Partner Login

Cosa significa l’attacco informatico a Change Healthcare per il settore sanitario statunitense

Scritto da Sherry Jones / 18.06.2024 /
Home » Blog » Cosa significa l’attacco informatico a Change Healthcare per il settore sanitario statunitense

È ora di affrontare seriamente la sicurezza dei sistemi, delle soluzioni e dei dati sanitari.

La cybersicurezza in ambito sanitario richiede un intervento urgente, seguito da una terapia strutturata e duratura. Gli attacchi informatici contro il settore sanitario sono in crescita: causano danni finanziari, minacciano la sicurezza nazionale e persino la vita dei pazienti. E molti di questi attacchi potrebbero essere evitati.

The recent Change Healthcare cyber-attack is a case in point. The “most disruptive cyber-attack on US critical infrastructure to date” is now sounding a wake-up call among industry watchdogs. It led a US Congressional subcommittee to explore cybersecurity vulnerabilities in healthcare during a May 16 hearing. What it found: The healthcare industry treads on shaky cyber ground, facing more, and more dire, threats than ever before. In this article we conduct our own post-mortem of the Change Healthcare cyber-attack.

Il recente attacco a Change Healthcare ne è l’esempio più lampante. Definito “l’attacco informatico più distruttivo mai subito da un’infrastruttura critica statunitense”, ha fatto scattare l’allarme tra gli organismi di vigilanza. Ha spinto una sottocommissione del Congresso USA a esaminare le vulnerabilità della sanità durante un’audizione il 16 maggio. Cosa è emerso? Che il settore sanitario si trova su un terreno cibernetico fragile, esposto come mai prima a minacce gravi e in costante aumento. In questo articolo proponiamo una nostra analisi dell’attacco a Change Healthcare.

Sanità: un bersaglio privilegiato

L’attacco a Change Healthcare ha fatto notizia, ma rappresenta solo uno dei tanti casi che colpiscono il settore con frequenza e gravità sempre maggiori. Secondo il New York Times, nel 2023 il numero di sistemi ospedalieri colpiti da ransomware è quasi raddoppiato rispetto al 2022, passando da 25 a 46.

E il fenomeno non riguarda solo gli Stati Uniti: secondo l’European Repository of Cyber Incidents, a livello globale nel 2023 gli incidenti informatici in ambito sanitario sono quasi quadruplicati rispetto all’anno precedente. Durante l’audizione del Congresso, è emerso che gli stati-nazione ostili attaccano quotidianamente i fornitori di servizi sanitari.

Il sistema sanitario è talmente interconnesso da diventare un obiettivo estremamente appetibile per i cybercriminali. Tutti gli attori coinvolti, dagli studi medici agli ospedali, passando per laboratori, farmacie, dispositivi medici e assicurazioni, compongono una rete ampia e intricata. Basta una sola violazione per mettere a rischio una mole enorme di informazioni sensibili e di grande valore.

Stolen health records pose an especially juicy target, selling on the dark web for 10 times more than stolen credit card numbers, the American Hospital Association notes.

Le cartelle sanitarie, in particolare, rappresentano un obiettivo estremamente redditizio: secondo l’American Hospital Association, il loro valore sul dark web può superare di dieci volte quello delle carte di credito rubate.

Il livello di sicurezza nel settore sanitario è storicamente basso. Parte della responsabilità è attribuibile alla pandemia da COVID-19: come riporta The Lancet, per garantire l’assistenza durante i lockdown molte strutture hanno adottato rapidamente tecnologie digitali come salute mobile, telemedicina e strumenti diagnostici basati su intelligenza artificiale, spesso trascurando le misure di sicurezza.

Inoltre, aggiornare costantemente i sistemi richiede risorse economiche e competenze che molte strutture non hanno. Di conseguenza, molte continuano a utilizzare tecnologie e software obsoleti.

Basta una singola vulnerabilità per compromettere un’intera rete, o addirittura un intero ecosistema sanitario. E poiché ci sono vite umane in gioco, i fornitori sono spesso disposti a pagare il riscatto pur di garantire la continuità delle cure.

