Ancora una volta una questione di sicurezza informatica è stata in grado di conquistare l’attenzione dei media generalisti. Ci riferiamo all’attacco che ha portato all’esfiltrazione di dati relativi a 515.000 profili estremamente sensibili dal programma internazionale “Restoring Family Links” gestito dalla Croce Rossa, il cui sito internet ufficiale, nel momento in cui scriviamo, risulta ancora disattivato. L’episodio, al di là di suscitare un diffuso sentimento di sdegno presso l’opinione pubblica, mette nuovamente a nudo la fragilità delle supply chain di servizi di rilevanza critica.
Si tratta di un aspetto che, al di là delle conseguenze più o meno gravi che deriveranno dall’utilizzo malevolo di questi dati, devono far riflettere e soprattutto prendere provvedimenti concreti affinché i servizi fondamentali e le infrastrutture critiche non finiscano per essere puntualmente alla mercè dei cybercriminali e dei cyberspioni di tutto il mondo.
Il cyberattacco alla Croce Rossa: esfiltrati dati sensibili di oltre 500mila persone
Come annunciato in sede di premessa, secondo una nota ufficiale pubblicata dalla Croce Rossa Internazionale lo scorso 19 gennaio, sarebbero stati sottratti illegalmente i dati personali di circa 515.000 persone iscritte al progetto internazionale Restoring Family Links che, come il nome stesso suggerisce, si occupa di rimettere in contatto le persone che hanno perso i loro contatti a causa di guerre, sfollamenti e grandi crisi umanitarie. Tale programma è condotto dalla Croce Rossa e dalla Mezzaluna Rossa in oltre 60 paesi in tutto il mondo.
Secondo Robert Mandini, direttore generale del Comitato Internazionale della Croce Rossa, con sede a Ginevra: “Si tratta di un attacco nei confronti di persone e famiglie già reduci da enormi sofferenze e difficoltà, che potrebbe rendere ancora più critica la loro situazione […]. Ogni giorno l’azione della Croce Rossa e della Mezzaluna Rossa aiuta a riunire in media 12 persone disperse con le loro famiglie, che possono così gioire del ricongiungimento con i propri cari. Purtroppo cyberattacchi come questo mettono a serio repentaglio questo essenziale lavoro e per questo stiamo prendendo questo data breach estremamente sul serio. Stiamo lavorando con i partner umanitari in tutto il mondo per cercare di comprendere lo scopo di questo attacco e cercare di salvaguardare in ogni modo possibile la sicurezza dei nostri dati in futuro”. Mandini ha inoltre rivolto un accorato appello diretto a quelli che al momento sono gli ignoti autori di questo data breach, affinché non provvedano a divulgare i dati delle persone iscritte al programma Restoring Family Links, rischiando soltanto di provocare ulteriore sofferenza nei confronti di persone definite tra le più deboli in assoluto su questo pianeta.
L’esfiltrazione dei dati sarebbe avvenuta sfruttando le vulnerabilità di una società terza, con sede in Svizzera, che opera in qualità di fornitore di servizi per la Croce Rossa, ma non sono al momento state diffuse ulteriori informazioni relative alla natura dell’attacco. Per il momento, non sarebbe altrimenti nota, o resa pubblica, alcuna rivendicazione in merito all’accaduto e i dati esfiltrati non sarebbero stati diffusi, almeno pubblicamente. Il che non vuol dire che l’attacco non possa aver già generato conseguenze molto gravi, considerando la platea di soggetti che potrebbero essere direttamente interessati a venire a conoscenza di tali informazioni.
Nell’ipotesi migliore, tale azione potrebbe essere stata condotta da qualche hacker che, in preda ad un momento di particolare virtuosismo, ha deciso di compiere un’azione tecnica dimostrativa delle proprie abilità, senza avere reali intenzioni malevole nei confronti dei dati sottratti illegalmente.
Non è tuttavia possibile escludere altri scenari, ben meno edificanti, come un furto finalizzato alla vendita sul dark web (qui una guida alle differenze deep web e dark web) o ad un’azione finanziata direttamente da uno stato interessato a conoscere l’identità e la località in cui attualmente si trovano i cittadini che sono fuggiti dai confini nazionali per salvarsi dall’oppressione dei regimi in quelle situazioni conflittuali in cui a farne le spese è quasi sempre la popolazione civile.
Venendo in possesso di tali informazioni, un governo che fa della violazione dei diritti umani uno dei cardini della salvaguardia della propria autorità, potrebbe facilmente procedere con ritorsioni nei confronti delle famiglie rimaste in patria, o avviare, tramite i servizi segreti, azioni persecutorie nei confronti dei rifugiati, soprattutto quando si tratta di profili che potrebbero generare anche all’estero delle problematiche a livello politico. Il data breach nei confronti del programma Restoring Family Links è dunque un episodio potenzialmente molto grave, che mette a rischio la sicurezza di centinaia di migliaia di persone, che da oggi dovranno vivere con un ulteriore sentimento di angoscia la loro già difficile situazione.
Non solo ransomware: sanità e difesa dei diritti umani nel mirino di un fronte criminale sempre più ampio
Combinando le informazioni di una serie di insight relative al quadro generale della cybersecurity per il 2021, si rileva che i settori di attività pertinenti alla sanità e alla difesa dei diritti umani hanno subito mediamente oltre 800 attacchi informatici alla settimana, un dato in aumento di circa il 70% rispetto a quanto registrato nel corso del 2020.
