Quali possono essere i danni di un attacco informatico? Purtroppo, siamo oramai a livelli di gravità molto elevata, soprattutto quando a essere colpiti sono i servizi ospedalieri, e l’impatto è diretto sulle stesse vite umane.
Basti pensare al recente caso degli ospedali londinesi che a inizio giugno hanno dovuto affrontare le conseguenze di un attacco ransomware andato a segno contro un loro fornitore di servizi di patologia, la società londinese Synnovis. Tutta una serie di servizi primari e di procedure hanno dovuto essere annullate o reindirizzate verso altri enti del sistema sanitario inglese: NHS England ha affermato che, solo considerando i due trust più colpiti (King’s College Hospital NHS Foundation Trust e Guy’s and St Thomas’ NHS Foundation Trust) nella prima settimana dopo l’attacco sono stati annullati 700 appuntamenti ambulatoriali e oltre 800 operazioni. Nel tentativo di ridurre l’impatto sui pazienti, gli ospedali hanno aggiunto cliniche extra nel fine settimana e stanno collaborando con altri per garantire che i pazienti che necessitano di cure urgenti possano riceverle altrove.
Cosa succede durante un incidente ransomware al sistema sanitario
A distanza di due settimane, alcuni dipartimenti degli ospedali non riescono ancora a connettersi al proprio server principale, e una fonte senior ha detto all’Health Service Journal (HSJ) che l’accesso ai risultati delle patologie potrebbe richiedere “settimane, non giorni”. Particolarmente colpita la gestione delle trasfusioni: dopo l’incidente, gli ospedali hanno dovuto dichiarare stato di emergenza e annullare trasfusioni e interventi chirurgici contro il cancro. Questi servizi sanitari, rivolti a un bacino di oltre 2 milioni di persone, sono andati in crisi nel momento in cui è stato colpito il fornitore di servizi di laboratorio Synnovis. “Posso confermare che il nostro partner di patologia Synnovis ha subito un grave incidente IT oggi, che è in corso e significa che al momento non siamo connessi ai server IT Synnovis“, ha scritto Ian Abbs, CEO di Guy’s and St Thomas’ NHS Foundation Trust in una e-mail, come riporta The Register.
Altri documenti hanno rivelato che il sistema IT per le trasfusioni di sangue WinPath è inattivo in tutti i siti, e da qui il problema delle trasfusioni. Tanto che l’11 giugno il Servizio Sanitario Nazionale ha comunicato di cercare urgentemente donatori di sangue per ovviare all’interruzione delle trasfusioni. Sul suo sito web, il Servizio sanitario nazionale (NHS) ha spiegato che a causa dell’attacco “gli ospedali colpiti non possono attualmente abbinare il sangue dei pazienti con la stessa frequenza del solito” e che le scorte di sangue O positivo e O negativo devono essere ricostituite man mano che gli ospedali non hanno la capacità di abbinare rapidamente i pazienti al loro gruppo sanguigno corretto.
Blood donors are urgently needed. Book an appointment to donate O Positive or O Negative blood in London.
Visit ➡️ https://t.co/XZShKkPShy or call 0300 123 23 23.#NationalBloodWeek l @givebloodnhs pic.twitter.com/FDjktLS0Oc
— King’s College NHS (@KingsCollegeNHS) June 11, 2024
Da dove è partito l’attacco?
Si sospetta che la banda dietro l’attacco ransomware dell’NHS sia Qilin, un’entità che opera in lingua russa. Gruppi di ransomware come Qilin vendono il loro software come servizio agli affiliati che poi sferrano attacchi ransomware. Poiché molte di queste bande operano in Russia, è probabile che rimarranno anche questa volta fuori dalla portata delle forze dell’ordine occidentali. Mark Dollar, CEO di Synnovis, ha detto (in una dichiarazione del 4 giugno) che la società sta collaborando con le forze dell’ordine e che è “incredibilmente dispiaciuto per l’inconveniente e il turbamento che ciò sta causando ai pazienti, agli utenti del servizio e a chiunque altro sia interessato”.
Quello che fa abbastanza riflettere però è il fatto che Synnovis è una partnership tra la società Synlab UK & Ireland, Guy’s and St Thomas’ NHS Foundation Trust, e il King’s College Hospital NHS Foundation Trust. Come riportato sul sito web della società, Synnovis e i suoi partner beneficiano quindi della rete globale di laboratori e diagnostica di Synlab, con ampio accesso a competenze cliniche, scientifiche e operative, nonché a ricerca e sviluppo innovativi. Synlab è un fornitore internazionale di diagnostica medica con sede a Monaco, in Germania: è il fornitore leader di servizi diagnostici e test specialistici in Europa, conta circa 27.000 dipendenti e un fatturato di 3,25 miliardi di euro nel 2022. E come sappiamo bene, ha subito un importante attacco ransomware lo scorso 18 aprile in Italia (da parte di Black Basta, con sospensione delle attività diagnostiche e 1,5 terabyte di dati sensibili dei pazienti pubblicati nel dark web). Non solo: Synlab in Francia è stata attaccata dal ransomware del gruppo Clop nel giugno 2023. Ma Synlab ha dichiarato che l’attacco a Synnovis non è collegato a questi fatti pregressi (come riporta il sito Blockandfiles).
Quanto tempo servirà per ripristinare i servizi sanitari
L’attacco informatico che sta causando gravi disagi agli ospedali e agli ambulatori medici di Londra richiederà purtroppo “molti mesi” per essere risolto, come ha avvertito una fonte del servizio sanitario nazionale. “Non è chiaro quanto tempo ci vorrà perché i servizi tornino alla normalità, ma probabilmente ci vorranno molti mesi”, ha detto il funzionario. “Il punto chiave per un ritorno alla normalità sarà poter fare chiarezza su come gli hacker hanno avuto accesso al sistema, quanti record sono stati colpiti e se questi record sono recuperabili”, ha aggiunto.
“I dettagli stanno ancora emergendo, ma questo sembra un incidente molto grave con potenziali conseguenze per la cura dei pazienti” ha detto Ciaran Martin, ex capo del National Cyber Security Centre (NCSC) del governo britannico, e ha dichiarato alla CNN che i servizi sanitari del Regno Unito hanno subito “comparativamente meno interruzioni rispetto agli Stati Uniti ” a causa degli attacchi ransomware. “Ciò è in parte dovuto al fatto che gran parte dell’assistenza sanitaria britannica è gestita dallo stato, e il governo non paga mai i riscatti”, ha detto Martin. “Ma questo è un attacco a un fornitore privato del servizio sanitario nazionale, e dimostra che gli orrori della criminalità informatica nel settore sanitario possono colpire anche queste società”.
A cura di: Elena Vaciago, Research Manager, The Innovation Group