What the Change Healthcare Cyber Attack Means for the US Healthcare Industry

L’attacco informatico a Change Healthcare: cosa è andato storto

L’attacco informatico a Change Healthcare, uno dei maggiori operatori mondiali nel settore dei pagamenti sanitari, ha permesso ai cybercriminali di accedere a 4 terabyte di dati, ha paralizzato strutture sanitarie in tutti gli Stati Uniti e ha comportato per UHC un pagamento di 22 milioni di dollari in riscatto, senza contare le spese legali, i costi di ripristino e altre voci che si stima porteranno il totale ad almeno 1,6 miliardi di dollari.

Perché le conseguenze di questo attacco sono state così gravi e pervasive? Le indagini sono ancora in corso, ma i fallimenti in ambito cybersecurity finora accertati includono:

  • Credenziali rubate. Gli autori dell’attacco sono riusciti ad accedere a un portale software connesso ai sistemi di Change Healthcare utilizzando credenziali sottratte durante un attacco di phishing, ha spiegato il CEO di UHC, Andrew Witty, alla sottocommissione del Congresso USA il 1° maggio. Secondo UHC, il gruppo ransomware ha acquistato queste credenziali rubate nel dark web.
  • Problemi con l’autenticazione a più fattori (MFA). Gli aggressori hanno fatto breccia tramite un portale software su cui l’MFA non era stato attivato.
  • Movimenti laterali non rilevati. I criminali si sono mossi lateralmente all’interno dei sistemi per nove giorni, prelevando dati senza essere individuati dai sistemi di monitoraggio, prima di lanciare il ransomware.
  • Sistemi di backup obsoleti. Secondo Witty, Change Healthcare utilizzava ancora tecnologie di 40 anni fa per la gestione delle richieste e dei pagamenti sanitari, e conservava i dati su server locali. (UHC, che ha acquisito Change a fine 2022, aveva avviato la modernizzazione e il passaggio al cloud di questi sistemi.)

Di conseguenza, né l’infrastruttura IT principale né quella di backup erano isolate. L’attacco ha compromesso entrambe. I server basati su cloud sono tornati operativi in tempi relativamente rapidi, mentre il ripristino dei data center legacy ha richiesto molto più tempo.

Le conseguenze sulle persone in un Sistema nato per servirle

L’attacco ha interrotto per oltre un mese l’elaborazione delle richieste e dei pagamenti sanitari da parte di Change Healthcare. Le difficoltà di liquidità hanno impedito a molte strutture di pagare stipendi e servizi, con potenziali ripercussioni sulla qualità dell’assistenza ai pazienti.

Secondo quanto emerso nell’audizione del 16 maggio, il tasso di mortalità aumenta in quasi un quarto delle organizzazioni colpite da una violazione informatica.

Le ripercussioni dell’attacco sono state estese e persistenti. A quasi tre mesi di distanza, un’indagine dell’American Medical Association ha rilevato che:

  • Il 60% degli intervistati continuava ad avere difficoltà nel verificare l’idoneità dei pazienti;
  • Il 75% riscontrava problemi nell’invio delle richieste di rimborso;
  • Il 79% non era ancora in grado di ricevere notifiche elettroniche di pagamento;
  • L’85% subiva ancora ritardi nei rimborsi.

Impatti aziendali: costi più alti rispetto ad altri settori

Il costo medio del recupero da una violazione dei dati nel settore sanitario e della sanità pubblica è di circa 10 milioni di dollari per incidente, molto più elevato rispetto ad altri settori, secondo quanto riferito al Congresso. In termini concreti, rimediare a una violazione nel settore sanitario costa quasi tre volte di più rispetto ad altri ambiti: in media 408 dollari per ogni record sanitario rubato, contro 148 dollari per altri tipi di dati, secondo l’AHA.

Solo nel primo trimestre, l’attacco a Change Healthcare è costato circa 870 milioni di dollari, ha dichiarato John Rex, Presidente e CFO, durante una conferenza sugli utili.

Di questi, circa 595 milioni di dollari sono stati spesi direttamente per ripristinare la piattaforma e gestire l’emergenza, inclusi i costi sanitari legati alla temporanea sospensione di alcune attività di assistenza.

