Bruno Filippelli, sales director di Semperis: l’Active Directory delle strutture sanitarie è sempre più sotto attacco
Il settore healthcare sta diventando sempre più spesso bersaglio di sofisticati attacchi informatici. I criminali possono penetrare nei sistemi informatici e muoversi a lungo al loro interno prima di rilasciare malware. Gli incidenti possono interrompere o bloccare le attività ospedaliere, e se le attività si fermano le conseguenze possono essere potenzialmente letali.
Secondo il rapporto Clusit, nei primi tre mesi del 2023 gli attacchi alle strutture sanitarie hanno rappresentato il 17% del totale (contro il 12% del 2022) e di questi ben il 71% ha avuto conseguenze assai critiche. Inoltre, negli ultimi quattro anni in Italia gli attacchi sono triplicati e l’obiettivo dei cybercriminali è sempre lo stesso: i dati. I dati sanitari sono preziosi e vanno ad alimentare un mercato nero particolarmente fiorente. Questo trend mette in evidenza ancora una volta quanto la sicurezza informatica convenzionale sia insufficiente per respingere gli aggressori.
Active Directory resta sempre un vettore d’attacco
Molte strutture utilizzano Active Directory (AD) per gestire l’accesso alle cartelle cliniche e ai database dei dati dei pazienti. Anche in questo caso il metodo di attacco non cambia, poiché vengono sfruttate le vulnerabilità di AD per l’accesso, la diffusione di malware, la criptazione dei dati e la conseguente richiesta di riscatto. Inoltre, l’accesso ai dati è ulteriormente facilitato da numerose problematiche che i responsabili IT delle strutture sanitarie devono affrontare. Ad esempio, l’elevato turnover del personale richiede una continua revisione delle credenziali e del rilascio, comprese le autorizzazioni, nonché una più frequente creazione e cancellazione di account. Per di più la diffusione dei servizi di teleassistenza incrementerà le opportunità di attacco. Vi è anche la gestione delle identità ibride, poiché con l’aumento dell’utilizzo del cloud, la capacità di gestire sia l’accesso on-premise che quello al cloud diventa una necessità. In un ambiente AD-centrico, serve l’integrazione con Entra ID per implementare la gestione ibrida. Che l’autenticazione avvenga nel cloud, on-premise o in entrambi gli ambienti, la sicurezza deve essere sempre al centro. Tuttavia, la sicurezza degli ambienti ibridi è un argomento complesso, anche se esistono tool che automatizzano questo processo e riducono la complessità mitigando il rischio durante e dopo l’implementazione dell’ambiente ibrido.
Si può reagire
In generale, le strutture dovrebbero evitare di esporsi al rischio di gravi interruzioni dell’attività colmando rapidamente le lacune di sicurezza. Ciò può essere svolto in modo efficace attraverso piattaforme end-to-end per la protezione dagli attacchi all’AD. Le piattaforme comprendono sistemi di valutazione e rilevamento delle criticità, come per esempio il nostro tool gratuito Purple Knight, per ridurre in modo significativo le superfici di attacco. Una volta apportate le modifiche sarà possibile accorciare i tempi di recovery dell’AD attenuando non poco l’impatto di un attacco. Quando le strutture saranno in grado di rifiutare le richieste di estorsione, gli aggressori saranno meno incentivati nell’agire e probabilmente il mondo digitale nel suo complesso tornerà a essere un po’ più sicuro.
