Cyber-terrorismo in ospedale: una nuova emergenza

di Maria Rita Montebelli

In un articolo di fondo sul New England Journal of Medicine di questa settimana, le riflessioni di un medico del Children’s Hospital di Boston, l’ospedale colpito qualche mese fa da un grave attacco di terrorismo informatico

05 AGO - All’inizio di quest’anno, Anonymous, una rete di attivisti hacker (‘hacktivist’) internazionale e decentralizzata, ha preso di mira il Children’s Hospital di Boston. Fino ad allora, i cyber-strali di Anonymous si erano rivolti solo contro entità finanziarie (dalla Visa a Mastercard, a PayPal), la Sony, la chiesa di Scientology e agenzie governative negli USA, in Israele e in Tunisia. Gli ospedali e la sanità in generale erano sempre stati risparmiati. Fino appunto all’inizio di quest’anno.
 
L’attacco al Children’s Hospital è stato annunciato da un twit con il quale Anonymous minacciava ritorsioni qualora non fossero stati presi provvedimenti disciplinari contro un gruppo di medici che aveva preso in custodia una bambina, con una presentazione clinica particolare, sottraendola all’affidamento della madre. L’attacco iniziale è consistito nel doxing, cioè nel postare messaggi alle email, telefoni cellulari e indirizzi postali dell’ospedale e privati delle persone coinvolte nel caso. Glihacker hanno quindi postato informazioni tecniche sul sito web dell’ospedale, suggerendo così che sarebbe potuto diventare bersaglio dei loro attacchi.  
E puntualmente, a distanza di qualche settimana, il sito web esterno del Children’s Hospital è stato colpito da un attacco DDoS (Distributed Denial of Service), che lo ha reso indisponibile, saturandolo con uno spam di false richieste, così da rendere impossibile rispondere a quelle vere. Questo tipo di attacco è andato progressivamente aumentando di intensità, nel corso delle settimane successive, finendo con il sovraccaricare il server e l’ampiezza di banda dell’ospedale, mandando così in tilt i sistemi informatici della struttura e danneggiando anche altre organizzazioni sanitarie locali, che si avvalevano dello stesso provider di servizi informatici del Children’s Hospital. Non contenti, gli hacktivist hanno sottoposto agli stessi attacchi anche altre istituzioni, considerate coinvolte in qualche modo nel caso della bambina presa in custodia.
 
Nel corso delle settimane successive, Anonymous ha alzato la posta; non limitandosi più a disturbare il traffico dati dell’ospedale, gli hacker hanno messo in atto tentativi di  phishing, nell’intento di superare i firewall dell’ospedale per penetrare nelle aree riservate. L’ospedale è stato costretto a prendere pesanti contromisure tecniche, mentre il caso della bambina veniva risolto e solo a quel punto Anonymous ha postato su Twitter appelli ai suoi hacktivist di cessate il fuoco.
 
Questa storia viene ricordata sull’ultimo numero di New England Journal of Medicine da Daniel J. Nigrin, Senior Vice President for Information
Services eChief Information Officer alChildren's Hospital di Boston, che ricorda come solo grazie agli sforzi congiunti di uno staff del CED estremamente competente e addestrato, il supporto di un team multidisciplinare e l’esperienza dell’internet provider si sia riuscito ad scampare il peggio, ovvero la perdita dei dati relativi alle cartelle cliniche o addirittura danni ai pazienti stessi. Normalmente i sistemi informativi degli ospedali sono pianificati per fronteggiare emergenze conseguenti alla perdita della connessione alle rete, non certo ai cyber-attacchi.
Durante questo attacco ad esempio i medici potevano stampare le loro prescrizioni e consegnarle ai pazienti ma non potevano spedirle alle farmacie che avrebbero dovute prepararle e naturalmente, nel bel mezzo dell’attacco non era facile informarli per via elettronica di cosa stesse accadendo.
 
Nigrinriflette sul fatto che questo attacco è servito in qualche modo di lezione per la pianificazione dei sistemi informativi, le falle della loro sicurezza e i piani di contingenza. Durante l’attacco, l’ospedale ha dovuto chiudere tutto il suo sistema di posta elettronica e questo ha dato modo agli esperti di mettere in quarantena le email utilizzate dagli hacker per il phishing e di notificare a tutto il personale il divieto di aprire i link in esse contenute. Il disagio per medici ed impiegati è stato relativo, ma molti sistemi in un ospedale dipendono dal corretto funzionamento dei sistemi informatici. Per questo - riflette Nigrin - è necessario pianificare un piano alternativo per l’impiego ad esempio della posta elettronica, in caso di attacco al sistema principale. Una lezione da imparare anche per tutte le strutture che si affacciano per la prima volta al mondo degli Electronic Health Record (EHR), le cartelle cliniche informatiche, che normalmente vengono conservate in ‘depositi’ remoti, accessibili solo via internet.
 
Dopo questo attacco insomma, neppure gli ospedali possono ritenersi al sicuro dai terroristi informatici e come in qualche industria, è necessario mettere in atto dei sistemi di difesa a salvaguardia dei dati sensibili e proteggere tutte le attività che funzionano attraverso la rete informatica, per garantire l’incolumità dei pazienti. È necessario dunque investire tempo e denaro per allestire o potenziare i sistemi di sicurezza dell’IT, per non farsi trovare sguarniti nell’eventualità di un cyber-attacco.
 
Maria Rita Montebelli

05 agosto 2014
© Riproduzione riservata