NAKIVO > Blog

Ransomware nel settore sanitario: comprendere la crescente minaccia globale alla sicurezza informatica

Pubblicato: Novembre 10, 2025

Written by: NAKIVO Team

Il ransomware è un software dannoso che infetta un computer e distrugge i dati utilizzando complessi algoritmi di crittografia. Di conseguenza, i dati crittografati vengono persi e gli aggressori chiedono un riscatto per restituirli, senza però offrire alcuna garanzia.

I criminali informatici possono avere come destinazione varie organizzazioni e il settore sanitario non fa eccezione. Questo post del blog tratta degli attacchi informatici nel settore sanitario, della natura distruttiva del ransomware e di come proteggere i dati da esso.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Perché il ransomware prende di mira le istituzioni sanitarie

Il ransomware prende di mira le organizzazioni sanitarie a causa della natura dei dati che gestiscono e archiviano. Gli ospedali, le cliniche, i laboratori e altre organizzazioni sanitarie moderne utilizzano intensivamente i sistemi digitali per effettuare diagnosi, archiviare cartelle cliniche ed eseguire valutazioni sanitarie. I professionisti del settore medico devono accedere a questi sistemi per operazioni essenziali, talvolta salvavita.

I criminali informatici ritengono che prendendo di mira le organizzazioni sanitarie e rendendo i dati non disponibili a causa del ransomware, le vittime non abbiano altra scelta che pagare il riscatto per riottenere rapidamente l’accesso ai propri dati. La posta in gioco è alta e i pazienti potrebbero morire senza assistenza medica se i sistemi digitali di un ospedale non funzionano.

Le cartelle cliniche sono dati preziosi per i criminali perché contengono informazioni personali quali indirizzi, numeri di telefono, indirizzi e-mail, altri identificativi personali, informazioni assicurative e anamnesi medica. Gli aggressori possono rubare questi dati prima di distruggerli per utilizzarli in attacchi personalizzati. Anche le informazioni relative alla ricerca e allo sviluppo (come lo sviluppo di vaccini o nuovi rimedi) sono preziose e il costo della loro perdita può essere troppo elevato.

Inoltre, la maggior parte delle organizzazioni sanitarie destina la maggior parte del proprio budget alle attrezzature mediche, mentre la sicurezza informatica ha una priorità minore. Sono necessari ulteriori investimenti per garantire una migliore sicurezza informatica e impedire agli hacker di sfruttare le vulnerabilità esistenti per sferrare attacchi informatici nel settore sanitario.

Inoltre, le organizzazioni del settore sanitario sono sotto pressione da parte delle istituzioni di regolamentazione che impongono multe in caso di non conformità. Gli aggressori presumono che questo fattore finanziario possa aiutarli a ottenere il pagamento del riscatto dalle loro vittime.

Recenti attacchi ransomware nel settore sanitario: esempi globali

Di seguito sono riportati alcuni esempi globali di attacchi ransomware alle organizzazioni sanitarie.

Change Healthcare (febbraio 2024). Un attacco di ransomware da parte del gruppo ALPHV/BlackCat ha interrotto l’elaborazione delle richieste di rimborso e i sistemi di pagamento, compromettendo una parte significativa del sistema sanitario statunitense. La violazione ha esposto i dati sensibili di potenzialmente un terzo di tutti i cittadini statunitensi e ha comportato costi superiori a 1 miliardo di dollari.

Ascension Healthcare (maggio 2024). Ascension, uno dei più grandi sistemi sanitari senza scopo di lucro degli Stati Uniti, ha subito un attacco di ransomware che ha compromesso le cartelle cliniche elettroniche e i servizi diagnostici dei suoi 120 ospedali. L’incidente ha causato ritardi nella cura dei pazienti e perdite finanziarie significative.

