazienti per condurre attacchi di phishing mirati, inviando email o messaggi di testo fraudolenti per indurre le vittime a rivelare ulteriori informazioni personali o finanziarie.
• Furto di Identità: Usano le informazioni personali dei pazienti per creare false identità, ottenere documenti falsi o effettuare altre attività illegali utilizzando l’identità delle vittime.

In generale, i dati sensibili rubati da organizzazioni sanitarie possono essere sfruttati in una vasta gamma di modi da parte dei criminali informatici per scopi fraudolenti, illegali o dannosi, mettendo a rischio la sicurezza e la privacy delle vittime e causando gravi conseguenze finanziarie, emotive e personali.

Il mercato dei dati sanitari

I dati sanitari raccolti dalle organizzazioni sanitarie sono una risorsa preziosa per la ricerca scientifica e lo sviluppo di nuovi trattamenti medici, farmaci e terapie. Questi dati forniscono informazioni cruciali sullo stato di salute dei pazienti, sull’efficacia dei trattamenti esistenti e sulla comprensione delle malattie, consentendo agli scienziati e ai ricercatori di avanzare nella medicina e migliorare la qualità delle cure mediche.

In Italia, l’accesso ai dati sanitari per scopi di ricerca e sviluppo è regolamentato da diverse leggi e normative, che stabiliscono rigide linee guida per garantire la protezione della privacy e la sicurezza dei pazienti. Una delle leggi fondamentali che disciplina il trattamento dei dati sanitari è il Regolamento Generale sulla Protezione dei Dati (GDPR), che è direttamente applicabile in tutti gli Stati membri dell’Unione Europea, compresa l’Italia.

Secondo il GDPR e la legislazione italiana in materia di protezione dei dati personali, l’accesso ai dati sanitari per fini di ricerca e sviluppo è consentito solo se vengono rispettati determinati requisiti e condizioni:

• Consenso Informato dei Pazienti: Prima di utilizzare i dati sanitari di un paziente per scopi di ricerca o sviluppo, è necessario ottenere il consenso informato e libero del paziente. Il consenso deve essere espresso in modo chiaro e inequivocabile e deve essere basato su informazioni complete e comprensibili sulle finalità del trattamento dei dati e sui diritti del paziente.
• Anonimizzazione o Pseudonimizzazione dei Dati: Quando possibile, i dati sanitari devono essere anonimizzati o pseudonimizzati per proteggere la privacy dei pazienti. Questo significa che le informazioni che possono identificare direttamente o indirettamente un individuo devono essere rimosse o sostituite con identificatori unici.
• Autorizzazione da Parte delle Autorità Competenti: In alcuni casi, il trattamento dei dati sanitari per fini di ricerca e sviluppo può richiedere un’autorizzazione specifica da parte delle autorità competenti, come il Ministero della Salute o le commissioni etiche.
• Garanzie di Sicurezza: Le organizzazioni che trattano i dati sanitari devono implementare adeguate misure di sicurezza per proteggere i dati da accessi non autorizzati, perdite o utilizzi impropri.
• Rispetto delle Normative di Settore: Oltre al GDPR, le organizzazioni che trattano dati sanitari devono rispettare le normative e i codici di condotta specifici del settore sanitario, come il Codice di Deontologia Medica e la normativa sull’etica della ricerca clinica.

Anche il Garante Privacy si è espresso in merito indicando le regole per utilizzare i dati sulla salute nella sperimentazione dei farmaci. Va da se che moltissime aziende che operano nei settori sanitari quali ditte farmaceutiche e aziende che effettuano ricerca & sviluppo, possono essere molto interessate a tali dati.

L’acquisto all’interno dell’underground criminale facilita la loro gestione, eliminando richieste, trattamenti e protezioni, accelerando i loro programmi di sviluppo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.