Una donna al dispositivo di analisi

Difesa informatica in un ospedale: un caso di studio

Sempre più spesso gli ospedali finiscono nel mirino degli hacker, dal momento che sono sempre più digitalizzati e connessi in rete e, nello stesso tempo, lavorano con dati estremamente sensibili. In aggiunta a tutto questo, negli ospedali spesso si tratta letteralmente di vita e di morte. Guasti improvvisi possono quindi avere conseguenze di vasta portata.
La digitalizzazione offre enormi opportunità, anche nel settore sanitario. Allo stesso tempo emergono nuove sfide e nuovi rischi, ad esempio per gli ospedali, che sono particolarmente soggetti ai ricatti informatici. La loro posizione strategica nella pandemia ha ulteriormente rafforzato questo tipo di rischio.

Attacco informatico all’ospedale di Wetzikon

Che gli ospedali siano un target allettante per gli hacker è un fatto che ha dovuto sperimentare a sue spese anche l’ospedale di Wetzikon: nell’ottobre 2019 il nosocomio, che fornisce assistenza medica di base a circa 55’000 persone nell’Oberland zurighese, è stato fatto oggetto di un attacco hacker. Attraverso un’e-mail contraffatta, un computer è stato infettato dal trojan «Emotet»: il software si è quindi diffuso in tutta la rete, scaricando altri programmi dannosi. 

Attacco respinto grazie a una buona preparazione

Per fortuna, l’attacco non ha avuto conseguenze gravi per l’ospedale di Wetzikon, come riporta il CEO Matthias Spielmann: «Per noi la sicurezza IT ha un’elevata priorità e abbiamo adottato diverse misure per proteggerci dagli attacchi degli hacker». Tra queste rientrano i periodici back-up di tutti i dati importanti, che vengono quindi archiviati in supporti separati dalla rete. Anche il comportamento oculato degli impiegati ha svolto un ruolo importante: «Per merito dell’attenzione dei collaboratori abbiamo scoperto rapidamente l’attacco e abbiamo così ripulito rapidamente il nostro sistema. Grazie ai nostri estesi back-up i dati non sono andati perduti, bensì abbiamo potuto ripristinarli».

Attacco dalle conseguenze disastrose

Quali disastrose conseguenze possano avere gli attacchi informatici per gli istituti sanitari è mostrato dall’esempio di una clinica universitaria tedesca: durante l’attacco non era più possibile eseguire le operazioni chirurgiche, si è reso necessario chiudere il pronto soccorso e le ambulanze non potevano più accedere alla clinica universitaria. Il regolare funzionamento è stato pesantemente danneggiato ed è stato necessario deviare i mezzi di soccorso.

Gli ospedali nel mirino degli hacker

Non così drammatico, ma altrettanto gravido di conseguenze è anche il caso in cui gli hacker attacchino i dati sensibili relativi alla salute dei pazienti e minaccino di pubblicarli. Anche queste forme di ricatti informatici sono molto dannose e spesso vengono richiesti riscatti elevati. In base al «Cyber Security Report 2021» della società di sicurezza IT Check Point, nel quarto trimestre 2020 gli attacchi informatici agli ospedali in tutto il mondo sono aumentati del 45 %. Check Point commenta così: «Attacks on healthcare sector become an epidemic». Anche gli ospedali svizzeri se ne stanno accorgendo; è quindi ancora più importante proteggersi in modo efficace.

Anche il panorama giuridico diventa più severo

Nel frattempo, anche le possibili conseguenze legali di una carente sicurezza informatica si stanno inasprendo: a seguito dell’allineamento della Legge svizzera sulla protezione dei dati (LPD) all’ordinanza sulla protezione dei dati dell’UE, gli ospedali saranno soggetti, come tutte le altre imprese, a sanzioni notevolmente più elevate e a maggiori obblighi d’infor­mazione, e saranno altresì tenuti a redigere un registro con i dati relativi al tratta­mento dei dati. Si rafforzeranno inoltre i diritti dei soggetti interessati. Ancora non si sa in che data il Consiglio federale metterà in vigore la nuova Legge sulla protezione dei dati.

La sicurezza informatica va oltre l’IT

È fondamentale che gli ospedali comprendano in modo completo i rischi informatici cui sono esposti. Misure di sicurezza al passo coi tempi aiutano a ridurre significativamente il rischio di un sinistro. Tuttavia, chi considera la protezione di dati e sistemi IT come un semplice problema tecnico e informatico non può tutelarsi a dovere: le vie di accesso dei malintenzionati sono molteplici. Spesso fanno leva anche sul fattore umano, che è l’elemento più debole della catena della sicurezza. Le mancate conoscenze incrementano sensibilmente il rischio di cadere vittima di un attacco informatico. Per questo motivo, una componente importante del sistema di sicurezza è costituito dai corsi formativi sulla Cyber Security Awareness, che si pongono l’obiettivo di sensibilizzare i collaboratori nei confronti dei pericoli e di insegnare loro come comportarsi in caso di attacco. 