Rite Aid (giugno 2024). La catena di farmacie ha subito una violazione dei dati che ha compromesso le informazioni personali di circa 2,2 milioni di persone, inclusi nomi, indirizzi e numeri di patente di guida. Il gruppo RansomHub ha rivendicato la responsabilità dell’attacco. Le conseguenze negative principali di questo attacco sono state cause legali e perdite finanziarie.

Synnovis (giugno 2024). Un attacco ransomware nel settore sanitario da parte del gruppo Qilin ha preso di mira Synnovis, un fornitore di servizi di patologia per il Servizio Sanitario Nazionale (NHS) nel Regno Unito. Il ransomware ha crittografato i dati critici dell’organizzazione. La violazione ha portato all’annullamento di oltre 1.100 operazioni e all’esposizione di quasi 400 GB di dati sanitari sensibili, con conseguenti perdite finanziarie pari a circa 32,7 milioni di sterline.

Alder Hey Children’s Hospital (novembre 2024). Il gruppo INC Ransom ha affermato di aver rubato dati da un ospedale nel Regno Unito, comprese le cartelle cliniche dei pazienti e le informazioni sugli acquisti. L’ospedale sta indagando sulla violazione con la National Crime Agency.

MediSecure (novembre 2023). Un attacco a questo fornitore di prescrizioni elettroniche in Australia ha esposto le informazioni personali e sanitarie di circa 12,9 milioni di persone. La violazione è rimasta inosservata fino a maggio 2024 e ha portato MediSecure a entrare in amministrazione controllata volontaria.

Centro ospedaliero universitario di Zagabria (giugno 2024). Il gruppo di ransomware LockBit ha attaccato la più grande struttura medica della Croazia, interrompendo le operazioni a causa dell’indisponibilità dei dati e dei sistemi informatici. Il gruppo ha affermato di aver sottratto un gran numero di file, comprese le cartelle cliniche.

Come si può vedere, il ransomware può:

  • Crittografare/distruggere i dati e rendere inutilizzabili i sistemi digitali.
  • Rubare dati in modo silenzioso.

Il costo del ransomware nel settore sanitario

Il numero di attacchi ransomware in tutto il mondo aumenta di anno in anno. Nel 2024, i gruppi di ransomware hanno dichiarato di aver effettuato con successo 5.461 attacchi ransomware e le organizzazioni attaccate hanno confermato 1.204 attacchi ransomware. La maggior parte degli attacchi è stata condotta contro istituzioni in Europa e Nord America. La richiesta media di riscatto nel 2024 era di 3,5 milioni di dollari e l’importo dei pagamenti registrati ai criminali informatici era di circa 133,5 milioni di dollari.

Per quanto riguarda gli attacchi ransomware nel settore sanitario, nel 2024 sono stati confermati 181 attacchi. Secondo The HIPAA Journal, la richiesta media di riscatto era di 5,7 milioni di dollari. Cyber Insurance News ha riferito che il 67% delle organizzazioni sanitarie è stato preso di mira dal ransomware, rispetto al 60% del 2023.

Il 65% delle organizzazioni che operano nel settore sanitario ha segnalato che le richieste di riscatto hanno superato 1 milione di dollari e il 35% ha dovuto affrontare richieste superiori a 5 milioni di dollari. Anche i costi di ripristino dopo un attacco di ransomware sono aumentati: 2,57 milioni di dollari nel 2024, rispetto ai 2,2 milioni di dollari del 2023 e raddoppiati dal 2021.

Vettori comuni di ransomware in ambienti medici

È importante conoscere i vettori comuni degli attacchi ransomware in ambienti medici. Queste informazioni possono aiutare a ridurre i rischi e mitigare i problemi. La maggior parte dei metodi è identica agli approcci generali utilizzati dai criminali informatici.

