Il 28 gennaio scorso il sistema sanitario regionale della Basilicata comunicava, attraverso un messaggio sul suo profilo Facebook, un accesso non autorizzato al sistema informatico e incaricava esperti per valutare l’entità dell’incidente e la predisposizione di misure a difesa dei dati sanitari di tutti gli utenti che hanno avuto a che fare con la sanità lucana.

Questo attacco ha provocato enormi disagi a tutti gli utenti e al personale interno con il blocco dell’accesso ad internet e alla posta elettronica. Ci sono stati rallentamenti sull’erogazione delle prestazioni sanitarie e alcune attività continuano ad essere eseguite utilizzando carta e penna.

Ovviamente il ritorno alla carta e alla penna è il male minore perché pochi giorni fa, esattamente il 15 febbraio scorso, è arrivato quello che si temeva: la rivendicazione dell’attacco, la quantificazione del riscatto per poter tornare in possesso dei dati e la data entro il quale va pagato il riscatto, pena la pubblicazione online di tutti i dati.
La cyber-gang è Rhysida, un gruppo di criminali informatici che ha già colpito l’Azienda Ospedaliera di Verone, il Comune di Ferrara e l’Università di Salerno. La richiesta di riscatto ammonta a 15 Bitcoin (€720.000) e il 21 febbraio è stata la data indicata dai criminali entro il quale pagare il riscatto.

Il gruppo criminale ha pubblicato una serie di immagini per dimostrare la violazione delle infrastrutture informatiche sanitarie. Si tratta di documenti poco riconoscibili ma si vedono chiaramente documenti di identità e documentazione interna dell’azienda sanitaria.

Vi teniamo aggiornati sull’evoluzione della vicenda e su eventuali comunicazioni da parte degli attori coinvolti: l’azienda sanitaria lucana, il gruppo criminale e tutti gli utenti del sistema sanitario della Regione Basilicata.

Purtroppo gli attacchi agli ospedali italiani sono molto diffusi e il ransomware risulta il vettore di attacco principalmente utilizzato. Il rischio non è solo inerente la perdita di dati, ma anche la vita delle persone e i criminali sanno bene che gli ospedali hanno una protezione cyber da rivedere e in ritardo.

Cos’è il ransomware
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare. Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente rubati dalle infrastrutture IT della vittima.

Come proteggersi dal ransomware
Gli utenti e gli amministratori di sistema devono adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware. Lo possono fare mettendo in atto una serie di azioni:
formazione del personale attraverso corsi di Awareness;
predisposizione di un piano di backup e ripristino dei dati;
aggiornamento continuo del sistema operativo e delle applicazioni con le patch più recenti;
aggiornamento continuo del software antivirus;
limitazione della capacità degli utenti di installare applicazioni software indesiderate;
particolare attenzione agli allegati presenti nelle mail;
particolare attenzione ai link presenti nelle mail.

E poi ci sono gli strumenti informatici esclusivamente dedicati alla cyber security come l’implementazione di sistemi di IPS (Intrusion Prevention System) e WAF (Web Application Firewall). Consideriamo, ad esempio, un sistema IPS (Suricata è la soluzione open-source che consigliamo – per maggiori dettagli https://suricata.io/), tecnologia di prevenzione proattiva degli attacchi di rete. Grazie all’attività di scansione, introducendo un sistema IPS all’interno dell’infrastruttura tecnologica aziendale, è possibile identificare le minacce di rete:

tramite un dizionario di modelli/pattern già conosciuti (ogni attacco ha una sua “firma” intesa come una serie ben identificata di attività di rete che è possibile registrare per prevenire nuove minacce che utilizzino la medesima tecnica);
tramite il monitoraggio di comportamenti anomali delle attività rispetto ad uno standard di riferimento (ogni comportamento che si discosti dai valori attesi richiama azioni preventive ed interventi di controllo proattivo);
tramite il costante aggiornamento e monitoraggio delle policy di sicurezza e dell’infrastruttura di rete.

In conclusione, oggi occorre cambiare immediatamente mentalità, pensare alla sicurezza informatica come parte integrante del business, costantemente attenzionata e non solo quando si verificano gli incidenti. Come in campo medico, anche per la sicurezza informatica la prevenzione è tutto.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro".
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_GRECAPTCHA	sessione	Questo cookie è usato per fornire protezione antispam.
bcookie	1 anno	Cookie identificativo del browser per identificare in modo univoco i dispositivi su cui viene effettuato l’accesso a LinkedIn, al fine di rilevare abusi sulla piattaforma e per finalità diagnostiche.
lang	Sessione	Utilizzato per ricordare le impostazioni della lingua di un utente, al fine di garantire che il sito LinkedIn.com venga visualizzato nella lingua selezionata dall’utente nelle proprie impostazioni.
lidc	24 ore	Per ottimizzare la selezione del data center.

Cookie	Durata	Descrizione
_pk_id	13 mesi	Questo cookie viene usato per memorizzare alcuni dettagli sull'utente, ad esempio: l'ID visitatore univoco.
AnalyticsSyncHistory	1 mese	Questo cookie viene utilizzato per memorizzare le informazioni sull'ora in cui è avvenuta la sincronizzazione con il cookie lms_analytics.
CONSENT	2 anni	Memorizza lo stato di un utente in merito alle sue scelte sui cookie.
li_gc	6 mesi	Utilizzato per memorizzare il consenso degli ospiti in relazione all’utilizzo dei cookie per scopi non essenziali.
li_mc	6 mesi	Utilizzato come cache temporanea per evitare ricerche nel database per il consenso di un membro per l'uso di cookie non essenziali e utilizzato per avere informazioni sul consenso sul lato client per imporre il consenso sul lato client.
UserMatchHistory	1 mese	Sincronizzazione ID annunci LinkedIn.

BlogAttacco informatico alla Sanità della Regione Basilicata: chiesto un riscatto di €720.000 pena la pubblicazione di tutti i dati • Exasys Consulenza e sicurezza informatica

Exasys

In Evidenza

Contatti

Uffici