I cybercriminali hanno cifrato con successo i dati appartenenti al 75% delle organizzazioni colpite. È quanto emerge dal report “The State of Ransomware in Healthcare 2023” rilasciato recentemente da Sophos, secondo cui solamente il 24% degli operatori sanitari (contro il 34% del 2022) è stato in grado di neutralizzare gli attacchi ransomware prima che questi potessero criptare le informazioni: si tratta della percentuale più bassa rilevata nel settore negli ultimi tre anni.
Sebbene la percentuale di aziende che riescono a bloccare un attacco prima della fase di cifratura costituisca un buon indicatore del grado di maturità della sicurezza, nel settore della sanità questo parametro è decisamente basso: solo il 24%. Ma, secondo i dati, il comparto sta a perdendo terreno rispetto ai cybercriminali diventando sempre meno capace di rilevare e fermare gli attacchi in corso.
“Parte del problema risiede nel fatto che gli attacchi ransomware si fanno sempre più sofisticati velocizzando le tempistiche del loro svolgimento. Nell’ultimo studio Active Adversary Report for Tech Leaders abbiamo rilevato come il tempo mediano che intercorre tra l’inizio di un attacco ransomware e il suo rilevamento sia di soli cinque giorni. Abbiamo inoltre scoperto che il 90% degli attacchi ransomware avviene al di fuori del normale orario di lavoro. La minaccia del ransomware è diventata semplicemente troppo complessa perché le aziende possano affrontarla da sole. Tutte, in particolare quelle che operano nella sanità, hanno bisogno di modernizzare il loro approccio al cybercrimine passando dalla sola prevenzione al monitoraggio attivo 24/7 con approfondimento degli allarmi affiancato da un aiuto esterno sotto forma di servizi come MDR (Managed Detection and Response)”, ha dichiarato Chester Wisniewski, director, field CTO di Sophos.
Tra gli altri risultati del report si segnalano:
- Nel 37% degli attacchi ransomware che sono riusciti a cifrare i dati, questi sono stati anche sottratti, a indicare una crescita dei casi di doppia estorsione
- Gli operatori della sanità impiegano più tempo per tornare alla normalità: solo il 47% è riuscito a farlo entro una settimana, contro il 54% dello scorso anno
- Il numero complessivo di attacchi ransomware sferrati contro gli operatori della sanità intervistati è sceso dal 66% del 2022 al 60% di quest’anno
- La compromissione di credenziali è la prima causa degli attacchi ransomware contro le organizzazioni sanitarie, seguita dagli exploit
- Il numero di operatori sanitari intervistati che hanno versato un riscatto è sceso dal 61% dello scorso anno al 42% di quest’anno, un dato più basso rispetto alla media del 46% calcolata fra tutti i vari settori
“Nel 2016, l’Ospedale della Croce Rossa di Cordova ha subìto un attacco ransomware che ne ha colpito i server crittografando centinaia di file, cartelle cliniche e altre informazioni relative ai pazienti. Si è trattato di un grosso danno all’operatività che ha influito sulla nostra capacità di curare i pazienti. La posta in gioco negli attacchi ransomware diretti contro le strutture sanitarie è molto elevata – i cybercriminali lo sanno bene – il che significa che saremo sempre un bersaglio. Dopo questo attacco abbiamo collaborato con Tekpyme per rafforzare le nostre difese e oggi abbiamo ridotto il tempo di risposta agli incidenti dell’80%. Credo che il settore nel suo complesso stia compiendo passi avanti, ma c’è ancora molto da fare a causa della natura in costante evoluzione del cybercrimine. Per fortuna gli operatori della sanità possono avvalersi dell’aiuto offerto da vendor specializzati come Sophos per evitare un vero e proprio pericolo di vita se i sistemi dovessero finire offline a causa di un attacco ransomware”, ha commentato José Antonio Alcaraz Pérez, responsabile sistemi informativi e comunicazioni della Croce Rossa dell’Andalusia.
“Il cyberspazio oggi è zeppo di malintenzionati tecnicamente molto capaci che ricercano vulnerabilità da poter sfruttare. Tutto questo si traduce in una minaccia multidimensionale da parte di personaggi che possiedono i tool necessari a paralizzare interi ospedali. La collaborazione con il settore privato è essenziale per la nostra mission. Le informazioni che vengono condivise hanno un impatto reale e possono salvare le vite come le aziende”, ha commentato Christopher Wray, Direttore dell’FBI.
Per difendersi dal ransomware e dai cyberattacchi ad esso correlati, Sophos consiglia le seguenti best practice:
Rafforzare ulteriormente gli scudi protettivi con
- Tool di sicurezza in grado di proteggere dai vettori di attacco più comuni, come la protezione degli endpoint con solide funzionalità anti-exploit per evitare l’abuso delle vulnerabilità, e Zero Trust Network Access (ZTNA) per impedire l’utilizzo di credenziali compromesse
- Tecnologie adattative che reagiscono automaticamente agli attacchi neutralizzando gli avversari e lasciando tempo per la risposta dei difensori
- Attività di rilevamento, analisi e gestione delle minacce su base 24/7, siano esse effettuate internamente o in collaborazione con un service provider MDR (Managed Detection and Response) specializzato
Inoltre è importante ottimizzare la preparazione in caso di attacco eseguendo backup regolari, collaudando i ripristini dai backup e mantenendo aggiornato un piano di risposta agli incidenti, nonché mantenere una buona igiene di sicurezza comprensiva di patch puntuali e di verifiche regolari delle configurazioni dei tool di sicurezza.