Una laurea finta: 500 dollari. Qualche decina di dollari per una ricetta falsa e spiccioli per la password dell'assicurazione. Sono i prezzi del borsino nero dei dati sanitari, che emergono dal rapporto Healthcare Cyber Heists in 2019 di Carbon Black. La società di cybersicurezza ha intervistato 20 responsabili della sicurezza nel settore. Una prospettiva parziale, che però dà un'idea di quanto siano frequenti le offensive, come vengono rubati i dati e come venduti nel dark web. Le organizzazioni sanitarie sono infatti l'obiettivo di attacchi informatici sempre più complessi e numerosi. Nel 2018 i tentativi di intromissione sono stati - in media - 8,2 al mese per ogni “endpoin”. Cioè non per ogni organizzazione, ma per ciascun dispositivo collegato alla loro rete.
Il canale di accesso resta lo spam, che buca i filtri e gli antivirus, sfrutta la disattenzione degli utenti e – individuata una crepa – scorrazza per la rete dell'organizzazione fino a trovare i dati da sfruttare. Quali? Carbon Black ha stilato un borsino, indicativo perché può variare molto in base al bottino. I dati più preziosi sono quelli del fornitore di servizi finanziari, come diplomi di laurea e licenze mediche. Costano circa 500 dollari. Un hacker che riesce a ottenerli, li rivende direttamente o con l'aiuto di un intermediario.
Il prezzo deve essere abbastanza alto da ripagare lo sforzo e abbastanza economico da permettere l'acquisto a più persone. Chi compra dati come questi può spacciarsi per un medico, rubare la sua identità, oppure richiedere rimborsi alle assicurazioni. Costano di solito tra i 10 e i 120 dollari i dati che permettono “falsificazioni” sanitarie, come tessere e ricette. Vengono acquistate per superare i controlli (ad esempio in aeroporto) che vietano il trasporto di alcuni farmaci senza una specifica prescrizione.
Ci sono poi le credenziali per accedere alle assicurazioni sanitarie. Intrufolarsi consente di avere prescrizioni e prestazioni con i dati e i soldi della vittima. Le credenziali possono essere vendute a 3,25 dollari. Un prezzo ridotto dalla velocità con cui le credenziali possono essere modificate, soprattutto se si sospetta di un attacco.
L'83% delle organizzazioni sanitarie intervistate da Carbon Black ha notato un aumento nell'ultimo anno. Due su tre hanno subito l'azione di un ransomware (attacchi che “prendono in ostaggio” reti e dispositivi e chiedono un riscatto per “liberarle”). Il 66% delle imprese ha affermato che le offensive non sono solo più numerose ma anche più sofisticate. Molte organizzazioni (l'84%) hanno dichiarato di formare i dipendenti sulla cybersicurezza. Tuttavia, solo il 29% degli intervistati ha individuato la perdita o l'impossibilità di accedere ai dati dei pazienti come la principale preoccupazione. Pesano di più questioni di conformità alle norme (nel 33%) e, spesso (22%), il budget.
“Questo – spiega il rapporto – è un punto su cui riflettere e probabilmente uno dei maggiori problemi”. Perché “la conformità non equivale alla sicurezza. Troppe organizzazioni sanitarie che sono 'conformi' sono state vittime di violazioni”. Gli standard vengono “costantemente aggiornati”e sono “un buon punto di partenza, ma non bastano: “È necessario creare un programma di sicurezza per soddisfare le esigenze specifiche di un'organizzazione”.
“Prevenire è meglio che curare. Questo vale sia per la salute fisica che per quella digitale”, conclude il rapporto. In più, quando si parla di dati sanitari, le due cose “sono direttamente collegate”. Carbon Black ha notato “alcuni progressi”, ma la sfida resta complicata, anche perché “non sembra che la frequenza degli attacchi si ridurrà nel 2019”.