Le ragioni di questo accanimento non sono per nulla difficili da comprendere. La sanità è chiamata a garantire un servizio fondamentale, per cui ogni interruzione di servizio può tradursi in conseguenze tali da mettere a rischio la salute e la vita delle persone. Un particolare che ovviamente non impietosisce i cybercriminali, che non si fanno scrupoli per approfittare di questa strutturale condizione di debolezza delle infrastrutture sanitarie, che si dimostrano purtroppo spesso inadeguate dal punto di vista della sicurezza informatica.
L’oggettiva fragilità e l’elevato senso di responsabilità delle strutture sanitarie le rende una vittima privilegiata di attacchi ransomware a doppia estorsione, capaci di paralizzare i loro sistemi informatici e sottrarre illegalmente i dati sensibili dei pazienti, al fine di chiedere un riscatto per ripristinare la condizione originale.
Non entriamo nel merito, in questa sede, circa l’efficacia o meno che tale rimedio all’atto pratico può comportare, soffermandoci piuttosto sulla necessità di garantire una maggior sicurezza dei dati personali, oltretutto dato l’oggettivo e preoccupante diffondersi degli attacchi informatici nei confronti delle organizzazioni umanitarie, capaci di sfruttare, ancora una volta, gli anelli più deboli della supply chain dei servizi informatici.
Quanto costa il danno relativo ad un data breach? Cosa si sta facendo per impedirlo?
La pandemia Covid-19 ha visto susseguirsi un deciso incremento degli attacchi delle infrastrutture sanitarie per una serie di obiettivi molto ampia, tra cui spiccava certamente la volontà di rubare dati strategici relativi alla ricerca dei vaccini anti Covid. Dopo un’intensa ondata di attacchi a livello planetario, tra cui quello condotto ai danni dell’Istituto Spallanzani di Roma, già nel maggio 2020 la Croce Rossa Internazionale, attraverso una “A Call to All Governments” ufficiale, invitava caldamente i governi di tutto il mondo: “ad agire immediatamente e in modo decisivo per fermare tutti i cyberattacchi che stanno colpendo gli ospedali, le strutture sanitarie e di ricerca medica, così come il personale medico e le organizzazioni per la salute pubblica”. A cui si aggiungono, oggi, le organizzazioni che operano ogni giorno a garanzia dei diritti umani, tra cui la stessa ICRC.
Tale documento, firmato tra gli altri dal presidente di Microsoft, Brad Smith, e dall’ex segretario di stato americano Madeleine Albright, aveva portato all’attenzione mediatica una questione di fatto irrimandabile: reagire agli attacchi di sicurezza informatica condotti ai danni dei soggetti più fragili, per giunta nel loro momento più difficile.
Cos’è stato fatto da allora? Difficile dirlo con certezza, mentre è assolutamente risaputo che attaccare la sanità ai cybercriminali rende, e anche moltissimo. Lo scorso anno è stato pubblicato Cost of a Data Breach Report 2020, sulla base di una ricerca commissionata da IBM, capace di evidenziare come, a livello mondiale, un data breach condotto ai danni di ente sanitario ha causato danni medi per 7,13 milioni di dollari all’azienda colpita, ivi comprese le conseguenze dirette ed indirette causate dall’attacco.
Il particolare assume una rilevanza a dir poco drammatica, se si considera come tale importo rappresenta mediamente oltre l’80% in più del danno medio derivante dai data breach che hanno visto vittime gli altri ambiti (media 3,86 milioni di dollari). Da questa ricerca emerge un dato oggettivo: gli interessi in gioco nell’ambito della sanità pubblica e privata sono di fatto enormi, ma le misure adottate per difendere questo straordinario patrimonio non sarebbero assolutamente adeguate, il che concede ai cybercriminali un vantaggio strategico ed operativo troppo importante.
Anche se naturalmente, come nel caso del recente attacco alla Croce Rossa, si è propensi ad indiziare un sofisticato attacco nation-state, molte volte i data breach derivano da inaccettabili episodi di negligenza in fatto di sicurezza informatica, che rendono l’ente del tutto incapace non soltanto di rispondere ad un attacco, ma nemmeno di accorgersi del fatto che ciò stia avvenendo.
Lo studio Cost of a Data Breach Report 2020 ha infatti evidenziato come soltanto il 52% degli attacchi alle strutture sanitarie è condotto da gruppi criminali operanti a livello internazionale e vi è un 23% riconducibile a banali errori umani, come avvenuto ad esempio nel celebre attacco di cui è rimasta vittima la Regione Lazio nel corso del 2021.
L’aspetto più inquietante in assoluto è tuttavia relativo al periodo medio necessario per accorgersi di una violazione ai propri sistemi informatici, che nel caso delle strutture sanitarie ammonterebbe addirittura a 329 giorni. Le conseguenze della presenza di un attaccante all’interno del perimetro di sicurezza aziendale per un simile lasso di tempo sono facilmente immaginabili, così come la quantità di dati che è possibile esfiltrare agendo in maniera del tutto indisturbata.
In conformità con le intenzioni che il legislatore europeo sta ribadendo nell’istruttoria della Normativa comunitaria NIS2, le organizzazioni sanitarie e operanti nell’ambito della difesa dei diritti umani, che trattano dati estremamente sensibili dei cittadini devono al più presto dotarsi di adeguati strumenti tecnologici ed organizzativi utili a prevenire e mitigare gli effetti dei possibili attacchi di sicurezza informatica. Ancor prima che un obbligo in termini di legge, la posta in gioco è troppo alta per tollerare ulteriormente il verificarsi di leggerezze come quelle che, ormai troppo spesso, ci raccontano le cronache quotidiane. A ben poco, in questo ambito, servono gli appelli al buon cuore di chi fa del crimine informatico la propria principale ragione di business.