La morte di una donna , almeno in parte a causa di un attacco ransomware, ha messo in massima allerta i team di sicurezza: mettere in atto una formazione adeguata per la forza lavoro e garantire la ridondanza della rete, oppure rischiare simili tragedie e persino potenziali responsabilità.
Secondo vari rapporti, un attacco ransomware del 10 settembre che ha paralizzato i sistemi e ha crittografato 30 server presso la clinica universitaria di Duesseldorf (UKD) in Germania, ha causato il dirottamento della donna di 78 anni non identificata che necessitava di cure critiche verso un'altra struttura più di 20 miglia più lontano. La donna, che i medici non hanno potuto curare per oltre un'ora, è morta in seguito.
Deviare i pazienti in sé e per sé non è particolarmente insolito. Diversi fornitori di servizi sanitari hanno confermato che la pratica consente a determinate strutture sopraffatte o temporaneamente incapaci di aiutare determinati pazienti a spostare il traffico delle ambulanze in altre strutture. Tuttavia, in questo caso, deviare il paziente significa anche mancanza di un facile accesso alle cartelle cliniche, che diventa un problema critico quando una condizione si deteriora improvvisamente.
"La storia del paziente, le allergie, i farmaci, ecc. Sono i fattori più importanti quando si tria di un paziente", ha affermato Caleb Barlow, CEO di CynergisTek. "Se non è possibile accedere alle cartelle cliniche di un paziente, aumenta la probabilità di esacerbare una condizione medica di base, di cui molto probabilmente non si è a conoscenza al momento."
La maggior parte dei servizi medici di emergenza ha un concetto chiamato "Ora d'oro", ovvero la quantità di tempo che un paziente traumatizzato ha da un infortunio per arrivare alle cure definitive. Naturalmente, "tutto è messo a repentaglio se un intero ospedale o un pronto soccorso va offline poiché i sistemi rimanenti si sovraccaricano rapidamente", ha detto Barlow. "Quello che è successo qui è lo sfortunato, tragico incidente in cui un attacco informatico ha avuto un impatto cinetico".
Tuttavia, ci sono passaggi che una struttura medica può intraprendere per minimizzare potenzialmente il danno collaterale che potrebbe causare un attacco ransomware. Gli ospedali devono essere preparati meglio in previsione di tali incidenti, essere formati in una risposta adeguata e considerare la disponibilità di dati / sistemi segmentati o ridondanti.
Formazione di emergenza
Gli esercizi da tavolo sono tra le tecniche che possono aiutare gli ospedali a prepararsi e pianificare come agire e reagire a uno scenario di ransomware, hanno affermato il dottor Christian Dameff, direttore medico della sicurezza informatica presso l'Università della California a San Diego, e il dottor Jeff Tully, ricercatore di sicurezza e anche assistente professore di anestesiologia presso l'UC Davis Medical Center. I due medici hanno lavorato con I Am the Cavalry, un'organizzazione di pubblica sicurezza di base specializzata nella sicurezza di computer e dispositivi, per sviluppare simulazioni di hacking di dispositivi medici per il settore sanitario. Hanno anche dimostrato tali simulazioni in precedenti conferenze RSA.
Detto questo, imporre un addestramento tecnico intensivo in caso di catastrofi per la sicurezza informatica per ogni medico di emergenza non è fattibile, né un uso estremamente vantaggioso di risorse mediche limitate, hanno osservato Dameff e altri tre medici in un documento pubblicato lo scorso gennaio su Annals of Emergency Medicine. Ma la leadership del dipartimento ei medici orientati ai disastri possono guidare gli sforzi di preparazione alle catastrofi informatiche.
Il documento raccomanda regolari esercitazioni di pronto soccorso e disastri informatici a livello ospedaliero che simulano il guasto tecnico di tutti i sistemi digitali, magari sfruttando i tempi di inattività programmati delle cartelle cliniche elettroniche come momento conveniente per eseguire questi esercizi.
Dameff e i suoi coautori osservano che i residenti sanitari in particolare potrebbero aver bisogno di questa formazione in caso di disastri informatici, perché hanno maggiori probabilità di essere interrotti da un attacco digitale. In quanto dipendenti tipicamente più giovani, sono spesso "più esperti in tecnologia rispetto ai loro medici curanti", spiega il documento. Di conseguenza, sono predisposti a "una potenziale dipendenza da sistemi computerizzati perché probabilmente non hanno mai dovuto funzionare in un ospedale che si basa esclusivamente sulla carta, figuriamoci durante un disastro".
"Il processo decisionale e le prove in caso di crisi possono aiutare gli ospedali a pianificare meglio tali situazioni", ha affermato Barlow, che prima di entrare a far parte di CynergisTek ha guidato l'organizzazione IBM X-Force Threat Intelligence, dove nel 2016 ha costruito quello che descrive come "il primo cyber immersivo al mondo gamma." Due anni dopo, ha creato quello che, a suo dire, è un centro operativo tattico informatico unico nel suo genere che funge da centro operativo mobile di formazione, simulazione e sicurezza su ruote.
"Anziché il sistema rimanere offline per giorni, il tempo di inattività può essere ridotto a poche ore", ha continuato Barlow. “Le simulazioni possono aiutare a individuare le vulnerabilità di un sistema, che possono essere corrette e impedite che si manifestino di nuovo. Il vecchio adagio si applica qui: un grammo di prevenzione vale una libbra di cura ".
Creazione di un failsafe
Naturalmente, la formazione per i tempi di inattività dei sistemi non è una panacea. Tully e Dameff hanno notato che gli ospedali statunitensi "praticano regolarmente procedure di inattività nel caso in cui i loro sistemi di cartelle cliniche siano temporaneamente offline", ma più a lungo continua un attacco, più difficile diventa adattarsi. "Durante periodi di inattività prolungati, i nuovi pazienti e gli aggiornamenti dei casi possono rendere queste informazioni obsolete", hanno spiegato.
