Privati cittadini, dipendenti privati e pubblici sono accomunati dalla continua pressione agli attacchi di phishing. Il fenomeno, ben noto e non certo nuovo, si è acuito con la pandemia. Chi fino a quel momento non aveva dovuto occuparsi del problema, come il personale sanitario, ha di fatto messo a rischio i servizi essenziali per via della scarsa capacità di riconoscere le truffe.

Il focus del phishing sul settore sanitario è proposto da Libraesva, azienda specializzata nella realizzazione di prodotti per la sicurezza della posta elettronica, e di recente anche di prodotti per la formazione contro il phishing. Il CEO Paolo Frizzi spiega che “il settore sanitario rientra tra quelli maggiormente colpiti, ancor più nel periodo pandemico a causa di una digitalizzazione diffusa ed improvvisa, che ne ha necessariamente aumentato la superficie d’attacco”.

Phishing e sanità

Ricapitolando, il phishing applicato al settore sanitario è di fatto divenuto un problema quando l'healthcare ha dovuto applicare una trasformazione digitale repentina per rimediare alle barriere fisiche che ostacolavano il rapporto medici/pazienti. I referti, che prima si ritiravano quasi esclusivamente di persona, hanno iniziato ad essere scaricabili dal web o spediti via email. Il medico, da cui prima del COVID ci si recava personalmente, ha iniziato a spedire le prescrizioni via email.

Paolo Frizzi, CEO di Libraesva

Nulla di nuovo per chi lavorava con la posta elettronica da anni. Una rivoluzione per la sanità, soprattutto italiana. I cyber criminali, sempre pronti a trarre profitto dalle novità, hanno visto un'occasione nell'improvviso traffico di email. Da una parte c'erano sanitari non abituati a usare il digitale per lavoro, che non avevano ricevuto formazione o linee guida al riguardo. Dall'altra cittadini che non avevano alcuna conoscenza circa la sicurezza delle email.

Ogni volta che qualcuno riceve un’email contenente notifiche di appuntamenti presso strutture sanitarie pubbliche o private o legata a esiti di esami clinici, corre un rischio per sé e per l’azienda per cui lavora. E attacchi di phishing riescono con successo a minare la sicurezza di aziende, amministrazioni pubbliche e privati, perpetrando truffe, furto di credenziali, ricatti e attacchi reputazionali.

La tendenza nel privato è estorcere le credenziali per rubare dati e rivenderli a terzi. Nel pubblico l'obiettivo criminale è estorcere dati sensibili per chiedere poi ingenti riscatti proprio perché la mole di dati gestita dalla PA giustifica il pagamento di grosse somme pur di preservare la privacy delle persone coinvolte.

Soluzioni e case history

Per contrastare il phishing è necessario giocare sulla prevenzione su die fronti. Da una parte adottare filtri anti phishing che recapitino meno email truffa possibili all'attenzione dei destinatari. Dall'altra proporre ai dipendenti dei percorso formativi affinché imparino a riconoscere i tranelli e a non abboccare.

Nel primo caso Libraesva propone l’email security gateway Libraesva ESG, che presenta un tasso di fasi positivi pari a zero e uno spam catch-rate del 99,98%. Sul fronte della formazione c'è invece il motore PhishBrain con cui è possibile sviluppare un percorso di phishing awareness che dà agli utenti in azienda gli strumenti necessari per comprendere le debolezze della mente umana e conoscere meglio le tecniche di attacco utilizzate dai criminali informatici.

Libraesva ESG è stato adottato con successo dalla ASST Ovest Milanese – Regione Lombardia, a fanno capo Presidi Ospedalieri, strutture ambulatoriali, semiresidenziali e distrettuali, che coprono un bacino di utenza di 49 comuni per oltre 450.000 abitanti. Con la pandemia il flusso di posta elettronica in entrata, in termini di quantità di dati scambiati, è cresciuto del 48% e quello in uscita del 35%. Da qui la necessità di protezione contro campagne di phishing mirate e attacchi di social engineering mirati soprattutto alla diffusione di ransomware per garantire la business continuity anche in caso di downtime dei sistemi e sicurezza contro forme di Email Account Compromise.

Per la Casa di Cura Villa Fulvia del Gruppo Giunone di Roma l'esperienza d'uso della soluzione Libraesva è in corso da tre anni con esiti molto soddisfacenti.