Agli hacker piace la sanità italiana
Un report di Swascan porta alla luce un fenomeno molto più esteso di quanto si potesse immaginare e potenzialmente particolarmente rischioso
Swascan anche nell’anno 2022 ha analizzato il settore sanitario tramite il servizio Cyber Risk Indicators. I dati raccolti ad aprile hanno permesso l'analisi di 30 strutture sanitarie sparse nella penisola italiana.
Il Soc Service Team di Swascan ha deciso quindi di effettuare nuovamente l’analisi ad un anno di distanza per osservare se vi sono stati miglioramenti in termini di sicurezza informatica.
Se da una parte il settore Healthcare nell’ultimo decennio ha subito una digitalizzazione senza eguali, dall’altra questa evoluzione ha attirato l’attenzione dei Criminal Hacker. Luoghi critici come gli ospedali, infatti, non possono permettersi periodi di disservizio – questo li rende estremamente attraenti a criminali intenzionati a chiedere riscatti.
L’analisi del 2022
Le vulnerabilità totali rilevate sono 1611, mentre gli IP esposti al pubblico sono 271. Il 13% delle vulnerabilità sono di livello alto, precisamente 1229, mentre la maggior parte appartiene al livello medio (il 76%).
Per il social engineering risk, le email compromesse sono in totale 7286 (in media 243 per dominio). Con una mail compromessa un Criminal Hacker può diffondere malware, prendere il controllo degli account o mandare altre mail a colleghi della stessa azienda. Attraverso questi dati si può fare un confronto diretto con i dati del 2021.
Technology Risk: le vulnerabilità totali per struttura hanno avuto un rialzo del 14%, passando da 47 a 54. Quelle di livello medium e low sono aumentate rispettivamente del 17 e del 20%.
Social Engineering Risk: qui si hanno notizie più positive. Le mail compromesse sono passate da 468 a 243, scendendo quasi del 50%, mentre i domini di typosquatting calano del 20%. Nonostante ciò, l’attenzione alla cybersecurity deve restare alta.
Il CEO di Swascan, Pierguido Iezzi, ha rimarcato: "l'aver rivelato una diminuzione che va oltre il 40% nella categoria delle email potenzialmente compromesse è un ottimo segnale. Significa che l'awareness nei confronti del social engineering è sempre più presente, particolarmente importante in un settore critico come quello della sanità. Certo, i numeri rimangono considerevolmente elevati - parliamo comunque di una media di 243 - e non permettono di abbassare in nessun modo la guardia".
Discorso diverso per i rischi tecnologici, continua Iezzi, "Il 2022 sembra già pronto a infrangere il record di CVE riscontrate in un anno, precedentemente occupato dal 2021, un trend che persiste ormai dal 2016. La presenza di un maggior numero di potenziali vulnerabilità all'interno delle strutture deve essere un monito importante e deve rimarcare la necessità di ripensare la sicurezza informatica "classica". Da Security by design & default, dobbiamo passare a intenderla come Security by detection & reaction".
Modalità di attacco
Tendenzialmente per un attacco ad un’infrastruttura critica come quelle sanitarie viene usata una tra queste modalità:
• DDoS: Un attacco DDoS (distributed denial-of-service) è un'evoluzione degli attacchi DoS e consiste nell'inviare enormi quantità di dati a un obiettivo da diverse fonti per impedire a un utente, un gruppo di utenti o un'organizzazione di accedere a una risorsa.
• Sfruttamento Vulnerabilità: una vulnerabilità è una componente di un sistema che rappresenta un punto debole di esso. Sfruttandola, un hacker può eseguire codice dannoso, installare malware e rubare dati sensibili;
• Social Engineering: detta anche ingegneria sociale, è un tipo di attacco che riunisce una serie di tecniche volte a spingere le persone a fornire informazioni personali come password o dati bancari o a consentire l'accesso a un computer al fine di installare segretamente software dannosi.
