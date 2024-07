Guerre di Rete – una newsletter di notizie cyber

di Carola Frediani

N.189 – 14 giugno 2024



Ancora ospedali e strutture sanitarie sotto attacco



La sanità continua a subire attacchi informatici che provocano fughe di dati e disservizi, sia in Italia che all’estero. Tra il 5 e il 6 giugno la rete informatica dell’Asst Rhodense, che comprende gli ospedali di Garbagnate, Rho e Bollate nel Milanese, ha subito un attacco informatico, ha dichiarato la stessa Asst sulla sua pagina Facebook (il sito era ancora irraggiungibile diversi giorni dopo). Sono state sospese le attività relative a interventi chirurgici non urgenti e quelle di prenotazione nei Cup, di ricovero programmato e dei Punti Prelievo. Mentre i Pronto Soccorso di Garbagnate e Rho sono rimasti attivi ma è stato sospeso l’invio di ambulanze. In ogni caso, per urgenze, l’Asst consigliava ai cittadini di rivolgersi ad altre strutture.

Colpiti, scrive Corriere.it, anche i presidi di Passirana, le case di comunità e i consultori della zona, la Rsa Pertini: “La stima è di almeno due settimane per un ritorno alla piena funzionalità dei servizi. (…) Dirottate le ambulanze, dunque, rinviati i ricoveri e gli interventi non urgenti, bloccate le attività di medicina nucleare (ad esempio Moc), di radiologia (Tac, risonanze, radiografie e mammografie) e del laboratorio analisi”.

Il 12 giugno la stessa Asst dava un aggiornamento: “Sono ancora sospese le prestazioni di laboratorio analisi, l’attività di prenotazione presso i CUP aziendali e quella dei Punti Prelievo (i pazienti TAO possono rivolgersi all’accoglienza dei Presidi Ospedalieri di Bollate, Garbagnate e Rho per avere informazioni sulle modalità di esecuzione degli esami necessari per la gestione della terapia). I tecnici stanno lavorando per garantire la ripresa di tutte le attività, ma purtroppo non è ancora possibile definire i tempi di ripristino dell’intera infrastruttura informatica.”

È passato più in sordina un attacco subito dall’Agenzia Regionale della Salute delle Marche alcuni giorni prima, che ha colpito il servizio Cup, per cui, scrive Rainews, “a lungo è stato impossibile usare tutti i canali delle prenotazioni sanitarie: dalle casse fisicamente presenti in ospedale e negli ambulatori, alle farmacie che aderiscono al progetto, fino al call center e alla app.”

Tutto questo è purtroppo un film già visto molte volte negli ultimi anni. L’ultima vicenda era stata l’attacco informatico a Synlab Italia, parte di un network europeo di fornitura di servizi di diagnostica medica. L’attacco (di tipo ransomware, come dichiarato da loro stessi sul sito e come gran parte degli attacchi che stanno colpendo la sanità, ovvero attacchi in cui vengono copiati e cifrati i dati e poi si chiede un riscatto o per decifrarli, o in ogni caso per non divulgarli online) ha prima bloccato una serie di servizi, in particolare tutte le attività analitiche di laboratorio, incluso il servizio logistico di ritiro campioni. E dopo ha portato alla divulgazione online di dati aziendali nonché di pazienti/clienti.

“Negli oltre 380 laboratori di Synlab – distribuiti in Lombardia, Veneto, Friuli-Venezia Giulia, Emilia-Romagna, Lazio, Liguria, Campania e Toscana – si eseguono ogni anno circa 35 milioni di esami”, scrive SkyTG24. “Al momento non si sa quante persone siano rimaste vittima dell’attacco informatico, si sa soltanto che sono stati pubblicati 1,5 terabyte di dati”.

“È in corso la fase di download in sicurezza dei file, affidata ad un’azienda altamente specializzata”, ha comunicato il 23 maggio Synlab. “SYNLAB ha sin da subito messo in atto differenti misure per far fronte all’attacco, tra le quali diverse strategie di analisi dei dati esfiltrati (copiati). A causa dei volumi interessati dall’attacco e delle complessità operative emerse in fase di analisi, al momento non è possibile valutare la posizione di ciascun interessato”.

Se siete clienti SYNLAB e volete sapere qualcosa sui vostri dati potete contattare: comunicazione@synlab.it. Se siete tra gli utenti colpiti, la cosa più importante è essere consapevoli che potreste essere raggiunti da tentativi di truffa da parte di entità con in mano varie informazioni su di voi, codice fiscale, domicilio, o altri dati che possono rendere più credibile l’SMS, l’email, la telefonata. Ho parlato della vicenda giorni fa su Radio 3 Scienza (qui il podcast). SYNLAB Italia sta comunque dando informazioni aggiornate sul suo sito.

