Nel 2023 solo il 24% degli operatori sanitari è stato in grado di neutralizzare gli attacchi ransomware prima che gli attaccanti potessero crittografare i dati. L’informazione emerge dal report The State of Ransomware in Healthcare 2023 redatto da Sophos sulla base di interviste a 3.000 responsabili IT e della cybersecurity di organizzazioni da 100 a 5.000 dipendenti, di cui 233 nel settore sanitario, in 14 Paesi di Americhe, EMEA e Asia Pacifico. Il dato è preoccupante nella misura in cui la percentuale delle strutture che sono riuscite a bloccare gli attacchi prima della cifratura dei dati è la più bassa del settore negli ultimi tre anni.

Non è questo l’unico dato preoccupante. Dalle stesse interviste risulta infatti che nel 37% degli attacchi i dati sono stati anche sottratti oltre che cifrati, quindi si è trattato di un’applicazione da manuale di attacchi a doppia estorsione. Il problema non è solo nella difesa, ma anche nella gestione del post incidente: a quanto emerge solo il 47% riesce a tornare alla normalità entro una settimana. Ma qual è la prima causa degli attacchi contro le strutture sanitarie? Come accade ovunque, gli attaccanti sfruttano per lo più la compromissione di credenziali, seguita dagli exploit.

L’unica buona notizie è che sta finalmente diminuendo il numero di operatori sanitari che hanno versato un riscatto: si parla del 42 percento, contro il 61% dello scorso anno.

L’opinione dell’esperto

Chester Wisniewski, director, field CTO di Sophos, ha pubblicato alcune considerazioni che è bene tenere presente. La prima è che la capacità di bloccare un attacco prima della cifratura è un indicatore del grado di maturità della sicurezza, che evidentemente nell’ambito healthcare è ancora troppo basso. Questa osservazione può essere generalizzata a qualsiasi settore, mentre mettendo a fuoco solo l’ambito sanitario è doveroso ricordare che la posta in gioco negli attacchi ransomware diretti contro le strutture sanitarie è molto elevata, per questo i cybercriminali le reputano un bersaglio, ma per lo stesso motivo le capacità di difesa dovrebbero essere superiori.

Da qui il consiglio di Sophos: farsi aiutare. Il ransomware è diventato troppo complesso perché le aziende possano affrontarlo da sole, e in ambito sanitario il lavoro da fare è monumentale, perché le ifnrastrutture sono datate e spesso è ancora diffuso un approccio preventivo al cybercrimine, che ha dimostrato di essere fallimentare. Oggi occorre un monitoraggio attivo 24/7 praticabile solo con l’esternalizzazione di alcuni servizi come l’MDR.