Da diversi giorni a Torino è impossibile ricevere determinate prestazioni sanitarie (per esempio, le visite mediche per la patente). Se si fa una visita di altro tipo, il referto viene redatto a mano. E se si vuole pagare il ticket utilizzando i totem dedicati, bisogna rinunciare: sono fuori servizio. Il motivo? Un attacco hacker.
Venerdì 18 agosto, infatti, l’Azienda Sanitaria Locale torinese ha subito una violazione della propria infrastruttura informatica; un comunicato emesso il 23 agosto conferma l’attacco e precisa che “il necessario ricorso a procedure manuali potrebbe determinare rallentamenti nell’erogazione delle prestazioni e creare disagi all’utenza”. I plessi ospedalieri colpiti sono quattro: Giovanni Bosco, Martini, Oftalmico e Maria Vittoria. Sempre nel comunicato sono precisate le conseguenze della situazione: “Come da linee guida sugli attacchi informatici, si è provveduto a bloccare tutti i sistemi informatici aziendali, per effettuare le verifiche e i monitoraggi indispensabili per mettere in sicurezza i dati e ripristinare gli applicativi aziendali cautelativamente bloccati”.
Il tipo di attacco
I responsabili IT dell’ASL ipotizzano un attacco tramite ransomware, possibilità suffragata dalla comparsa di una mail con una richiesta di riscatto milionario all’ente. Si resta nel campo delle ipotesi non solo perché le indagini della Polizia Postale sono in pieno svolgimento, ma soprattutto perché non c’è stata al momento alcuna rivendicazione da parte di gruppi legati al cybercrime, nemmeno da quelli che già di frequente hanno lanciato le proprie azioni contro la sanità pubblica italiana (Vice Society e Hive, tra tutti). Alla ricostruzione degli eventi sta lavorando una task force costituita per l’occasione e della quale fanno parte esperti del CSIRT italiano ( Computer Security Incident Response Team).
La situazione per gli utenti
I disservizi hanno colpito l’attività dei medici e del personale sanitario dell’ente torinese, ma si sono riflessi sui cittadini toccando un insieme preciso di servizi erogabili tramite l’infrastruttura informatica. Le operazioni e gli interventi chirurgici, l’ordinario lavoro quotidiano negli ospedali e in pronto soccorso e gli altri servizi essenziali sono invece regolarmente garantiti.
Ciò nulla toglie all’importanza dell’attacco, che ha toccato il tema più caro ai cittadini – la salute – e che, se le indagini lo confermeranno, ha potuto sortire effetto grazie alla disattenzione o alla scarsa consapevolezza di qualcuno che ha consentito al ransomware di entrare nei sistemi dell’ASL. Un software malevolo di quel tipo, infatti, si aziona nel momento in cui c’è un errore umano (un click su un link o su un allegato) che apre la porta al suo ingresso.
«Questo episodio conferma più che mai che ad oggi è necessario per le aziende non farsi trovare impreparate e dotarsi quanto prima di tutti gli strumenti e le competenze volte a prevenire possibili minacce informatiche, arginando i rischi provenienti dal principale elemento di vulnerabilità: il fattore umano». Così commenta l'accaduto Davide Telasi, analista di HWG. Che aggiunge: «Quando si tratta di violazioni, ed è già noto da tempo, tutte le strade portano sempre più spesso all’elemento umano. La stragrande maggioranza dei criminali informatici non effettuano più prevalentemente attività di hacking tramite tool o competenze specifiche , bensì accedono ai sistemi e infrastrutture utilizzando credenziali deboli, di default, rubate o comunque compromesse. È dunque fondamentale per le aziende adattare protezioni avanzate in grado di bloccare gli attaccanti prima ancora che abbiano la possibilità di entrare in contatto con le loro potenziali vittime».