Le e-mail di phishing sono il metodo più comune per avviare attacchi ransomware contro le organizzazioni sanitarie. Allegati dannosi, documenti Microsoft Office con macro dannose e collegamenti a siti web dannosi sono ampiamente utilizzati per installare ransomware nelle istituzioni sanitarie utilizzando i computer degli utenti finali. Queste e-mail spesso si spacciano per vendor, amministratori o persino reparti interni. Gli aggressori utilizzano tecniche di ingegneria sociale per indurre un senso di urgenza e creare un punto di accesso.

Le vulnerabilità del desktop remoto sono un altro metodo ampiamente utilizzato per infettare i computer con ransomware. I criminali informaticisfruttano le vulnerabilità dei protocolli e dei software di desktop remoto per sferrare i loro attacchi. Una configurazione impropria dei servizi di desktop remoto, password deboli e impostazioni di sicurezza inadeguate possono aprire la strada al ransomware nelle organizzazioni sanitarie. Gli aggressori cercano porte RDP aperte, utilizzano la forza bruta o credenziali rubate e ottengono l’accesso diretto ai sistemi.

Vulnerabilità del software. Gli aggressori possono sfruttare le vulnerabilità del software nei sistemi operativi, nelle applicazioni e in altri software. I software medici specializzati possono presentare vulnerabilità note che gli aggressori possono sfruttare per installare ransomware sui computer, diffondere ransomware e distruggere dati. Le vulnerabilità zero-day sono le più pericolose: sono nuove e sconosciute ai vendor, ma vengono sfruttate dagli hacker.

Chiavette USB infette. Un malintenzionato può inserire una chiavetta USB infetta nella porta USB di un computer in una ubicazione accessibile all’interno di un’organizzazione medica. In questo modo è possibile infettare un computer con del ransomware e diffonderlo nella rete dell’organizzazione.

Autenticazione. Password deboli e credenziali rubate vengono utilizzate per accedere a un sistema e installare ransomware. I criminali informatici possono utilizzare i dati di violazioni precedenti per accedere a computer e reti.

Procedure consigliate per prevenire il ransomware nel settore sanitario

Implementate le procedure consigliate di seguito per proteggere i vostri dati e prevenire il ransomware nelle organizzazioni sanitarie. Le misure di protezione dai ransomware richiedono un approccio multilivello:

  • Rafforzare la sicurezza delle e-mail. Configurare i filtri antispam e i sistemi di protezione delle e-mail per ridurre i tentativi di phishing. Istruisci gli utenti a riconoscere le e-mail e i link sospetti. Gli utenti devono segnalarli agli amministratori. È possibile utilizzare sandbox per gli allegati e-mail.
  • Utilizza software antivirus aggiornati. Installa l’antivirus da un vendor autorevole. I software antivirus e antimalware sono in grado di rilevare rapidamente il ransomware ed eliminare i file dannosi per evitare l’infezione. I moderni sistemi antivirus sono in grado di analizzare le attività sospette nel sistema operativo e nel file system, che possono essere segni di ransomware. I sistemi di prevenzione delle intrusioni migliorano il livello complessivo di protezione dai ransomware.
  • Installare patch di sicurezza per correggere le vulnerabilità del software. Non dimenticare di installare le patch di sicurezza sui sistemi operativi, sulle piattaforme di cartelle cliniche elettroniche, sui sistemi PACS/RIS e sui dispositivi medici.
  • Garantire la sicurezza della rete. Configurare il firewall e chiudere le porte inutilizzate per ridurre la superficie esposta a potenziali attacchi. Isolare le reti per limitare la diffusione del ransomware in caso di infezione. Segmentare le reti per isolare i dispositivi medici, i sistemi amministrativi e il Wi-Fi pubblico. Assicurarsi di configurare il monitoraggio dell’utilizzo della rete, del disco e del processore, poiché il ransomware di solito causa un carico elevato sulla rete per crittografare i dati.
  • Implementare una politica di sicurezza efficace. Configurare controlli di accesso rigorosi con diritti di accesso adeguati, password complesse e metodi di autenticazione (soprattutto per la e-mail). Configurare l’autenticazione a più fattori per i sistemi critici. Valutare l’applicazione dell’accesso basato sui ruoli e del principio del privilegio minimo.
  • Educare gli utenti. Condurre una formazione sulla sicurezza informatica su misura per gli scenari sanitari. Informare gli utenti sui principali vettori di ransomware nel settore sanitario e sui primi segni di un’infezione. Gli utenti devono scollegare dalla rete i computer infetti o che presentano comportamenti sospetti e spegnerli per impedire la diffusione del ransomware e la crittografia dei dati. Utilizzare regolarmente test di phishing per gli utenti al fine di rafforzare la loro vigilanza.
  • Esegui regolarmente il backup dei dati. Esegui backup regolari pianificando backup pianificati e automatizzati con intervalli specifici. Utilizza la regola di backup 3-2-1 per archiviare più backup in ubicazioni diverse. Se il ransomware distrugge una copia di backup, avrai più possibilità di ripristinare i tuoi dati da un’altra copia integra. Utilizza uno storage con protezione air-gap, come dischi rigidi scollegati dall’origine o cartucce a nastro, poiché il ransomware non può accedere fisicamente ai supporti scollegati. Configurare l’immutabilità del backup migliora la protezione dai ransomware, poiché il ransomware non può modificare i dati immutabili.
  • Creare un piano di ripristino. Creare un piano di risposta agli incidenti e un piano di ripristino di emergenza . Un piano di risposta al ransomware dovrebbe includere elenchi di contatti, protocolli legali e normativi (ad esempio, segnalazione di violazioni HIPAA), strategie di ripristino e comunicazione.
  • Non pagare il riscatto ai criminali informatici. Il pagamento del riscatto incoraggia i creatori di ransomware a lanciare ulteriori attacchi per ottenere più denaro. In caso di infezione da ransomware, si consiglia di non pagare gli aggressori. Le organizzazioni che pagano un riscatto non hanno alcuna garanzia che i dati crittografati vengano ripristinati o che i dati rubati non vengano trasferiti ad altre persone.

Il ruolo del backup e del ripristino di emergenza nella difesa dal ransomware

Il backup e il ripristino di emergenza svolgono un ruolo fondamentale nella difesa contro il ransomware nel settore sanitario, garantendo che le organizzazioni possano ripristinare le operazioni e i dati senza pagare un riscatto. Se le misure preventive non sono riuscite a proteggere i dati originali dal ransomware, è possibile ripristinare i dati da un backup.

  • Ripristino dei dati senza pagare un riscatto. La difesa primaria contro il ransomware è la capacità di ripristinare dati puliti da un backup se la copia originale dei dati è danneggiata. Con backup verificati e isolati, le organizzazioni sanitarie possono evitare di pagare gli aggressori e riprendere i servizi con perdite minime.
  • Protezione dei dati se il ransomware crittografa i dati. Il ransomware crittografa (corrompe) o elimina i dati. Con una soluzione di protezione dei dati, le organizzazioni sanitarie possono ripristinare i dati, comprese le cartelle cliniche elettroniche, i dati di imaging (PACS), i sistemi di pianificazione e fatturazione.
  • Garantire la continuità operativa. È possibile ripristinare i dati e ripristinare la disponibilità del servizio in breve tempo. Questo è il metodo più veloce per ripristinare i dati dopo un’infezione da ransomware. Di conseguenza, è possibile ridurre al minimo i tempi di inattività e le perdite finanziarie. Ogni minuto di inattività nel settore sanitario può avere gravi conseguenze, come ritardi nella cura dei pazienti, sanzioni legali/normative e danni alla reputazione.

È importante scegliere una soluzione affidabile per la protezione dei dati che consenta di implementare le procedure consigliate per proteggersi dagli attacchi ransomware e che permetta un ripristino rapido.