• Botnet: è una rete composta da un gran numero di computer dirottati da malware. Assumendo il controllo di centinaia o migliaia di computer, le botnet vengono usate per inviare email spam o contenenti malware, ma anche per lanciare attacchi DDoS.
• Supply Chain attack: è un attacco informatico che cerca di danneggiare un'organizzazione prendendo di mira gli elementi meno sicuri della supply chain.
• 0 – Day: potenzialmente il tipo di attacco più pericoloso per le infrastrutture critiche, gli zero-day sono così noti perché lasciano zero giorni di tempo per poter correggere le vulnerabilità. Sostanzialmente sono vulnerabilità trovate in corso d’opera e praticamente impossibili da correggere durante un attacco.
Technology Risk: le porte esposte
L’analisi ha individuato 1039 porte esposte: 197 servizi di posta, 29 servizi web http, 28 servizi di trasferimento file, 19 servizi di controllo remoto, 16 servizi di autenticazione remota, 8 di database e data storage. A cosa corrispondono queste vulnerabilità?
SERVIZI DI POSTA: se un servizio di posta non è adeguatamente aggiornato, potrebbe potenzialmente portare alla compromissione dei sistemi e all’utilizzo di questi come vettore d’attacco.
SERVIZI WEB http: l’utilizzo di un protocollo non cifrato può comportare il trapelare delle informazioni che transitano tra client e server.
SERVIZI di TRASFERIMENTO FILE: l’utilizzo di un protocollo non cifrato, nel caso di un’in- tercettazione di username e password da parte di un criminal hacker, comporterebbe un rischio per l’integrità, per la confidenzialità e per la disponibilità dei dati.
SERVIZI DI CONTROLLO REMOTO: permettere connessioni in ingresso in grado di controllare da remoto il sistema, spesso protette da un solo fattore di autenticazione, espone le aziende al rischio di bruteforcing da parte degli attaccanti che, nel caso avessero successo, comporterebbero la compromissione dei sistemi e dell’infrastruttura delle aziende.
DATABASE & DATA STORAGE: esporre database direttamente su Internet può comportare, se non adeguatamente protetti, l’esecuzione da parte di criminali di attacchi volti ad ottenere l’accesso ai dati.
SERVIZI DI AUTENTICAZIONE REMOTA: eventuali Criminal Hacker potrebbero lanciare attacchi di tipo DoS (Denial Of Service) verso un’azienda oppure sfruttare i servizi esposti per rilanciare attacchi DDoS (Distributed Denial Of Service) verso altre infrastrutture.
Cosa riserva il futuro?
"Nell'ultimo decennio - conclude il CEO di Swascan - il settore sanitario si è trasformato radicalmente grazie alle tecnologie digitali. La pandemia ha solamente accelerato dati e processi operativi, imponendo anche al mondo della sanità di cambiare. A causa della natura di dati medici, la sicurezza informatica nel settore sanitario è diventata una sfida critica. Se è possibile bloccare una carta di credito rubata e ottenerne una nuova - spiega Iezzi - quando trapelano informazioni su esami di laboratorio o malattie è impossibile cancellarle. Non solo: le falle nei sistemi elettronici clinici possono mettere in pericolo la salute e potenzialmente anche la vita di un paziente. Ma non è unicamente l'alto valore dei dati ad attirare i criminal hacker: strutture come ospedali e cliniche - considera il CEO di Swascan - raramente possono permettersi periodi di disservizio causati da un cyber attacco. Per questo i criminali informatici approfittano dell'importanza vitale di queste strutture per forzare il pagamento di un ricatto, in particolare attraverso gli attacchi ransomware. Non dobbiamo neppure dimenticare quanto la connivenza tra cyber crime e cyber war sia intensificata negli ultimi mesi. Un attacco contro un sistema ospedaliero non è solo un mezzo per ottenere rapidamente un guadagno economico, ma potenzialmente anche una leva di destabilizzazione geopolitica in grado di minare la fiducia dei cittadini del governo colpito".