Almeno dal 2016 il panorama della sanità nelle sue varie declinazioni è fra i più colpiti dalle aggressioni degli hacker e la tendenza si è confermata anche lo scorso anno, quando ospedalità e ricerca si sono posizionate nella top 8 dei settori più minacciati dalla pirateria informatica.
Lo ha detto nel corso della presentazione della 12esima edizione del rapporto M-Trends il nuovo country manager di Mandiant, specialista della sicurezza IT di FireEye, Gabriele Zanoni.
In particolare, nel mirino della criminalità ci sono le attività di R&D dell’industria farmaceutica e spesso gli attaccanti sono gruppi al servizio di Stati che se ne servono a scopi di spionaggio industriale.
Per ottenere così un vantaggio competitivo dagli altrui sviluppi di terapie critiche come – è il caso della Cina nel recente passato – quelle di ambito oncologico.
Come detto però, gli ospedali sono a loro volta bersagli appetibili, stavolta per il blocco dei sistemi e la crittazione dei dati con finalità di ricatto.
E là dove, per esempio sui macchinari medicali, l’installazione degli aggiornamenti risulta per vari motivi più complessa, le vulnerabilità emergono in maniera più clamorosa e fanno gola al cybercrimine.
Il malware del sabato sera
Fra il 2011 e il 2020 la sensibilità al tema delle aziende interlocutrici di Mandiant è senz’altro cambiata, visto che è aumentata (59%) in tutta l’area EMEA (Europa, Medio Oriente, Africa) la percentuale degli eventi intercettata direttamente dall’interno, quindi da team e manager dedicati.
Ma se nel mondo il tempo che trascorre fra la compromissione e la presa di coscienza da parte delle vittime (dwell time) è sceso dai 56 giorni del 2019 ai 24 del 2020, nella nostra macroregione si è esteso, passando da 54 a 66 giorni, prendendo in considerazione la mediana.
Nel frattempo, specie a partire dal 2015, si è intensificato il fenomeno del ransomware, furto o blocco di dati o architetture IT con fini di riscatto.
La posta in gioco è alta per diversi motivi. Perché chi non paga rischia di non ottenere i codici di decrittazione o di vedere pubblicate online informazioni che (si pensi agli ospedali) possono risultare quanto mai critiche.
Tornando alle intercettazioni, è interessante notare che sovente gli attacchi vengono condotti nei fine settimana o nei periodi di vacanza, quando cioè la sorveglianza del personale preposto si rarefà, inevitabilmente.
Il ransomware rappresenta oggi – il rapporto ha coperto il periodo fra l’ottobre del 2019 e il settembre del 2020 – il 25% di tutte le minacce ed è caratterizzato da un dwell time relativamente breve, di circa cinque giorni.
E guerra sia
Ben più lungo, 45 giorni, è quello delle aggressioni di diverso tenore.
Perché nel caso delle richieste di riscatto il ricattatore vuole farsi riconoscere per poter mettere le carte in tavola da subito; in altre circostanze conviene agire nell’ombra, erodere le difese, carpire quanti più segreti possibile.
Si è accennato agli Stati canaglia.
Mandiant – a introdurre lo studio è stato il vice president Southern Region and Belux, EMEA Marco Riboli, che ha visibilità anche su quell’Israele che in tema di security ha sempre molto da insegnare – ha verificato come l’Europa sia il territorio più esposto alle Advanced Persistent Threat. Agguati sponsorizzati da nazioni o gruppi di nazioni – la Confederazione degli Stati Indipendenti fra questi – con intenti spionistici.
Anche per questi ultimi restare celati a lungo è fondamentale. Sempre a proposito di gruppi cyber-terroristici o affini, Mandiant ne ha analizzati oltre 1.900 e quelli mossi da leve finanziarie ed economiche hanno un peso poco più che minoritario sul totale.
Predominanti sono invece le spie internazionali.
Oltre che da questi, tuttavia, le aziende (incluse quelle sanitarie) devono guardarsi le spalle dagli insospettabili, o quasi. E chiudere le porte di accesso modificando privilegi e credenziali agli ex-dipendenti, qualora se ne siano andati sbattendo la porta. Anche in ambiente cloud le insider threat restano infatti particolarmente insidiose.
Roberto Carminati
