Rapporto 2019 sul settore sanitario

Una ricerca condotta da Vectra evidenzia i rischi precari per la sicurezza nel settore sanitario dovuti alle infrastrutture obsolete e ai dispositivi non gestiti.

Vectra ha annunciato oggi che la proliferazione dei dispositivi Internet of Things (IoT) nel settore sanitario, insieme alle reti non partizionate, ai controlli di accesso insufficienti e alla dipendenza dai sistemi legacy, ha esposto una superficie di attacco vulnerabile che può essere sfruttata dai criminali informatici determinati a rubare informazioni di identificazione personale (PII) e informazioni sanitarie protette (PHI), oltre a interrompere i processi di erogazione dell'assistenza sanitaria.

Pubblicati nel rapporto Spotlight Report on Healthcare 2019 di Vectra, questi risultati sottolineano l'importanza di utilizzare l'apprendimento automatico e l'intelligenza artificiale (AI) per individuare comportamenti minacciosi nascosti nelle reti IT aziendali prima che i criminali informatici abbiano la possibilità di spiare, diffondere e rubare.

"L'apprendimento automatico e l'intelligenza artificiale possono aiutare le organizzazioni sanitarie a proteggere meglio reti, carichi di lavoro e dispositivi, oltre a garantire la sicurezza dei dati analizzando i comportamenti nei vari sistemi", ha affermato Jon Oltsik, analista senior presso Enterprise Strategy Group. Secondo una ricerca condotta da ESG, "il 12% delle organizzazioni aziendali ha già implementato su larga scala analisi di sicurezza basate sull'intelligenza artificiale, mentre il 27% le ha implementate in misura limitata. Prevediamo che queste tendenze di implementazione continueranno a crescere".

Le lacune nelle politiche e nelle procedure possono causare errori da parte del personale sanitario. Esempi di tali errori includono la gestione e l'archiviazione impropria delle cartelle cliniche dei pazienti, che rappresentano un punto debole per i criminali informatici quando prendono di mira organizzazioni e settori globali alla ricerca di vulnerabilità da sfruttare.

"L'aumento dell'IoT medico è vantaggioso per i pazienti, ma rende difficile garantire la sicurezza dei sistemi sanitari a causa dei controlli di sicurezza limitati su questi dispositivi", ha affermato Brett Walmsley, Chief Technology Officer presso Bolton NHS Foundation Trust, che fornisce servizi sanitari ambulatoriali e ospedalieri a oltre 140.000 persone a Bolton e nell'area circostante a nord-ovest di Manchester, in Inghilterra. "Avere la visibilità necessaria per rilevare in modo rapido e accurato i comportamenti dannosi su e tra tutti i dispositivi è fondamentale per garantire una buona pratica di sicurezza, la conformità normativa e la gestione dei rischi".

Il rapporto Spotlight 2019 sul settore sanitario si basa sulle osservazioni e sui dati contenuti nell'edizione 2019 della RSA Conference dell'Attacker Behavior Industry Report, che rivela comportamenti e tendenze nelle reti di un campione di 354 organizzazioni aziendali che hanno aderito volontariamente nel settore sanitario e in altri otto settori. Gli aggressori motivati spesso mascherano le loro azioni dannose confondendosi con i comportamenti del traffico di rete esistente.

Da luglio a dicembre 2018, la piattaforma Cognito di rilevamento e risposta alle minacce di Vectra ha monitorato il traffico di rete e raccolto metadati da oltre tre milioni di carichi di lavoro e dispositivi provenienti da cloud, data center e ambienti aziendali dei clienti. L'analisi di questi metadati fornisce una migliore comprensione dei comportamenti e delle tendenze degli aggressori, nonché dei rischi aziendali, consentendo ai clienti di Vectra di evitare disastrosi violazioni dei dati.

Principali risultati del rapporto Spotlight 2019 sull'assistenza sanitaria

• Il metodo più diffuso utilizzato dagli hacker per nascondere le comunicazioni di comando e controllo nelle reti sanitarie era costituito dai tunnel HTTPS nascosti. Questo traffico rappresenta comunicazioni esterne che coinvolgono più sessioni per lunghi periodi di tempo e che sembrano essere normali comunicazioni web crittografate.
• Il metodo più comunemente utilizzato dagli hacker per nascondere i comportamenti di esfiltrazione dei dati nelle reti sanitarie era costituito dai tunnel DNS (Domain Name System) nascosti. Comportamenti compatibili con l'esfiltrazione possono anche essere causati da strumenti IT e di sicurezza che utilizzano la comunicazione DNS.
• Vectra ha osservato un picco nei comportamenti compatibili con attività di ricognizione interna da parte degli aggressori, sotto forma di scansioni interne della darknet e scansioni degli account Microsoft Server Message Block (SMB). Le scansioni interne della darknet si verificano quando i dispositivi host interni cercano indirizzi IP interni che non esistono sulla rete. Le scansioni degli account SMB si verificano quando un dispositivo host utilizza rapidamente più account tramite il protocollo SMB, tipicamente utilizzato per la condivisione di file.
• Sebbene molte organizzazioni sanitarie abbiano subito attacchi ransomware negli ultimi anni, il rapporto ha rilevato che le minacce ransomware non sono state così diffuse nella seconda metà del 2018. È comunque importante individuare tempestivamente gli attacchi ransomware, prima che i file vengano crittografati e le operazioni cliniche vengano interrotte.
• Gli attacchi botnet sono opportunistici e non prendono di mira organizzazioni specifiche. Sebbene gli attacchi botnet siano diffusi ovunque, la loro incidenza nel settore sanitario è inferiore rispetto ad altri settori.

"Con l'adozione di nuove tecnologie mediche emergenti per migliorare l'erogazione dell'assistenza sanitaria, diventa sempre più importante rafforzare la sicurezza comprendendo le tecnologie di cui si dispone, come vengono utilizzate e ricevendo avvisi tempestivi in caso di uso non autorizzato", ha affermato Robert Rivera, ingegnere senior della sicurezza presso Cooper University Health Care, un importante sistema sanitario accademico con sede a Camden, nel New Jersey.

"Le organizzazioni sanitarie hanno difficoltà a gestire i sistemi legacy e i dispositivi medici che tradizionalmente hanno controlli di sicurezza deboli, ma entrambi forniscono un accesso critico alle informazioni sanitarie dei pazienti", ha affermato Chris Morales, responsabile dell'analisi della sicurezza presso Vectra. "Migliorare la visibilità sul comportamento della rete consente alle organizzazioni sanitarie di gestire il rischio dei sistemi legacy e delle nuove tecnologie che adottano".

La piattaforma Cognito accelera il rilevamento e la risposta alle minacce di rete utilizzando un'intelligenza artificiale sofisticata per raccogliere, arricchire e archiviare i metadati di rete con il contesto giusto per rilevare, individuare e indagare sulle minacce nascoste in tempo reale. La piattaforma Cognito si adatta in modo efficiente alle reti delle organizzazioni più grandi con un'architettura distribuita che include una combinazione di cloud fisici, virtuali e cloud per fornire una visibilità a 360 gradi su cloud, data center, utenti e reti IoT, senza lasciare alcun nascondiglio agli aggressori.