Per l’intero anno, si prevede che queste spese dirette si collocheranno tra 1 e 1,15 miliardi di dollari. A questo si aggiungono altri 350–450 milioni di dollari di perdite, dovuti al blocco dei servizi offerti da Change Healthcare a seguito dell’attacco.

Oltre ai 22 milioni versati come riscatto per sbloccare i sistemi, un altro gruppo avrebbe chiesto un secondo riscatto per non diffondere i dati sottratti. Sembra che il gruppo criminale che ha fornito il ransomware abbia trattenuto l’intera somma senza dividere il bottino con l’affiliato che ha materialmente condotto l’attacco. Sono attese anche cause legali, spese giudiziarie e potenziali sanzioni.

Migliorare la cybersecurity: un obbligo per il settore sanitario

“This hack could have been stopped with cybersecurity 101,” Sen. Ron Wyden (D-Ore.) reportedly said during the hearing into the Change Healthcare cyber-attack.

Infatti, secondo The Lancet, il settore sanitario “è ancora molto indietro rispetto alla maggior parte delle infrastrutture critiche… nella comprensione dei rischi e nello sviluppo di piani per proteggere, rispondere e recuperare dagli attacchi informatici”.

Con le indagini in corso e altre audizioni all’orizzonte, è evidente che l’intero settore dovrà potenziare le proprie difese. Ecco alcune misure consigliate da adottare subito:

Formazione alla security awareness

L’attacco a Change Healthcare è iniziato con una semplice email di phishing che ha indotto un dipendente a fornire le proprie credenziali, poi vendute online. È così che iniziano la maggior parte degli attacchi: l’errore umano è alla base del 95% degli incidenti di cybersicurezza, secondo il World Economic Forum.

Prossimi passi: anche una formazione minima può fare la differenza. Il Security Awareness Service di Hornetsecurity utilizza simulazioni realistiche di spear phishing e formazione e-learning basata su IA per aumentare la consapevolezza e ridurre i rischi. I dipendenti imparano a proteggere sé stessi e l’azienda in modo efficace. Il servizio è completamente automatizzato e facile da usare.

What the Change Healthcare Cyber Attack Means for the US Healthcare Industry

MFA (Autenticazione a più fattori)

La policy di Change Healthcare prevedeva l’MFA per tutti i sistemi esposti verso l’esterno, ma non era stata attivata sul portale che è stato sfruttato per l’attacco.

Prossimi passi: verifica che l’MFA sia abilitata e funzionante su tutti i sistemi, così da aggiungere un livello di sicurezza fondamentale contro accessi non autorizzati.

Sistemi di backup e ripristino robusti

Nel settore sanitario non è una questione di “se” si sarà attaccati, ma di “quando”. Avere la capacità di riprendersi in tempi rapidi è essenziale per limitare costi, danni e tempi di inattività.

Prossimi passi: modernizza i backup con la soluzione 365 Total Backup Solution di Hornetsecurity che offre:

  • Backup automatici dei dati Microsoft 365 più volte al giorno;
  • Protezione da ransomware e interruzioni esterne grazie all’infrastruttura Hornetsecurity indipendente da Microsoft;
  • Ricerca e ripristino facili;
  • Archiviazione illimitata senza complicazioni;
  • Gestione centralizzata;
  • Dati conservati in data center locali, sicuri, ridondanti e sotto controllo giurisdizionale.

Tutela della privacy e sicurezza dei dati dei pazienti

Implementa misure efficaci per proteggere, accedere e condividere informazioni sanitarie sensibili, adottando un approccio “zero trust” grazie allo strumento 365 Permission Manager di Hornetsecurity. Potrai:

  • Eseguire operazioni massive per gestire i permessi su larga scala;
  • Correggere i permessi su più siti con un clic;
  • Applicare policy predefinite o personalizzate per SharePoint, Teams o OneDrive;
  • Ricevere notifiche in caso di condivisioni critiche o violazioni delle policy;
  • Usare la funzione di audit per approvare o respingere le violazioni.

