Gli ospedali sono il bersaglio in una nuova forma di cyber guerra

Dai primi giorni del cybercrimine, i dati sanitari sono stati un obiettivo principale. Fino a poco tempo fa, la maggior parte degli attacchi informatici agli ospedali seguiva uno schema familiare: i gruppi di ransomware criptavano i registri dei pazienti e chiedevano un riscatto. Il motivo era chiaro – e si trattava solo di denaro.

Ma gli esperti di sicurezza informatica ora avvertono di un cambiamento. Un numero crescente di attacchi ai sistemi del settore sanitario sembra essere guidato non dal profitto, ma dalla politica. Questi incidenti, spesso riconducibili a gruppi sostenuti da stati nazionali, mirano a disturbare le operazioni degli ospedali, rubare dati medici sensibili e minare la fiducia pubblica. Le Nazioni Unite hanno definito gli attacchi informatici alla sanità “un rischio diretto e sistemico per la salute pubblica e la sicurezza globale”.

Questo cambiamento si verifica in un momento vulnerabile, poiché la fiducia nelle istituzioni sanitarie rimane fragile. Gli attacchi informatici approfondiscono questa sfiducia, mettono a dura prova le infrastrutture critiche e confondono la linea tra impresa criminale e strategia geopolitica. In quanto persona che lavora all’intersezione della sicurezza sanitaria e del condivisione di informazioni, credo che questo non sia più solo un problema criminale – è una minaccia per la sicurezza nazionale.

La sfida dell’attribuzione

Mentre le motivazioni dietro gli attacchi informatici al settore sanitario cambiano, così anche la complessità di capire chi è dietro di essi – e perché.

A differenza dei motivi finanziari diretti dei tradizionali gruppi di ransomware, le campagne sostenute dagli stati sono spesso nascoste dietro strati di proxy sofisticati, fronti di hacktivisti o cybercriminali affiliati in modo lasco. Ciò che potrebbe inizialmente sembrare un incidente di ransomware di routine potrebbe, dopo un’indagine più approfondita, rivelare segni di una strategia coordinata: targeting infrastrutture sanitarie critiche, massimizzazione della distruzione operativa e attenta evitazione dell’attribuzione a qualsiasi stato nazionale.

Questo modello è già stato visto in casi di alto profilo. Durante la pandemia di COVID-19, diverse istituzioni sanitarie europee hanno subito attacchi informatici che i funzionari hanno successivamente sospettato essere collegati a operazioni di intelligence straniere. Sebbene gli attacchi abbiano inizialmente assomigliato a campagne di ransomware criminali, un’analisi più approfondita ha puntato a obiettivi più ampi – come rubare la ricerca sui vaccini, disturbare le cure durante un’emergenza sanitaria pubblica o seminare sfiducia nel sistema sanitario.

Questa ambiguità deliberata serve bene agli attaccanti. Mascherando il sabotaggio strategico come attività criminale, essi evitano le conseguenze politiche dirette mentre infliggono comunque gravi danni alle istituzioni che forniscono cure ai pazienti. Per i difensori, questa linea confusa tra crimine e geopolitica complica la risposta a ogni livello: tecnico, operativo e diplomatico.

Nel settore sanitario, la sicurezza dei pazienti è a rischio immediato durante un incidente informatico e c’è poco tempo o capacità per un’analisi forense approfondita. Senza una chiara comprensione della natura e dello scopo di un attacco, gli ospedali e i fornitori di servizi sanitari potrebbero sottovalutare la minaccia, perdere modelli più ampi e non riuscire a coordinare una strategia difensiva adeguata.

Importanza del condividere le informazioni

La chiave per costruire una difesa efficace è l’azione collettiva, che dipende dal libero scambio di informazioni. Le organizzazioni di infrastrutture critiche stanno unendosi per formare Centri di condivisione e analisi delle informazioni, o ISAC. Health-ISAC riunisce oltre 14.000 persone attraverso un’associazione industriale no-profit progettata per facilitare scambi fiduciari di informazioni di minaccia di sicurezza informatica, consentendo risposte più rapide e coordinate ai rischi emergenti. Health-ISAC collega ospedali, aziende farmaceutiche, assicuratori e altri stakeholder, creando un ecosistema in cui le conoscenze fluiscono più liberamente e gli avvertimenti precoci possono essere amplificati in tutta la comunità sanitaria globale.

