Può accadere anche nella tua azienda?

Questa è la storia di quanto avvenuto in uno dei più prestigiosi ospedali statunitensi, diretto da grossi nomi dell’industria healthcare e con una vision aziendale espressamente diretta verso la promessa di “operazioni efficienti ed efficaci e l’adozione di tecnologie collaudate”.

In teoria, quindi, un’azienda con tutte le carte in regole per potersi dire al sicuro da ogni incidente relativo alla propria sicurezza informatica.

Eppure, l’attacco informatico in questione ha letteralmente paralizzato le operazioni dell’intera struttura per ore, costringendo il personale a lavorare con carta e penna e danneggiando irrimediabilmente l’immagine dell’azienda ospedaliera.

Questo genere di attacchi colpisce ogni giorno aziende di ogni settore e dimensione in ogni parte del mondo.

Nessuno può dirsi al sicuro e, come dimostrato da questa storia, anche le più sofisticate tecnologie spesso, troppo spesso, falliscono nel garantire la necessaria sicurezza informatica.

Sono le sette di sera del 16 gennaio 2018 all’ Hancock Hospital, ospedale di Greenfield, Indiana.

Il personale dell’accettazione si accorge che i computer sono stranamente più lenti del solito. Dopo pochi minuti, un messaggio appare su tutti gli schermi dell’ospedale: “I’m sorry”, ci spiace molto ma i tuoi file sono stati criptati, paga un riscatto entro sette giorni o rimarranno per sempre inaccessibili (Greenfield Daily Reporter).

L’intera infrastruttura IT dell’ospedale è caduta sotto l’attacco di un ransomware cioè di un tipo di malware ideato per limitare l’accesso ai dispositivi che infetta fino al pagamento di un riscatto.

Più di 1400 file, tra cui tutte le cartelle cliniche dei pazienti, sono stati criptati.

Gli strumenti di diagnosi e trattamento collegati alla rete fortunatamente continuano a funzionare e molti pazienti non si accorgono neanche del problema, se non per il wifi e per il portale online, che serve a vedere la propria cartella clinica, a quel punto inaccessibile.

I dottori e le infermiere decidono di continuare a lavorare con carta e penna, avendo fatto in precedenza esercitazioni per fronteggiare questo tipo di evenienze.

Il CEO dell’ospedale, Steve Long, afferma che, sebbene esista un backup dei dati e delle cartelle, ci vorranno giorni, forse addirittura settimane, per ripristinare i backup e che tale operazione sarà estremamente dispendiosa.

Sia dal punto di vista economico che in termini di servizio offerto ai pazienti, il pagamento di un riscatto sembra l’opzione meno dannosa.

L’hacker richiede quattro bitcoins: una valuta virtuale utilizzata per fare transazioni anonime quasi impossibili da tracciare. Nel 2018 il valore dei quattro bitcoin è di 55.000 $.

Nei giorni dell’attacco informatico l’ospedale è pieno di pazienti a causa di un’influenza e di una tempesta di neve che ha colpito la regione.

I tempi dell’attacco e il riscatto richiesto sono quindi attentamente studiati in base alle possibilità dell’ospedale e al danno causato.

Amministratori e reparto IT si riuniscono per decidere il da farsi. Appare subito chiaro che l’attacco informatico non è stato causato unicamente da una falla dei sistemi tecnologici.

Infatti, il ransomware “SamSam”, a differenza di altri ransomware come WannaCry e NotPetya che si diffondono autonomamente nella rete (Worm), si basa sulle azioni di un individuo o di un gruppo.

Per comprendere meglio l’origine del problema, occorre ripercorrere il susseguirsi delle azioni umane che hanno permesso il diffondersi del programma maligno ma non c’è tempo, il Top Management non può permettere che l’intera struttura rimanga paralizzata.

Si decide dunque di pagare il riscatto.

Dopo solo due ore dal pagamento i file vengono ripristinati e il sito web e il wifi tornano a funzionare.

Per precauzione, nei giorni successivi, i tecnici IT ispezioneranno i file in modo da accertarsi che non contengano altri malware ma ci vorranno giorni prima che l’ospedale possa definirsi pienamente operativo. 

Come evitare o fronteggiare questo tipo di attacco nella tua azienda?

Si calcola che le richieste di riscatto totali di SamSam si aggirino attorno ai 6 milioni di dollari e si registra in media un attacco al giorno (Sophos, 2018).

Generalmente viene sconsigliato di pagare questi riscatti (FBI, Department of Homeland Security).

In primo luogo, perché non ci sono garanzie sul fatto che dopo il pagamento i file vengano ripristinati.

Il Kansas Heart Hospital, per esempio, ha pagato un riscatto nel maggio 2016 e gli hacker hanno chiesto un secondo riscatto che l’ospedale ha rifiutato di pagare, con la conseguenza di non aver più avuto accesso ai propri file. In secondo luogo, quando un’organizzazione cede al ricatto si espone al rischio di essere inserita in un elenco di aziende disposte a pagare e quindi di essere bersagliata in futuro dai cybercriminali.

Non c’è modo di proteggerti completamente da attacchi di questo tipo facendo esclusivamente affidamento a soluzione tecniche, come gli antivirus.

Per bloccare questo tipo di evenienze, la sicurezza e la protezione delle password di tutti gli utenti autorizzati a operare nel tuo sistema deve essere la priorità.

Inevitabilmente il fattore umano rappresenta la principale vulnerabilità intrinseca di qualsiasi sistema e, di fatto, non è facilmente controllabile se non attraverso la formazione.

Ogni singolo utente del tuo sistema informatico deve quindi essere specificatamente formato su questi temi:

  • Come riconoscere un attacco informatico sin dalle prime fasi?
  • Quali comportamenti possono rivelarsi rischiosi in quanto possono aprire la strada ad attacchi?
  • Cosa fare in caso di attacco per limitare i danni?

Nella tua azienda sapreste tutti, a ogni livello e in ogni dipartimento, rispondere a queste importanti domande?

Scopri ora

Scopri le soluzioni formative Cysed

Scopri come diffondere una sana cultura sulla sicurezza informatica nella tua azienda ed evitare, così, di subire i danni di un attacco informatico.
Scopri ora