Singapore: attacco cyber ai sistemi informatici sanitari

(di Alessandro Rugolo)
23/07/18

Singapore, una città-stato al centro del mondo economico e finanziario, in testa alla classifica pubblicata dal World Economic Forum nel Global Information Technology Report del 2016, davanti a nazioni come Finlandia, Svezia, Norvegia, Stati Uniti, Paesi Bassi, Svizzera, Regno Unito, Lussemburgo e Giappone. Solo per avere un termine di paragone, nel 2016 gli Stati Uniti erano in quinta posizione, l'Italia invece risultava quarantacinquesima, preceduta dal Costa Rica e seguita dalla Macedonia...

Con una popolazione di poco più di 5 milioni di persone, Singapore si attesta in testa a molte delle classifiche mondiali. Sicuramente può vantare uno tra i più alti Indici di Sviluppo Umano (HDI) e uno dei più alti PIL pro capite. Eppure, forse proprio per questi motivi, Singapore si trova anche in testa di un'altra classifica, quella del Paese dal quale partono il maggior numero di attacchi cyber al mondo, almeno a voler dare ascolto alla società israeliana Check Point che monitora attraverso i suoi sistemi l'andamento giornaliero degli attacchi (si registrano più di 10 milioni di attacchi al giorno!).
Naturalmente non si ha la certezza matematica che un attacco provenga da uno Stato piuttosto che questo sia un semplice punto di passaggio ma in ogni caso le evidenze che si hanno consentono di vedere l'altra faccia della medaglia relativa al Networked Readiness Index1.

Ma vediamo brevemente per quale motivo in questi giorni si è tanto parlato di Singapore.
La notizia apparsa sui giornali di tutto il mondo ci informa che sono stati sottratti i dati personali e sanitari di 1,5 milioni di persone dal sistema informativo sanitario.
Il 4 luglio gli amministratori del sistema informativo si sono resi conto di attività sospette nel database e hanno immediatamente dato l'allarme ed elevato le  misure di sicurezza, interrompendo, di fatto, l'attacco.
Dalle indagini che ne sono scaturite è stato possibile capire che si trattava effettivamente di un attacco cyber (per rendersi conto del fatto ci sono voluti 6 giorni) e non di un malfunzionamento e solo a questo punto è stato informato il Ministro della Salute e la Cyber Security Agency di Singapore.
Gli hacker hanno avuto la possibilità di agire indisturbati a partire dal 27 giugno e fino al 4 luglio.
Solo a questo punto si è iniziato a prendere provvedimenti necessari ad informare i pazienti della sottrazione dei dati, attività tutt'ora in corso.

L'accesso al sistema informatico sanitario sembra sia avvenuto per priviledge escalation. Ciò significa che gli hacker potrebbero avere avuto la possibilità di agire con le credenziali di amministratore del sistema e ciò fa pensare al fatto che il sistema informatico sanitario non sia l'unico colpito, questo perché in un sistema sociale che fa largo uso delle tecnologie dell'informazione e delle comunicazioni spesso gli amministratori devono accedere a sistemi remoti con i quali vi deve essere un certo livello di interoperabilità per lo scambio dei dati: solo a titolo di esempio potrebbe essere necessario scambiare dati con un sistema di pagamento o di rendicontazione ai fini amministrativi od ancora ad un sistema bancario per l'addebito di commissioni.
Seppur vero che gli amministratori di rete e di sistema sono generalmente attenti e al corrente dei rischi che corrono, l'errore è comunque umano per cui avere avuto accesso al sistema per una settimana potrebbe aver consentito agli hacker di effettuare attività di intelligence su altri sistemi in qualche modo correlati, attività che necessiteranno di tempo per essere analizzate.

Che importanza possono avere dati personali sanitari? Cosa possono ottenere questi hacker dai pazienti del servizio sanitario?

Proviamo ad analizzare quali possibilità di guadagno hanno in mano gli hacker:

  • il quadro sanitario di pazienti importanti potrebbe incidere in maniera significativa su decisioni politiche o investimenti societari;
  • la conoscenza di dati personali associati al quadro sanitario (numero di telefono, indirizzo, magari anche dati della carta di credito o numeri di carta d'identità) può servire per attività di social engineering che mirano, per esempio, al furto di identità, causando ulteriori danni economici;
  • la conoscenza dei sistemi interfacciati verso il sistema sanitario, ottenuta attraverso l'attacco, da sfruttare per successivi attacchi cyber;
  • il danno maggiore però potrebbe essere quello portato all'immagine di Singapore. La prima della classe nell'indice NRI non può certo permettersi incidenti di questo livello!

È facile capire come se da una parte il mondo ICT è da considerarsi un moltiplicatore di forza, dall'altra parte espone chi ne fa uso a rischi maggiori che vanno gestiti adeguatamente e in tempi consoni.

Al momento non è chiaro chi possa esserci dietro l'attacco. Secondo esperti cyber si è trattato di un attacco condotto con elevato livello di sofisticazione, ciò farebbe pensare a qualche organizzazione statuale, capace di condurre operazioni APT (advanced persistent threath) e se così fosse, ci si deve aspettare che non sia finita qui.

Staremo a vedere, nei prossimi mesi, quali saranno le conseguenze di questo attacco al sistema informativo sanitario di Singapore.

Nel mentre, possiamo porci alcune domande:

  1. In Italia cosa sarebbe accaduto in un caso simile?
  2. Quanto tempo avrebbero impiegato i nostri esperti a rendersi conto di essere sotto attacco?
  3. Una volta capito di essere sotto attacco, sarebbe stata rispettata la direttiva NIS con particolare riferimento all'obbligo di gestione del rischio che prevede la denuncia degli incidenti cyber o avrebbero prevalso altre logiche e altri interessi?

Naturalmente sono convinto che i nostri esperti avrebbero agito al meglio, ma se è vero che siamo in 45 posizione (secondo l'indice NRI), "fare del nostro meglio" sarebbe stato sufficiente?

  

1 Il Networked Readiness Index misura la propensione degli Stati allo sfruttamento delle possibilità offerte dall'impiego delle tecnologie per l'informazione e le comunicazioni (ICT). Singapore era in testa alla classifica anche nel 2015.

Per approfondire:

- https://www.todayonline.com/singapore/hackers-stole-medical-data-pm-lee-...
- https://www.weforum.org/reports/the-global-information-technology-report...
- https://www.openaccessgovernment.org/singapore-london-and-barcelona-name...
- http://reports.weforum.org/global-information-technology-report-2016/net...
- https://www.billingtoncybersecurity.com/singapore-ranks-number-1-cyberse...
- https://www.smartcity.press/singapore-smart-city-awards-2017/
- https://www.gov.sg/news/content/channel-newsasia---singhealth-cyberattac...
- https://www.bloomberg.com/news/articles/2017-09-21/singapore-ranks-first...
- https://threatmap.checkpoint.com/ThreatPortal/livemap.html
- https://www.vanguardngr.com/2018/07/state-actors-likely-behind-singapore...

(foto: web)