Condividendo indicatori di compromissione, tecniche di attacco, comportamenti sospetti e lezioni apprese, le organizzazioni possono trasformare osservazioni isolate in intelligence a livello di settore. Una firma di malware individuata in un singolo ospedale oggi potrebbe essere l’avvertimento precoce che previene un’onda di attacchi in tutto il mondo domani. In questo modo, il condividere le informazioni trasforma la difesa da una serie di lotte isolate in uno sforzo coordinato e proattivo.

Tuttavia, costruire e sostenere questo tipo di collaborazione non è senza sfide. Un condivisione efficace dipende dalla fiducia: fiducia che le informazioni sensibili saranno gestite in modo responsabile e fiducia che i partecipanti sono impegnati nella difesa reciproca. Le organizzazioni del settore sanitario devono essere disposte a segnalare gli incidenti in modo trasparente. Favorire questa cultura di apertura rimane una delle sfide più grandi del settore, ma anche una delle sue più potenti opportunità per rafforzare l’industria contro minacce sempre più sofisticate.

Costruire la resilienza

Mentre i controlli di sicurezza informatica robusti rimangono essenziali, la realtà è che prevenire ogni attacco è impossibile. Pertanto, le istituzioni del settore sanitario devono investire nella resilienza: la capacità di mantenere o ripristinare rapidamente servizi critici sotto attacco.

Questo inizia con la preparazione. Le organizzazioni dovrebbero sviluppare e provare regolarmente piani di risposta agli incidenti dettagliati adattati ai loro flussi di lavoro specifici, alle strutture e alle esigenze di assistenza ai pazienti. Questi esercizi aiutano il personale a sapere cosa fare quando i sistemi vanno giù e assicurano che la presa di decisioni non sia ritardata dalla confusione o dall’incertezza durante una crisi.

Le architetture di rete segmentate sono un’altra difesa critica. Isolando i sistemi – come separare i dispositivi medici dagli strumenti amministrativi o confinare le reti di laboratorio al loro segmento – le organizzazioni possono impedire che il malware si sposti lateralmente e causi una distruzione diffusa. Questo tipo di compartimentalizzazione limita i danni e acquista tempo prezioso per i team di risposta.

Altrettanto importante è la forza e l’accessibilità dei sistemi di backup e ripristino. I backup dovrebbero essere archiviati in modo sicuro, testati regolarmente e mantenuti in formati offline o immutabili per evitare che vengano manipolati durante un attacco. Più rapidamente un’organizzazione può ripristinare i registri dei pazienti, gli strumenti di pianificazione e i sistemi di comunicazione, più rapidamente può tornare a fornire cure sicure ed efficaci.

Pensieri finali

Troppo spesso, gli attacchi informatici rivelano che la resilienza è stata trattata come un pensiero secondario. Ma nel settore sanitario – in cui le vite sono in gioco – deve essere una priorità fondamentale. La pianificazione, la pratica e la coordinazione non sono più opzionali. Sono le difese di prima linea in una guerra informatica che gli ospedali non possono più permettersi di ignorare.

Cosa è necessario adesso è un cambiamento di mentalità. I leader del settore sanitario devono considerare la sicurezza informatica non come un problema IT, ma come una parte fondamentale della sicurezza dei pazienti e della fiducia istituzionale. Ciò significa allocare risorse, coinvolgere il personale a ogni livello e collaborare oltre i confini organizzativi.

Nessun ospedale può stare da solo contro le forze che stanno ridisegnando il panorama delle minacce. Ma insieme – attraverso l’intelligence condivisa, la risposta coordinata e un rinnovato focus sulla resilienza – il settore sanitario può contrastare questa marea crescente e proteggere i sistemi critici di cui milioni di persone si affidano ogni giorno.