Lo studio rivela le conseguenze di sottovalutare le dinamiche della “economia sommersa” del crimine informatico; i dati relativi alle cartelle cliniche non riescono a superare il valore di mercato dei dati finanziari rubati e nemmeno di quelli farmaceutici o biotecnologici
Intel Security ha diffuso il report McAfee Labs Health Warning, che studia il mercato sommerso dei dati sanitari rubati; fa una comparazione con il mercato relativo al furto di dati nei servizi finanziari; identifica le tendenze del ‘crimine informatico-as-a-service’ nell’ambito dell’assistenza sanitaria ed evidenzia come la criminalità informatica stia prendendo di mira la proprietà intellettuale nelle industrie farmaceutiche e biotecnologiche. La ricerca Intel Security afferma che lo sviluppo del mercato dei dati rubati e le relative competenze di hacking diano segnali di crescita del “business della criminalità informatica” nel settore sanitario.
“In un settore in cui la riservatezza e la privacy sono di primaria importanza, la perdita di fiducia potrebbe essere catastrofica per lo sviluppo del settore e le prospettive di successo”, ha commentato Raj Samani, CTO di Intel Security, EMEA. “Data la crescente minaccia per il settore, i costi delle violazioni dei dati dovrebbero essere valutati al pari di una ‘economia informale’ in termini di tempo, denaro, e fiducia – dove la fiducia persa può causare più danni ad individui e aziende rispetto alle perdite economiche.”
Il valore dei dati rubati
Intel Security ha rilevato che il prezzo per record di una cartella clinica rubata rimane inferiore al prezzo dei dati finanziari e delle informazioni sui conti correnti, nonostante la sempre maggiore deperibilità dei dati di carte di credito e di debito.
Negli ultimi anni, Intel Security ha osservato come la comunità del crimine informatico abbia esteso il proprio interesse per il furto dei dati al di là dei dati finanziari, interessandosi anche alle cartelle cliniche. Anche se i numeri delle carte di credito e di debito possono essere cancellati e sostituiti rapidamente, ciò non è possibile per le informazioni sanitarie protette (PHI) che non si possono cambiare o bloccare. Questi dati “non deperibili” potrebbero includere cognomi, nomi da nubile delle madri, numeri di previdenza sociale o della pensione, carte di pagamento e dati relativi alle assicurazioni, o gli indirizzi di domicilio dei pazienti. Ma, anche se questa dinamica lasciava presupporre che il prezzo per cartella clinica sarebbe potuto salire in tempi rapidi fino a competere o addirittura eclissare quello dei dati relativi al conto corrente o alle carte di pagamento, la ricerca di Intel Security del 2016 non ha evidenziato un andamento dei prezzi tale da confermare questa congettura.
La ricerca di Intel Security ha rilevato come il prezzo medio per dato del settore sanitario sia superiore a quello delle informazioni personali di base, ma comunque inferiore a quello dei dati degli account finanziari personali. Il valore per ogni record di dati di conto corrente varia da 14,00$ a 25,00$ per record, mentre quello relativo alle carte di credito e di debito ruota attorno ai 4,00$ o 5,00$, ma i dati sanitari si fermano a un valore compreso tra 0,03$ e 2,42$. I risultati suggeriscono che i dati finanziari continuano essere più facile da monetizzare rispetto ai dati medici personali, che potrebbero richiedere un investimento che i dati finanziari non richiedono. Al seguito del furto di una cache di cartelle cliniche, è probabile che i criminali informatici debbano analizzare i dati, e forse effettuare analisi incrociando i dati con altri provenienti da diverse fonti prima che la frode sia redditizia e prima di identificare le opportunità effettive di furto, estorsione, o di ricatto. Ne consegue che i dati finanziari rappresentino ancora un modello di crimine informatico più attraente, poiché i criminali possono contare su un ritorno sull’investimento più rapido.
“La liquidità vince sulle longevità nella corsa alla capitalizzazione sui dati rubati”, ha aggiunto Samani. “Se io rubo un milione di numeri di carte di credito o di debito, posso vendere rapidamente questa merce digitale prima che le banche e gli esercenti scoprano il furto e annullino questi numeri. In alternativa, un milione di cartelle cliniche contengono una ricca di cache di dati personali e dati sanitari permanenti, ma per riuscire a guadagnare sfruttando questi dati è necessario un maggiore investimento in termini di tempo e risorse”.
Furto della proprietà intellettuale e dei dati riservati commerciale
La ricerca di Intel Security ha esaminato anche l’interesse verso le proprietà intellettuali e le informazioni commerciali riservate di aziende biotecnologiche e farmaceutiche. I ricercatori suggeriscono che il valore economico di tali informazioni sia notevolmente superiore a quelli attribuiti ai dati relativi ai dati sanitari in generale.
I ricercatori Intel Security hanno trovato prove che le formule dei farmaci di nuova generazione, risultati di test sui farmaci, e altre informazioni riservate di business costituiscano un valore significativo. I luoghi in cui sono conservati tali dati in aziende biofarmaceutiche, aziende loro partner, e anche presso gli enti governativi coinvolti nell’immissione sul mercato dei nuovi farmaci sono diventati un obiettivo primario dei criminali informatici.
“Lo spionaggio industriale è diventato digitale alla pari di tante altre cose nel nostro mondo”, ha aggiunto Samani. “Se si considera che le attività di ricerca e lo sviluppo sono una spesa enorme per queste industrie, non dovrebbe sorprendere che i criminali informatici siano attratti dal ROI di questa categoria di furto di dati sanitari”.
L’economia del ‘crimine informatico-as-a-Service’
Intel Security ha anche identificato come i criminali informatici sfruttano il mercato ‘cybercrime-as-a-service’ per eseguire i loro attacchi contro le organizzazioni sanitarie. I ricercatori hanno trovato la prova di acquisto e noleggio di kit exploit per compromettere i sistemi ed effettuare violazioni di dati sanitari. In un caso, un criminale informatico non particolarmente abile dal punto di vista tecnico ha acquistato strumenti per poter violare azienda vulnerabile, facendo anche ricorso al supporto tecnico gratuito per orchestrare il suo attacco, e ha poi estratto più di 1.000 cartelle cliniche che secondo il suo service provider criminale potrebbe fruttargli al netto circa 15.564$.
I ricercatori hanno osservato inoltre il tentativo dei criminali informatici, attraverso annunci online e sui social media, di reclutare nei loro ranghi addetti del settore e assistenti sanitari in grado di accedere a informazioni preziose.
“Quando una comunità ormai matura di criminali informatici si rivolge a un settore meno preparato, come l’assistenza sanitaria, le organizzazioni all’interno di tale settore tendono a rincorrere mettendo in campo protezione contro le minacce passate, ma non contro quelle attuali o future”, conclude Ferdinando Torazzi, Regional Director Italy & Greece Intel Security. “Per una sicurezza informatica efficace oggi, bisogna non limitarsi ai paradigmi tradizionali e affidarsi a un nuovo approccio completamente diverso. Dove le organizzazioni sanitarie hanno fatto affidamento ai vecchi schemi, devono cambiare approccio e guardare al futuro. Dove hanno accumulato informazioni, gli operatori del settore devono diventare più collaborativi. Se hanno sottovalutato la difesa informatica, devono farne una priorità. In questa economia sommersa, se si vincono i nemici sul ‘tempo’, allora si possono preservare il denaro e la fiducia”.