Per proteggere il tuo ambiente sanitario, utilizza il Security Awareness Service di Hornetsecurity e forma i tuoi dipendenti alla tutela dei dati sensibili.

Per rimanere aggiornato su articoli e pratiche consigliate, visita il blog di Hornetsecurity.

Conclusione – Meglio prevenire

Non aspettare che scoppi una crisi per intervenire: fai un check-up della sicurezza e adotta subito misure preventive. Se lavori nel settore sanitario, la tua organizzazione è già nel mirino, l’attacco a Change Healthcare lo dimostra chiaramente. Qui non si tratta di capire se succederà, ma quando. I cybercriminali puntano i bersagli più vulnerabili: non permettere che la tua struttura sia uno di questi. La buona notizia è che, come abbiamo visto, esistono strumenti semplici ed efficaci per alzare il livello di protezione.

Risorse aggiuntive

Come l’Unione Europea intende rafforzare la cybersicurezza nel settore sanitario.

FAQ

Quali fattori rendono il settore sanitario particolarmente esposto agli attacchi informatici?

Il settore sanitario è uno dei più esposti agli attacchi informatici, soprattutto per via della sua struttura altamente interconnessa e del valore elevato delle informazioni che gestisce. Studi medici, ospedali, cliniche, laboratori e compagnie assicurative fanno parte di una rete ampia e complessa di dati che, se violata, può offrire ai criminali informatici un bottino estremamente prezioso.

Basti pensare che una cartella clinica può valere anche dieci volte di più, sul dark web, rispetto ai dati di una carta di credito. A peggiorare la situazione, la digitalizzazione accelerata durante la pandemia di COVID-19 ha spesso trascurato la sicurezza, lasciando in funzione sistemi datati e non adeguatamente protetti.

Quali sono stati i principali errori di sicurezza che hanno contribuito alla gravità dell’attacco informatico contro Change Healthcare?

L’attacco informatico a Change Healthcare è stato aggravato da alcune gravi falle nella sicurezza:
Credenziali rubate: i criminali informatici sono riusciti ad accedere ai sistemi grazie a credenziali rubate tramite una campagna di phishing.
MFA non abilitata: l’autenticazione a più fattori (MFA) non era attiva sul portale software utilizzato dagli hacker per entrare nel sistema.
Movimento laterale non rilevato: gli aggressori si sono mossi all’interno del sistema per nove giorni senza essere scoperti, estraendo dati prima di attivare il ransomware.
Sistemi di backup obsoleti: Change Healthcare utilizzava ancora tecnologie vecchie di 40 anni per la gestione delle richieste e dei pagamenti sanitari, con dati archiviati su server locali vulnerabili. Questi sistemi datati, uniti alla mancanza di isolamento tra i sistemi IT primari e quelli di backup, hanno permesso la compromissione di entrambi.

In che modo le organizzazioni sanitarie possono rafforzare la propria sicurezza informatica per prevenire attacchi simili?

Le organizzazioni sanitarie possono migliorare la propria postura in termini di cybersicurezza implementando una serie di misure:
Formazione sulla consapevolezza informatica: offrire al personale una formazione mirata sui rischi legati alla cybersicurezza e agli attacchi di phishing, attraverso simulazioni realistiche e training basati sull’intelligenza artificiale, per aumentare la consapevolezza e ridurre il rischio di errore umano.
Abilitazione dell’MFA: garantire che l’autenticazione a più fattori sia attiva e correttamente funzionante su tutti i sistemi e software, aggiungendo così un ulteriore livello di protezione contro accessi non autorizzati.
Modernizzazione dei sistemi di backup: utilizzare soluzioni di backup moderne che prevedano backup automatici e frequenti, protezione contro il ransomware e un facile recupero dei dati in caso di emergenza.
Tutela della privacy e della sicurezza dei dati dei pazienti: implementare misure rigorose per la conservazione, l’accesso e la condivisione delle informazioni sanitarie sensibili, adottando un modello di sicurezza “zero trust” per gestire le autorizzazioni e rilevare eventuali violazioni delle policy.

Potrebbero interessarti anche