Una buona preparazione è la miglior protezione

L’esempio del nosocomio di Wetzikon dimostra che gli ospedali che sono preparati a far fronte agli attacchi informatici riescono a respingere molte minacce o perlomeno a ridurre considerevolmente l’entità dei danni. Pertanto è opportuno rafforzare la resistenza dei sistemi interni nei confronti degli attacchi e riconoscere tempestivamente le minacce. Gli attacchi informatici, infatti, non solo diventano sempre più raffinati, ma anche sempre meno riconoscibili: dai primi attacchi all’assalto finale da parte del software di crittografia possono passare varie settimane o addirittura mesi. Durante questo periodo, i criminali possono muoversi più o meno liberamente all’interno della rete. Soltanto chi controlla periodi­camente la propria rete aziendale può identificare i primi indizi di irruzione da parte degli hacker. 

Affrontare meglio gli attacchi informatici grazie a un piano di emergenza IT

Insieme a un buon sistema preventivo, ogni ospedale dovrebbe assolutamente disporre di un piano di emergenza IT, perché non appena importanti sistemi IT vengono attaccati e danneggiati è necessario agire in fretta. Rientrano in questo ambito le esercitazioni sui processi di ripristino o le simulazioni di scenari in cui le funzioni basilari, nonostante una crisi del sistema IT, possano continuare a funzionare in modalità di emergenza e i processi più importanti non debbano essere interrotti, se non per breve tempo. Dopo l’attacco hacker, anche l’ospedale di Wetzikon ha ulteriormente rafforzato le misure preventive di sicurezza, come riporta Matthias Spielmann: «Già in precedenza stavamo molto attenti, ma ora abbiamo rafforzato ulteriormente le nostre misure di sicurezza, tra le quali rientrano i corsi di formazione per i collaboratori, gli aggiornamenti sulla sicurezza e un sistema di backup ancora più efficiente».

Matthias Spielmann
Matthias P. Spielmann, CEO GZO Spital Wetzikon

Intervista: Matthias P. Spielmann, CEO GZO Spital Wetzikon

Perché siamo riusciti a superare senza conseguenze l’attacco informatico all’ospedale GZO Spital Wetzikon nell’ottobre 2019?
Il GZO Spital Wetzikon aveva eseguito un audit completo sulla sicurezza IT già prima dell’attacco informatico con l’obiettivo di ottenere chiarezza su potenziali difetti nel settore della sicurezza e di eliminarli. Grazie a questa buona preparazione fortunatamente l’attacco non ha avuto conseguenze. Il trojan «Emotet» si è infiltrato attraverso un messaggio e-mail interno falsificato, che però si presentava ingannevolmente autentico. All’apertura dell’allegato, il trojan si è diffuso nella nostra rete IT, caricando altri programmi nocivi. Grazie a dei collaboratori attenti siamo riusciti a scoprire subito l’attacco e a pulire tempestivamente il sistema.

Quanto è stato importante il fattore tempo in questa situazione?
È stato estremamente importante scoprire così rapidamente l’attacco e reagire in modo altrettanto rapido. Così, nonostante l’attacco, abbiamo potuto continuare normalmente l’operatività dell’ospedale di Wetzikon e non si sono verificate né crittografie né perdite di dati dei pazienti. Tuttavia un team di esperti per più settimane si è occupato di controllare e pulire i dispositivi. L’impegno, ma anche i costi sono stati corrispondentemente elevati.

Cosa avete appreso dall’attacco? Cosa avete cambiato?
A seguito dell’attacco abbiamo acquisito la consapevolezza che la criminalità informatica si muove su un nuovo livello – ora stiamo vivendo una dimensione completamente nuova di minacce. La criminalità informatica riguarda noi tutti e, oltre che di una buona prevenzione, un ospedale dovrebbe obbligatoriamente disporre di un piano di emergenza IT. Anche un costante controllo e rapidi tempi di reazione sono decisivi per avere successo nella lotta contro tali attacchi. L’attacco ci ha mostrato che gli ospedali ben preparati respingono gli attacchi o per lo meno riescono a ridurre notevolmente l’entità del danno. Allo stesso tempo dopo l’attacco abbiamo nuovamente rafforzato le nostre misure di sicurezza e investito in nuove misure di protezione IT. Una componente importante del nostro concetto di sicurezza è la formazione regolare e la sensibilizzazione dei collaboratori. 

Altri articoli

Uomini che discutono allegramente

La storia del nostro cliente di cyber-assicurazione Planted

La start-up Planted fa furore con alimenti innovativi di origine vegetale.
Per saperne di più
medico che parla con paziente

Responsabilità civile professionale per professioni mediche e sanitarie

In ambito medico i piccoli errori possono avere pesanti conseguenze. Ecco come difendersi anche nel peggiore dei casi.
Per saperne di più