Nel giugno 2017, l’Ucraina è stata il destinatario di un attacco informatico assolutamente devastante. Presumibilmente eseguiti dagli hacker sponsorizzati dallo stato russo noti come Sandworm, gli aggressori hanno distribuito un formidabile virus ransomware noto come “NotPetya”. La maggior parte delle infrastrutture pubbliche e una parte massiccia del settore privato ucraino sono stati messi in ginocchio da quest’arma. L’intero sistema sanitario nazionale è dovuto andare offline, paralizzando qualsiasi capacità di fornire assistenza sanitaria efficace e tempestiva a un numero imprecisato di cittadini.
Poiché la guerra informatica non conosce confini, il worm NotPetya si è diffuso in diverse grandi società multinazionali. Tra questi c’erano Maersk, la più grande compagnia di spedizioni al mondo, e Merck, il produttore americano di vaccini, nonostante nessuna delle due società fosse il bersaglio designato del virus. Nel 2021, con una catena di approvvigionamento protetta e la necessità globale di supportare la diffusione del vaccino contro il COVID-19, le implicazioni di un simile attacco potrebbero comportare perdite di vite umane. La natura stessa della risposta mondiale alla pandemia ha richiesto un accesso rapido e affidabile a reti di approvvigionamento di nicchia, risorse sanitarie allocate in modo efficiente e che la popolazione possa ricevere facilmente informazioni accurate. Ciò rende l’attuale sforzo globale estremamente vulnerabile agli attacchi basati su Internet e pone una nuova triste possibilità per il danno che può essere fatto con le armi informatiche.
I problemi della logistica della catena del freddo
La catena del freddo, la rete di approvvigionamento di nicchia progettata per spostare articoli sensibili alla temperatura, ha dimostrato di essere vulnerabile agli attacchi informatici sin dai primi giorni dello sviluppo del vaccino COVID-19. Un certo numero di vaccini, tra cui la maggior parte dei vaccini antinfluenzali e i vaccini COVID-19 a base di mRNA, devono essere conservati e trasportati a basse temperature. Si tratta di un’enorme impresa su scala globale, considerando che l’Organizzazione mondiale della sanità spera di consegnare 11 miliardi di vaccini COVID-19 in tutto il mondo entro la prossima estate. Data la natura delicata della catena del freddo, la sua importanza e le spese necessarie per mantenerla, rappresenta un obiettivo allettante per gli attori delle minacce.
Nel dicembre dello scorso anno, Security X-Force di IBM ha annunciato di aver scoperto una massiccia campagna di phishing globale contro la Cold Chain Equipment Optimization Platform (CCEOP) di The Gavi Vaccine Alliance. Il CCEOP è un consorzio pubblico-privato sviluppato per promuovere la distribuzione globale di vaccini principalmente nei paesi in via di sviluppo. La campagna ha tentato di ottenere credenziali tramite phishing da dipendenti di alto livello presso aziende associate al programma CCEOP di Gavi in almeno sei Paesi. Il rapporto non nomina alcuna entità in modo specifico, ma afferma che la natura precisa dell’attacco era indicativa di un attore sponsorizzato dallo stato (non sono attacchi che possono esser fatti da chiunque, ci vogliono competenze e non lo si fa gratis).
L’idea che possa trattarsi di un attore di minacce con le capacità di un governo alle spalle è preoccupante. Non ci sono regole fisse al momento su ciò che costituisce un atto di guerra nel regno del cyberspazio. Molte definizioni del termine “guerra informatica” o “guerra cibernetica” affermano che si ha quando una nazione attacca l’infrastruttura critica di un’altra. Tuttavia, quando le infrastrutture critiche in così tante nazioni dipendono dal settore privato, dalle partnership corporative-governative e da vari organismi internazionali, quando un attaccante raggiunge quella soglia di un “atto di guerra”? Il CCEOP di Gavi e gli attacchi scoperti da X-Force dimostrano un ottimo esempio di tale enigma.
Il riscatto dei sistemi sanitari che fa gola
Un altro modo nel quale gli operatori sono diventati sempre più minacciosi durante la pandemia di COVID-19 sono stati gli attacchi veri e propri che si sono verificati negli ospedali e nelle infrastrutture sanitarie. L’aumento della pressione sui sistemi sanitari dal trattamento dei pazienti COVID-19 è arrivato con un marcato aumento della quantità di criminalità informatica diretta a tale infrastruttura. Gli attori delle minacce spesso scelgono attacchi ransomware contro tali istituzioni: vale su scala globale, ma anche in Italia (Ospedale S. Raffaele Milano, sistema vaccinale Regione Lazio, Ospedale S. Giovanni Roma, ASL Roma3, ASP Messina).
Un attacco ransomware si verifica quando un malware che si è fatto strada in un sistema crittografa tutti i file di un computer, rendendoli completamente inutilizzabili. Gli aggressori richiedono quindi il pagamento per la chiave di decrittazione. Sebbene estremamente comune, il ransomware può essere modificato in alcuni casi per rendere irrecuperabile un sistema. Tale alterazione era un componente dell’arma cibernetica NotPetya.