Ma non è finita qua in termini di attacchi alla sanità. A inizio giugno alcuni ospedali di Londra hanno dovuto bloccare molte attività a causa di un attacco informatico a un loro fornitore di servizi diagnostici, Synnovis. Synnovis è una partnership tra SYNLAB UK & Ireland e una rete di ospedali inglesi, Guy’s e St Thomas e il King’s College Hospital che coprono il sud-est di Londra. In un’e-mail inviata al personale il 3 giugno e visionata da Digital Health News, il professor Ian Abbs, amministratore delegato del Guy’s and St Thomas NHS Foundation Trust (una unità organizzativa semiautonoma del NHS, il servizio sanitario nazionale), ha dichiarato che un “incidente critico in corso” stava avendo un forte impatto sui servizi di patologia. “Posso confermare che il nostro partner di patologia Synnovis ha avuto un grave incidente informatico oggi (…) “Questo sta avendo un forte impatto sull’erogazione dei nostri servizi, in particolare sulle trasfusioni di sangue.”

“Si tratta di un incidente isolato per Synnovis, senza alcun collegamento con l’attacco informatico a SYNLAB Italia del 18 aprile 2024”, ha comunicato SYNLAB AG. “Il resto del Gruppo SYNLAB, comprese le altre strutture SYNLAB nel Regno Unito, non sono state colpite”.

Nel mentre gli effetti sugli ospedali inglesi si sono visti per giorni. Il 10 giugno il servizio di trapianti e trasfusioni invitava i donatori di sangue O-positivi e O-negativi a prenotare appuntamenti in uno dei 25 centri per aumentare le scorte, perché gli ospedali colpiti dall’attacco informatico non potevano abbinare il sangue dei pazienti con la velocità abituale.

In un messaggio inviato ai medici tirocinanti del Guy’s and St Thomas’ Trust, è stato poi chiesto agli studenti di offrirsi volontari per turni di 10 o 12 ore, riporta BBC. Un portavoce di Londra dell’NHS, il servizio sanitario nazionale, ha dichiarato che il personale stava “lavorando 24 ore su 24” per ridurre al minimo “i notevoli disagi per l’assistenza ai pazienti”.

Nei giorni scorsi i postumi dell’attacco hanno avuto conseguenze anche su altri ospedali. Secondo The Independent, “più di 200 operazioni di emergenza e salvavita, comprese quelle che dovrebbero essere effettuate entro 24 ore, sono state cancellate dal Guy’s and St Thomas’ Foundation Trust (GSTT) e dal King’s College University Hospital NHS Foundation Trust. (…) E più di un terzo delle procedure e delle operazioni sono state cancellate, il che include oltre 3.000 appuntamenti non chirurgici e centinaia di pazienti che sono stati reindirizzati per una diagnosi urgente di cancro”. Ci vorranno mesi per riprendersi dall’attacco, avrebbero detto alcune fonti al Guardian.

Per Ciaran Martin, l’ex capo del National Cyber Security Centre britannico, responsabile dell’attacco sarebbe il gruppo cybercriminale Qilin.

Questi gruppi, come abbiamo raccontato più volte su Guerre di Rete, stanno colpendo strutture sanitarie e ospedali proprio perché la gravità dell’interruzione dei servizi e del furto di dati sensibili li rende più vulnerabili a ricatti ed estorsioni. E perché sono strutture complesse, con sistemi legacy, difficoltà ad aggiornare alcuni software, molteplicità di fornitori, strutture che solo negli ultimi anni hanno iniziato a occuparsi seriamente di cybersicurezza. Ma non è più accettabile che siano così esposti ad attacchi che hanno ripercussioni operative importanti, addirittura sulle trasfusioni, sull’accettazione al pronto soccorso o su molteplici interventi sanitari.

L’Italia ha subito la sua buona dose di incidenti. Stando alle informazioni rilasciate sui siti ufficiali delle cyber gang, solo negli ultimi due mesi del 2023 erano stati diffusi oltre 1,5 terabyte di dati sanitari (circa due milioni di file) sottratti a diverse strutture del nostro Paese. Da quel momento sono seguiti altri incidenti importanti, alcuni dei quali raccontati in questo articolo di Guerre di Rete. Ora è tempo di interventi sistemici.