Gli ospedali potrebbero anche adottare misure per rendere un attacco meno dannoso dal punto di vista sistemico introducendo la segmentazione della rete e le ridondanze. Questa strategia potrebbe letteralmente salvare la vita, in quanto potrebbe garantire la continuità operativa, anche se una parte di computer e dispositivi è interessata.
"Le cartelle cliniche elettroniche devono essere archiviate sullo stesso segmento dei backup", ha affermato Barlow. “La maggior parte degli ospedali, purtroppo, ha reti piatte – e questo è particolarmente comune nei centri medici accademici in cui la sala chirurgica e le aule dell'università condividono la stessa rete logica. Ridondanza, resilienza e segmentazione sono fondamentali per impedire che attacchi come questi abbiano successo ".
Ma ci sono degli svantaggi: "L'esecuzione di una rete ospedaliera parallela sarebbe costosa", hanno detto Dameff e Tully, "e la sincronizzazione tra i due introdurrebbe un vettore per il ransomware da diffondere alla rete ridondante. Ciò sarebbe anche proibitivo per alcuni dispositivi medici ospedalieri come gli scanner MRI e CT che possono costare milioni di dollari per l'installazione e il funzionamento ".
Ecco perché, alla fine, è fondamentale che gli operatori sanitari seguano le migliori pratiche per prevenire gli attacchi in primo luogo. In molti casi ciò si riduce a un principio fondamentale: l'applicazione di patch.
Gli aggressori, come riferito identificati come membri del DopplePaymer ransomware banda umano-alimentato, infettati rete ospedaliera sfruttando una vulnerabilità in quanto Duesseldorf clinica universitaria indicato come un “software commerciale aggiuntivo disponibile in commercio e diffusa”, più tardi identificato come il sistema Citrix VPN .
Secondo l'ospedale, non si è trattato di una gestione negligente delle patch da parte sua: subito dopo che il problema di sicurezza è diventato noto nel dicembre 2019, l'UKD ha seguito le raccomandazioni dei fornitori di hardware e software e ha installato la patch il giorno del rilascio.
Tuttavia, fino a quando la società di software non ha finalmente colmato questa lacuna, c'è abbastanza tempo perché gli aggressori penetrino nei sistemi.
"Come risultato dell'atto di sabotaggio che è stato reso possibile, i sistemi si sono gradualmente interrotti e non è stato più possibile accedere ai dati archiviati", ha affermato l'ospedale.
L'ospedale ha anche affermato di aver incaricato due società specializzate di rivedere il sistema e di aver scoperto che al momento dell'attacco "non vi era alcuna indicazione di pericolo", né un pen test che si è svolto all'inizio dell'estate 2020 ha rilevato alcun segno di problemi.
Ironia della sorte, secondo quanto riferito, non era intenzione della banda di DoppelPaymer attaccare la struttura medica, come indicato da una lettera di estorsione che era in realtà indirizzata alla Heinrich Heine University. Dopo essere stati contattati dalle autorità in merito all'errore, gli aggressori hanno inviato un decryptor per riparare il danno, ma il malware aveva già l'ospedale di deregolarsi dalle cure di emergenza, il che alla fine ha contribuito alla morte di un paziente.
Mark Kedgley, CTO di New Net Technologies, ha affermato che l'incidente "illustra l'importanza di eseguire scansioni di vulnerabilità e di agire in base ai risultati almeno ogni 30 giorni, se non più frequentemente". È vero, tuttavia, "questo diventa più difficile in un'operazione 24 ore su 24, 7 giorni su 7 come un ospedale o una centrale elettrica, dove la risoluzione del conflitto tra la richiesta di uptime continuo e il mantenimento della sicurezza informatica, diventa davvero difficile".
"È una storia tragica e non sarà l'ultima volta che la sicurezza informatica avrà un impatto così diretto sulle vite umane", ha aggiunto Kedgley.
Il puzzle della deterrenza
Secondo quanto riferito, le autorità tedesche stanno prendendo in considerazione accuse di omicidio colposo contro gli attori del ransomware, ma resta da vedere se ciò serva da deterrente per futuri attacchi.
In un rapporto del 2019, Fabian Wosar, CTO di Emsisoft, ha prescientemente scritto: "Il fatto che non ci siano state morti confermate correlate a ransomware nel 2019 è semplicemente dovuto alla buona fortuna, e tale fortuna potrebbe non continuare nel 2020."
In un nuovo post sul blog aziendale, il team di Emsisoft Malware Lab ha affermato che l'unico vero modo per annullare la crescente minaccia del ransomware è mettere al bando i pagamenti di estorsione.
“Questa non sarà l'ultima fatalità. A meno che i governi non apportino modifiche legislative, è inevitabile che più vite andranno perse ", ha affermato Emsisoft. “Nel caso del ransomware, la cosa giusta è non pagare i criminali informatici ed è tempo che i governi costringano le organizzazioni a non farlo. Rendere gli attacchi ransomware non redditizi è l'unico modo per fermarli. "
"Se fosse illegale pagare richieste di riscatto, il ransomware cesserebbe di essere e le nostre organizzazioni del settore pubblico e privato non sarebbero più sotto attacco costante", continua il post sul blog. "Gli ospedali sarebbero al sicuro e le vite non sarebbero a rischio".
Il post Lezioni dalla morte del ransomware: Priorità alla preparazione alle emergenze informatiche è apparso per la prima volta su SC Media .