Ransomware, la minaccia cresce
Il fenomeno del cyber crime miete la sua prima vittima. E questa volta, purtroppo, non si tratta di una semplice frase fatta. A metà settembre un attacco ransomware ha bloccato la rete informatica dell'ospedale di Dusseldorf, in Germania. La struttura, impossibilitata ad accedere a dati e sistemi, non ha potuto ammettere in clinica una donna che necessitava di urgenti cure mediche, predisponendo il suo trasferimento all'ospedale di Wuppertal, distante poco meno di trenta chilometri. L'operazione ha causato più di un'ora di ritardo, che si è rivelato fatale per la paziente. Gli autori dell'attacco, contattati dalla polizia, hanno successivamente ritirato la richiesta di riscatto e fornito le chiavi per la decodifica del sistema: su di loro pende adesso un'accusa di omicidio, oltre che chiaramente per cyber crime.
L'episodio, come già accennato, costituisce probabilmente il primo caso di morte da ransomware. Probabilmente perché già in passato si erano verificati attacchi informatici a strutture sanitarie. E perché non si può escludere che il rallentamento delle normali attività ospedaliere possa aver contribuito alla morte di un paziente. Nel 2017 il virus WannaCry aveva messo fuori uso le reti informatiche del National Health Service in Regno Unito, il successivo NotPetya aveva fatto lo stesso con lo statunitense Heritage Valley Health System. Uno studio dell'università Vanderbilt nel 2019 era arrivato alla conclusione che WannaCry aveva aumentato indirettamente la mortalità ospedaliera, contribuendo al decesso di 36 persone che si trovavano in arresto cardiaco. Gli stessi ricercatori avevano rilevato che, a seguito dell'attacco, c'erano voluti 2,7 minuti in più per sottoporre a un elettrocardiogramma i pazienti con un sospetto infarto.
La tragedia dell'ospedale di Dusseldorf costituisce pertanto, più propriamente, il primo caso riportato di morte da ransomware. Ed è sintomatica della crescente esposizione degli ospedali al fenomeno del cyber crime. Secondo il Cost of data breach report 2020, realizzato da Ponemon Institute per conto di Ibm, il settore sanitario è quello che paga il prezzo più salato per una violazione informatica: un episodio costa mediamente 7,13 milioni di dollari, contro una media di mercato a livello di globale di 3,86 milioni. Il settore farmaceutico, sempre legato al mondo della salute, si colloca al quarto posto con un costo medio di 5,06 milioni di dollari. Il rischio è ormai noto anche in Italia. A dicembre un attacco ransomware ha bloccato il sistema informatico dell'ospedale Fatebenefratelli di Erba, ad aprile stessa sorte è toccata allo Spallanzani di Roma.
La minaccia, tuttavia, non riguarda soltanto gli ospedali. A fine settembre, per esempio, il broker statunitense Arthur J. Gallagher ha comunicato di essere rimasto vittima di attacco ransomware. Nella documentazione consegnata alla Security and Exchange Commission (Sec), l'autorità di vigilanza degli Stati Uniti, la società ha reso noto di aver messo offline i suoi sistemi globali come misura precauzionale, di aver avviato i protocolli di risposta, iniziato un'indagine, assunto esperti esterni in cyber security e messo in atto i suoi piani di business continuity per minimizzare i rischi alla clientela. Due giorni dopo il broker si è spinto a escludere impatti sul business e sulle condizioni operative e finanziarie.
Tutti quindi, anche i professionisti del rischio, risultano sotto scacco. Ed è probabile che l'emergenza coronavirus possa contribuire ad aumentare la minaccia. A tal proposito, secondo un'indagine inclusa nello stesso rapporto di Ibm, il 76% delle organizzazioni intervistate ha dichiarato che il lavoro da remoto, diffusosi in maniera esponenziale per prevenire ogni rischio di contagio, avrebbe reso più difficile rispondere a un'eventuale violazione dei dati, il 70% ha affermato che avrebbe aumentato il costo di eventuali intrusioni. Per i curatori del rapporto, un attacco in regime di telelavoro o smart working potrebbe costare 137mila dollari in più rispetto alla media registrata, portando il totale poco sopra la soglia dei quattro milioni di dollari. Sulla stessa linea anche la società di sicurezza informatica Coalition, che in un rapporto ha parlato di un aumento del 50% degli attacchi informatici nel secondo trimestre dell'anno rispetto ai tre mesi precedenti, e un'indagine del broker Marsh focalizzata sul mercato italiano. Stando la ricerca, gli attacchi hacker crescono a doppia cifra da una decina d'anni e il 2020, come visto, difficilmente farà eccezione. “Il rischio cyber continuerà ad aumentare intorno al 25% ogni anno, con un rialzo a doppia cifra anche dei danni e dei costi”, ha commentato Corrado Zana, head of cyber risk consulting di Marsh. Lo smart working, come già accennato, amplierà ulteriormente lo scenario di rischio. E le piccole e medie imprese italiane non sembrano minimamente preparate: meno del 10% delle pmi può infatti contare su una polizza assicurativa. Le piccole aziende, a detta del rapporto di Marsh, saranno in futuro il bersaglio principale dei criminali informatici. In parte perché ransomware sempre più sofisticati potranno consentire di puntare su obiettivi più contenuti per ottenere un guadagno immediato. E in parte perché, come denota lo scarso ricorso a polizze assicurative, la percezione del rischio resta ancora bassa.
Chissà però se davvero una più ampia diffusione di soluzioni assicurative potrà costituire un deterrente efficace per i criminali informatici. Il dipartimento del Tesoro degli Stati Uniti teme, a tal proposito, che il fenomeno potrebbe addirittura avere l'effetto contrario: la consapevolezza che le perdite saranno comunque coperte da compagnie assicurative, secondo gli uffici del ministero statunitense, potrebbe infatti spingere le organizzazioni criminali a intensificare il numero di attacchi. Il dipartimento ha reso noto recentemente che facilitare il pagamento di un riscatto in caso di attacco ransomware potrebbe violare le norme sulla sicurezza e comportare sanzioni. Le polizze informatiche solitamente coprono il pagamento del riscatto, il recupero dei dati, la responsabilità legale e l'assuzione di negoziatori che parlano la stessa lingua degli autori dell'attacco. La questione pone nuova preoccupazione per un settore, quello delle assicurazioni e più in generale delle società specializzate nella gestione di ransomware, messo sempre più sotto pressione dai costi crescenti che si sono registrati negli ultimi anni. Fra il primo e il secondo trimestre del 2020, secondo un'analisi di Coveware, il riscatto medio è aumentato del 60%, attestandosi a quota 178.254 dollari.