Per concludere la nostra serie “Pericolo da Internet”, vediamo come reagire quando il bambino è già caduto nel pozzo. In altre parole: Cosa deve fare il titolare di uno studio medico se un hacker ha avuto successo e ha paralizzato l’IT? Chi deve essere informato, dove può trovare aiuto e come deve gestire le richieste di riscatto?
È successo: L’idea astratta di essere attaccati dagli hacker è diventata realtà. Quando si avviava il computer al mattino, l’accesso non era più possibile; al contrario, appariva un messaggio che affermava che si poteva riprendere il controllo dei propri dati solo pagando una somma a sei cifre. Un attacco ransomware si era infiltrato e aveva criptato l’informatica dello studio. Dopo lo shock iniziale, è importante reagire con calma e adottare alcune misure.
In primo luogo, è consigliabile interrompere le connessioni internet (comprese le connessioni e-mail e VPN) e disaccoppiare i backup esistenti – se questi sono direttamente collegati al sistema attaccato – il più rapidamente possibile. L’attacco deve poi essere segnalato. La persona di contatto per questo è la polizia cantonale. La stazione di polizia responsabile può essere trovata tramite un portale. Nella fase successiva, il fornitore di servizi informatici dello studio può iniziare ad analizzare il danno, a configurare nuovamente i sistemi colpiti e a ripristinare i dati utilizzando i backup, dopo aver verificato che questi siano intatti e non siano stati infiltrati. Si tratta di un compito da specialisti, ed è per questo che non è consigliabile avviare questi passaggi da soli, in preda a un falso senso di impazienza e all’idea di voler tornare alla normale operatività il più rapidamente possibile.
Chiunque decida di presentare una denuncia penale – che è comunque consigliata – dovrebbe comunque astenersi da azioni avventate, poiché un’indagine forense è difficilmente possibile una volta che i sistemi sono stati reinstallati.
Attualmente in Svizzera non esiste l’obbligo di segnalare gli incidenti informatici all’Ufficio federale per la sicurezza informatica (UCCS), in quanto centro di competenza della Confederazione per la sicurezza informatica (box). Tuttavia, questo cambierà nella prima metà del 2025 per le infrastrutture critiche, compreso il settore sanitario, spiega Pascal Lamia, responsabile della Cybersecurity operativa dell’UACS. Saranno quindi obbligati a segnalare gli incidenti informatici. Tuttavia, riceveranno anche il supporto dell’Ufficio federale, se necessario.
Ufficio federale per la sicurezza informatica All’inizio del 2024, il Centro nazionale per la sicurezza informatica è diventato un ufficio federale (Ufficio federale per la sicurezza informatica, BACS). Il BACS è il primo punto di contatto per l’economia, l’amministrazione, le istituzioni educative e la popolazione per le questioni informatiche. È responsabile dell’attuazione coordinata della Strategia Nazionale Cyber (NCS). Il compito principale del BACS è quello di rendere la Svizzera più sicura nel cyberspazio. L’Ufficio federale riceve le segnalazioni di incidenti informatici e supporta in particolare gli operatori di infrastrutture critiche nella loro gestione. |
I pagamenti di riscatto non sono raccomandati
In generale, il BACS sconsiglia di soddisfare e pagare le richieste di riscatto, per evitare che le aziende cofinanzino l’infrastruttura dei criminali informatici e li incoraggino ad effettuare ulteriori attacchi, in particolare alle aziende svizzere. Inoltre, non c’è alcuna garanzia per la vittima ricattata che i dati non vengano pubblicati dopo il pagamento del riscatto.
Il BACS raccomanda invece di non contattare gli autori del furto, ma di discutere e coordinare i passi successivi con la polizia. Vale anche la raccomandazione di collaborare con la polizia cantonale, soprattutto se decide di pagare il riscatto.
Un altro aspetto viene spesso valutato in modo errato: un crollo della routine pratica quotidiana a causa del malfunzionamento dell’IT porta comprensibilmente a scegliere la soluzione presumibilmente più rapida per tornare ai processi normali. Tuttavia, il pagamento di un riscatto è una soluzione rapida solo a prima vista: Di norma, la somma viene richiesta sotto forma di criptovaluta, per la quale è probabile che quasi nessun medico abbia un conto. Ci vuole tempo per crearlo in banca. Inoltre, è sbagliato pensare che tutti i sistemi siano automaticamente operativi una volta effettuato il pagamento con un clic del mouse. Invece, i ricattatori – idealmente – forniscono semplicemente un software di decriptazione che lei deve installare ed eseguire da solo. Anche questo richiede tempo.
In ogni caso, c’è il rischio che i dati sensibili dei pazienti vengano pubblicati dai ricattatori. Deve essere preparato allo scenario peggiore. È consigliabile una comunicazione proattiva, vale a dire che è meglio comunicare personalmente ai pazienti ciò che è accaduto, piuttosto che farlo sapere a terzi. Se i ricattatori pubblicano effettivamente i dati sensibili dei pazienti, le violazioni della sicurezza dei dati (note anche colloquialmente come “data breach” o “data leaks”) devono essere segnalate all’Incaricato federale della protezione dei dati (FDPIC). Un modulo di segnalazione è disponibile sul sito web dell’FDPIC.
Che si decida di pagare un riscatto o meno, un attacco informatico è sempre una situazione eccezionale per lo studio colpito e i suoi dipendenti. Tuttavia, il rischio può essere ridotto adottando misure preventive, e si possono stipulare speciali polizze di assicurazione informatica per proteggersi dai danni (finanziari). E se si pensa in anticipo alle situazioni “what-if” e si conoscono i contatti giusti, si può mantenere il sangue freddo nel caso in cui si verifichi il peggio.
serie medizinonline “Pericolo da Internet” La serie “Pericolo da Internet” presenta in 3 parti le minacce e le possibili conseguenze degli attacchi informatici e le misure preventive contro di essi. Nellaprima parte sono illustrate le varie forme e i modi in cui i criminali possono infiltrarsi nell’IT di uno studio medico, nonché i modi per proteggersi dagli attacchi. seconda parte un esperto di assicurazioni ha spiegato perché ha senso stipulare un’assicurazione speciale per il cyber oltre alla consueta assicurazione di responsabilità civile e ha illustrato quali aspetti sono particolarmente importanti. |
HAUSARZT PRAXIS 2024; 19(12): 48 (pubblicato il 12.12.24, prima della stampa)
InFo ONCOLOGIA ED EMATOLOGIA 2025; 13(1): 39
