Attacco hacker

Nel mese di dicembre scorso, la rete dell’Azienda Ospedaliera di Alessandria (AO AL) è stata oggetto di un attacco hacker informatico (ransomware). Qui di seguito riportiamo, per trasparenza, alcune risposte alle domande che abbiamo ricevuto al riguardo.

Di che tipo di attacco si è trattato?
Si è trattato di un ransomware, cioè del tentativo di lanciare un eseguibile malevolo con l’obiettivo di criptare la base dati raggiunta per ottenere un riscatto. In questo caso l’attaccante (appartenenti al gruppo ransomware Ragnar Locker), pur compromettendo l’infrastruttura IT (Information Technology) dell’AO AL, non ha effettuato la cifratura dei sistemi come dichiarato nella ransom note (nota di riscatto) copiata su ogni sistema.

Come hanno fatto gli hacker a violare la sicurezza dell'ospedale?
I giorni trascorsi a seguito dell’attacco sono serviti per analizzare, con il supporto dell’Agenzia per la Cybersicurezza nazionale -ACN, i log dei sistemi dell’infrastruttura di rete dell’Azienda, proprio per identificare la modalità di primo accesso. A seguito di tale analisi, si presume che l’attaccante possa aver sfruttato una vulnerabilità relativa al firewall perimetrale e un’utenza di servizio con privilegi di amministratore per attivare una connessione anonima verso la rete interna e da lì diffondersi all’interno.

Quali misure tecniche ed organizzative erano in atto al momento dell'attacco?
Da più di un anno l’Azienda è impegnata in una complessa opera di potenziamento dell’infrastruttura di sicurezza e di miglioramento della consapevolezza sui rischi legati agli attacchi cyber verso l’utenza.

In particolare, già dalla fine del 2021 sono state attivate le seguenti iniziative:

• Acquisto della soluzione di Antivirus “best of breed” secondo gli standard di settore
• Sostituzione degli oltre 1000 computer con sistema operativo Windows 7 che, oltre a costituire una vulnerabilità di per sé, essendo il sistema operativo non più supportato né manutenuto, non permettevano un’ottimale esecuzione dell’antivirus acquistato
• Acquisto di uno strumento di Asset management dei dispositivi elettromedicali, altra grande fonte di potenziali vulnerabilità
• Attivazione di un corso di Cyber Awareness per gli operatori ospedalieri ai fini di sensibilizzare gli utenti su un uso consapevole di e-mail, social, applicativi e delle proprie identità digitali (user e password, Spid, ecc.)
• Predisposizione di ulteriori investimenti nell’ambito della Missione 6 del PNRR per acquisire soluzione di gestione degli utenti amministratori, upgrade dei firewall, gestione automatizzata dei log dei sistemi per la rilevazione proattiva di vulnerabilità e identificazione immediata delle contromisure
•  Revisione delle procedure aziendali predisponendo un regolamento che prevede la funzione di cybersecurity all’interno dell’Area ICT - Information and Communication Technology e raccomandazioni agli utenti sulla generazione delle password aziendali e sull’uso corretto delle cartelle condivise.

Da novembre, inoltre, era stata avviata un’infrastruttura di monitoraggio della rete per la ricerca e la risoluzione sistematica delle molte vulnerabilità che la indeboliscono.

Quali dati sanitari e (non) sono stati violati?
È stato violato il contenuto delle cartelle condivise all’interno della rete dei computer aziendali. Le cartelle condivise costituiscono un sistema in cui è possibile memorizzare, da parte dei dipendenti, documenti, fogli di calcolo, presentazioni, e più in generale qualsiasi file utile all’organizzazione del lavoro. 
I dati sanitari relativi ai percorsi clinici dei pazienti, invece, sono gestiti attraverso gli applicativi aziendali che generano le cartelle cliniche elettroniche.
Non escludiamo tuttavia che dati sanitari salvati impropriamente da personale sanitario nelle cartelle condivise possa essere stato oggetto di esfiltrazione.

È stata effettuata una valutazione del rischio dopo l’attacco?
Valutazioni del rischio sono state condotte anche prima dell’evento, proprio per dimensionare gli interventi oggetto degli investimenti da effettuare. In particolare, è stata eseguita già da gennaio 2022 una ricognizione dello stato attuale basata su 3 livelli:

• SICUREZZA PREDITTIVA: attività di ricognizione di web, darkweb e deep web per identificare informazioni che terzi hanno già pubblicato in forum chat e altri canali
• SICUREZZA PREVENTIVA: analisi dei gap rispetto agli obblighi Agid, Direttiva Nis, Iso 27001 e analisi del rischio per comprendere criticità all'interno degli asset
• SICUREZZA PROATTIVA: analisi delle minacce cyber che operano nel perimetro aziendale, per identificare le azioni di contrasto degli attacchi informatici e gestione di Cyber Incident

Per quanto riguarda l’analisi legata all’evento nello specifico, è in corso una valutazione congiuntamente con il DPO (Data Protection Officer) dell’Azienda per identificare e documentare tutte le violazioni dei dati personali, ai sensi del GDPR, predisponendo un apposito registro. Tale documentazione consente all'Autorità di effettuare approfondimenti sull’indagine in corso.

Dopo l’attacco, quali contromisure sono state prese?
In aggiunta a quanto già predisposto nei mesi precedenti, si sono ulteriormente ristrette le regole di accesso alla rete internet tramite il firewall. Si sono anche attivate ulteriori limitazioni dell’accesso in qualità di amministratore a utenze esterne alla rete aziendale (tipicamente i manutentori dei fornitori di applicativi) e prosegue l’analisi congiunta con il fornitore dell’antivirus, con il partner di manutenzione dell’infrastruttura di rete e con l’Agenzia per la Cybersicurezza nazionale CSIRT- Italia (Computer Security Incident Response Team – Italia) per verificare potenziali ulteriori vulnerabilità e azioni contenitive e correttive.