Conformità normativa e protezione dei dati nel settore sanitario

La conformità normativa e la protezione dei dati nel settore sanitario sono essenziali per garantire la sicurezza dei pazienti, mantenere la fiducia ed evitare sanzioni legali e finanziarie. Queste normative regolano le modalità di raccolta, archiviazione, accesso e protezione dei dati, in particolare contro le minacce alla sicurezza informatica nel settore sanitario, come il ransomware.

La conformità normativa è importante nel settore sanitario perché:

  • Le organizzazioni sanitarie gestiscono informazioni sanitarie protette, che includono diagnosi, trattamenti, anamnesi e informazioni di fatturazione.
  • Le violazioni possono causare danni ai pazienti, furti di identità e perdita della fiducia del pubblico.
  • La mancata conformità può comportare multe, azioni legali e sanzioni relative alle licenze.

Le principali normative in materia di protezione dei dati sanitari sono:

  • HIPAA (Health Insurance Portability and Accountability Act) – USA.
    • Focus: Protezione delle informazioni sanitarie protette.
    • Regola sulla privacy: Regola l’accesso e l’uso delle informazioni sanitarie protette.
    • Regola di sicurezza: richiede protezione tecnica, amministrativa e fisica.
    • Regola di notifica delle violazioni: impone la divulgazione tempestiva delle violazioni.
    • Sanzioni: fino a 1,9 milioni di dollari per violazione all’anno.
  • GDPR (Regolamento generale sulla protezione dei dati) – UE/SEE.
    • Focus: Protezione dei dati personali, compresi i dati sanitari.
    • Disposizioni chiave: Consenso informato per l’utilizzo dei dati, diritto all’oblio, minimizzazione dei dati e crittografia.
    • Sanzioni: Fino a 20 milioni di euro o al 4% del fatturato annuo globale.
  • PIPEDA (Legge sulla protezione delle informazioni personali e dei documenti elettronici)
    • Regola il trattamento dei dati dei pazienti da parte degli operatori sanitari del settore privato.
    • È obbligatorio rispettare la trasparenza, il consenso e la segnalazione delle violazioni.
  • Altre normative degne di nota:
    • Australia: My Health Records Act, Privacy Act.
    • India: Digital Personal Data Protection Act (DPDP), DISHA (proposta).
    • Singapore: Personal Data Protection Act (PDPA).

I requisiti normativi e di conformità influiscono sui principi fondamentali della protezione dei dati nel settore sanitario:

  • Riservatezza:
    • Solo il personale autorizzato può accedere alle PHI.
    • Utilizzo del Controllo degli accessi basato sui ruoli (RBAC) e di crittografia.
  • Integrità:
    • Garantire che le PHI siano accurate e inalterate.
    • Registrare tutti gli accessi e le modifiche.
  • Disponibilità:
    • I sistemi devono essere resilienti e mantenere l’operatività, in particolare per le cure critiche (EHR, PACS).
    • Supportati da backup e ripristino di emergenza.

Questi fattori e i requisiti di conformità influiscono sulla strategia di protezione contro il ransomware nelle organizzazioni sanitarie, compresa la protezione dei dati.

Conclusione

Il ransomware nel settore sanitario è particolarmente pericoloso poiché può influire sulla salute dei pazienti. Con l’aumento del numero di attacchi ransomware, si raccomanda vivamente alle organizzazioni sanitarie di implementare misure preventive per proteggere i dati. Il backup e il ripristino di emergenza sono essenziali e consentono di recuperare rapidamente i dati senza pagare un riscatto. Utilizzate NAKIVO Backup & Replication per proteggere i dati dal ransomware con funzionalità avanzate, tra cui l’immutabilità del backup, la crittografia e il ripristino del sito.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Perché hai bisogno di DRaaS e come sceglierlo
Picture
6 motivi per cui dovresti eseguire il backup dei dati di Microsoft 365
Picture
Tipi di topologia di rete spiegati