Attacco informatico: quanto sono protetti gli ospedali?
Gli ospedali sono protetti dagli attacchi degli hacker? Uno studio è andato a fondo della questione.
La valutazione dei dati di misurazione raccolti sistematicamente nell'ambito di una tesi di master dall'ingegnere elettrico Martin Darms parla chiaro: solo 84% degli ospedali sono sufficientemente armati contro gli attacchi informatici. In alcuni casi, ci sono persino gravi debolezze, come dimostra anche Darms nella sua tesi "Gefährdung Schweizer Spitäler gegenüber Cyberangrifffen".
Lo studio lavora con un indice di pericolosità appositamente sviluppato, l'Hospital Vulnerability Index, abbreviato HVX. Questo indice consente di confrontare facilmente i diversi ospedali tra loro. I valori superiori a 100 indicano che l'ospedale in questione è vulnerabile agli attacchi. Più basso è questo valore, più l'ospedale è protetto da attacchi esterni e da attacchi interni alla rete ospedaliera.
Conseguenze potenzialmente disastrose
Un attacco a un ospedale può avere conseguenze devastanti: Tutto è possibile, dall'innocuo guasto della homepage dell'ospedale alla paralisi completa delle operazioni ospedaliere. Nel peggiore dei casi, con esito fatale per chi ha bisogno di cure. Si pensi, ad esempio, ai pazienti in emergenza collegati a macchine polmonari o al caso in cui sia necessario effettuare esami urgenti con apparecchiature mediche, ma queste non sono disponibili. Di conseguenza, non si può fare alcuna diagnosi o una diagnosi sbagliata.
Con un po' di conoscenze specialistiche e gli strumenti giusti da internet, è possibile causare danni considerevoli, persino mortali, come recentemente riportato nello Spiegel Online 33/2015 nell'articolo "Wehrlos 4.0". In un test, è stato possibile spegnere i respiratori con un attacco DoS (Denial of Service). Da tempo si sospetta che ciò sia possibile. Per questi test, ovviamente, deve essere possibile penetrare nella rete ospedaliera. In questo caso, almeno gli ospedali svizzeri studiati sono relativamente ben protetti.
Diversi livelli di sicurezza - enorme mole di dati
Martin Darms sui risultati del suo studio: "Lavoro per aziende mediche da oltre 20 anni e quindi i test interni non mi sorprendono. Conosco la situazione da entrambi i lati. Ciò che mi ha sorpreso, tuttavia, sono i livelli di sicurezza molto diversi. Ci sono differenze dell'ordine di 10 volte!". Ciò significa che alcuni ospedali sono protetti 10 volte peggio di altri.
Con il consenso dei rispettivi responsabili IT, Darms ha esaminato 523 sistemi (dispositivi medici, server, client) alla ricerca di vulnerabilità. I dati sono stati raccolti in 7 dei 278 ospedali e cliniche della Svizzera, corrispondenti a 2,5% di tutti gli ospedali svizzeri e a 4,1% di tutti i giorni di cura in Svizzera. Per un migliore confronto dei risultati e come riferimento, ha incluso nell'analisi anche una clinica in Germania, dove sono state effettuate misurazioni su oltre 200 sistemi. Da metà febbraio all'inizio di aprile 2015 sono state effettuate scansioni per un totale di quasi 90 ore, che hanno prodotto oltre 5.000 pagine di rapporti di scansione, analizzati nello studio.
Relativamente ben protetto dall'esterno
La valutazione mostra che la maggior parte degli ospedali è ben protetta dall'esterno. Ci sono 0,53 vulnerabilità critiche per ogni host esaminato. In altre parole, una vulnerabilità critica era presente su un sistema su due. Le vulnerabilità significative erano presenti in media 6,21 per sistema. Ciò significa che è relativamente difficile per un attaccante proveniente da Internet entrare nella rete interna dell'ospedale. Questo dato è anche in linea con i risultati dello Swiss Vulnerability Report 2015, anche se in questo caso non vengono presi in considerazione gli attacchi tramite social engineering o phishing.
Dall'interno "pieno di buchi come il formaggio svizzero".
La sicurezza delle reti interne degli ospedali è una questione completamente diversa, poiché in questo caso esistono gravi vulnerabilità. Sistemi operativi molto obsoleti e non più supportati, password standard, server di test non protetti: queste sono le porte d'accesso più frequenti per gli aggressori.
Le misurazioni effettuate internamente mostrano che esistono 1,01 vulnerabilità gravi per ogni host esaminato. In altre parole: In media, ogni sistema presentava una vulnerabilità critica. Le vulnerabilità significative erano in media 2,85 per sistema.
Esistono oltre 70.000 vulnerabilità in un'ampia varietà di sistemi operativi e componenti software, con oltre 10.000 vulnerabilità classificate come critiche. La tendenza delle nuove vulnerabilità scoperte è in costante aumento.
È inoltre interessante chiedersi se ci siano già stati attacchi mirati alle infrastrutture informatiche degli ospedali. Negli Stati Uniti, la causa più comune di violazione dei dati è rappresentata dagli attacchi informatici, che sono aumentati drasticamente negli ultimi cinque anni. La tesi di master non si limita a raccogliere dati, ma fornisce anche le migliori pratiche su come proteggersi efficacemente dagli attacchi informatici:
- Definire e applicare le politiche IT, definire e seguire i processi.
- Formare i dipendenti (sensibilizzarli agli attacchi di phishing/social engineering).
- Creare un concetto di sicurezza con diverse zone e diritti.
Infine, ma non meno importante, l'uso regolare di strumenti di gestione delle vulnerabilità contribuisce alla sicurezza di un sistema informatico ospedaliero.
Fonte: Martin Darms, mdarms@gmx.ch, Tesi di diploma, studi MBA, presso l'Università di Milano. Istituto Johner per l'informatica nella sanità