A maggio, il servizio sanitario pubblico irlandese, l’Health Service Executive, ha annunciato di aver subito due attacchi ransomware (il secondo qui). L’Irlanda è stata costretta a chiudere temporaneamente la totalità dei sistemi IT dei suoi servizi sanitari. Il governo irlandese ha affermato di non aver pagato alcun riscatto agli aggressori, con le conseguenze di una settimana in pronto soccorso, con l’impossibilità di elaborare i test PCR COVID-19 e i lavoratori costretti a utilizzare un sistema interamente cartaceo.
Un incidente simile si è verificato nel Lazio, questa volta mirando specificamente al sistema di prenotazione dei vaccini regionale. Ha inibito quasi sei milioni di cittadini dal ricevere le loro dosi. Dopo l’annuncio iniziale, il governatore del Lazio ha proseguito affermando che gli attacchi erano in corso e di “natura terroristica”, ma non ha precisato se possa essere stata implicata o meno un’organizzazione specifica. Gli attacchi provenivano quasi certamente da fuori del Paese e utilizzavano anche ransomware, benché non si sia mai palesato il dettaglio di un eventuale riscatto richiesto: dettaglio che fa emergere il sospetto di gruppi criminali sovvenzionati da Stati.
È fondamentale notare che questi incidenti, impedendo direttamente l’accesso degli individui al trattamento e alla medicina preventiva, stanno mettendo a rischio la vita di quegli individui. I criminali informatici scommettono su questa realizzazione, nella speranza di poter monetizzare il loro ransomware. Ciò significa anche che sono disposti a scommettere con vite innocenti e si può ragionevolmente presumere che siano stati indirettamente responsabili di un certo numero di morti in questo modo.
Disinformazione diffusa
Essendo una nuova malattia, le informazioni sull’infezione da COVID-19 continuano ad accumularsi rapidamente. I trattamenti suggeriti, le contromisure per rallentare la sua diffusione e la ricerca sulle sue mutazioni e sintomi hanno richiesto una rapida ascesa sia alle autorità che al pubblico. Ciò ha reso i social media e la comunicazione su Internet sia un grande punto di forza che una grave responsabilità per qualsiasi risposta globale unificata. Questo perché la natura di Internet di oggi fornisce una piattaforma alla disinformazione con la stessa facilità con cui si trovano le scoperte scientifiche. La disinformazione ha sicuramente mietuto vittime nel corso della pandemia. La quantità di sfiducia nei vaccini e nelle raccomandazioni degli esperti continua a diffondersi su ogni piattaforma di social media, nonostante gli attuali sforzi di Facebook e Twitter.
Un modo in cui la disinformazione si replica è attraverso la manipolazione dei dati rubati. Ciò conferisce alla disinformazione l’apparente credibilità di una fonte autorevole, consentendo al tempo stesso all’aggressore di creare la propria narrativa. Questi attacchi inviano anche chiare minacce alle organizzazioni da cui hanno rubato le loro informazioni. Nel dicembre del 2020, l’Agenzia europea per i medicinali (EMA) con sede nei Paesi Bassi è stata vittima di tale violazione dei dati e l’indagine è ancora in corso. Secondo l’EMA, gli hacker hanno rubato documenti di corrispondenza digitale e li hanno manipolati in un modo “che potrebbero minare la fiducia nei vaccini”. Un’analisi dell’incidente da parte dell’istituto svizzero CyberPeace ha dichiarato che “La natura mirata dell’attacco e le fughe manipolate suggeriscono un’operazione di informazione cibernetica che potrebbe potenzialmente minare la reputazione di Comirnaty [il vaccino BioNTech / Pfizer], sia a livello globale che regionale. A sua volta, questo potrebbe dare ai vaccini rivali un vantaggio competitivo nell’offerta di soft power degli stati di “diplomazia sui vaccini” e impedire la risposta alla pandemia nell’UE come parte di una maggiore Infodemia”.
Valutazioni oneste della minaccia
È importante notare che, sebbene la pandemia non abbia necessariamente portato con sé nuove tattiche di guerra cibernetica specifiche, è il mondo stesso che è diventato più vulnerabile. Il COVID-19 ha testato i limiti dei sistemi del nostro mondo in un modo che renderebbe uno strumento come l’arma cibernetica NotPetya assolutamente devastante.
Le unità di terapia intensiva e i pronto soccorso di tutto il mondo sono al completo, nonostante l’abbondante disponibilità di vaccini in molte nazioni. Se la mobilità di quei vaccini dovesse essere ridotta attraverso un’interruzione della catena del freddo o se i pazienti non sono in grado di poter fissare gli appuntamenti per i vaccini, quanti milioni in più richiederanno tali ricoveri? Se le reti interne di quegli ospedali si interrompono in un continente, quanti pazienti potrebbero potenzialmente morire in attesa di cure? Quante persone sono state convinte, attraverso una serie di sforzi di disinformazione, di rifiutare, o anche solo esitare, di essere vaccinati? Ci sarà mai un modo per dire quale potrebbe essere il numero di morti?
Esistono numerose best practice di sicurezza informatica consolidate che ridurrebbero il danno generato dalle minacce delineate in questa analisi. Molte di queste pratiche, tuttavia, richiedono un pubblico intenzionato a recepirle e una cultura della sicurezza non compiacente tra le nostre istituzioni. Come con qualsiasi politica di sicurezza, questa deve iniziare con una valutazione onesta della minaccia (non minimizzata a priori).