Il trust del NHS dell'Essex conferma la violazione di Qilin due anni dopo
Un trust del NHS dell'Essex è diventato l'ultimo ente sanitario a confermare che le cartelle cliniche dei pazienti sono state rubate durante un attacco ransomware del gruppo Qilin, e la rivelazione arriva circa due anni dopo che il gruppo ha colpito per la prima volta i sistemi del NHS. Il crescente problema della protezione dei dati dei pazienti nelle violazioni ransomware del NHS non è più solo una questione tecnica per i team IT ospedalieri. Per i pazienti i cui dati sono stati sottratti, il conto alla rovescia per potenziali frodi, phishing e uso illecito dell’identità è già iniziato da molto tempo.
La comunicazione è un promemoria del fatto che gli incidenti ransomware in ambito sanitario raramente seguono una linea temporale ordinata. Le vittime vengono identificate a ondate, le notifiche arrivano tardi e la piena portata di quanto è stato rubato può richiedere mesi, a volte anni, per essere definita.
Quali trust del NHS hanno confermato il furto di cartelle cliniche
Il gruppo Qilin ha inizialmente preso di mira il fornitore del NHS Synnovis nel giugno 2024, interrompendo i servizi di trasfusione di sangue e le attività di patologia in diversi ospedali londinesi, tra cui il King's College Hospital e il Guy's and St Thomas'. Quell’attacco ha causato la cancellazione di operazioni e ha costretto il personale clinico a lavorare senza accesso a risultati di esami critici.
La conferma del trust dell’Essex rappresenta un ampliamento di quella impronta. Mentre gli ospedali continuano a verificare i propri sistemi e a incrociare i dati rubati diffusi online, un numero crescente di trust sta raggiungendo il punto in cui può notificare formalmente i pazienti coinvolti. Le categorie di dati solitamente coinvolte in queste violazioni del NHS includono nomi, date di nascita, numeri NHS, annotazioni cliniche, risultati di esami e, in alcuni casi, dettagli finanziari collegati ai conti dei pazienti.
Ciò che rende la tempistica così preoccupante è che i pazienti avvisati solo ora sono stati esposti a possibili usi illeciti per un periodo fino a due anni senza saperlo. Le cartelle cliniche rubate non hanno una scadenza come i numeri di carta di credito. Mantengono il loro valore sui mercati criminali perché contengono dati personali immutabili che non possono essere cambiati.
Perché le cartelle cliniche sono un obiettivo ransomware di alto valore
Le cartelle cliniche ottengono costantemente prezzi più alti sui forum criminali rispetto alle sole credenziali finanziarie. Una singola cartella medica può contenere tutto ciò di cui un truffatore ha bisogno per commettere un furto d’identità, inclusi dati assicurativi, storie farmacologiche e nominativi dei parenti più prossimi. Per gli operatori ransomware come Qilin, le strutture sanitarie offrono un doppio incentivo: la pressione dell’interruzione per pagare rapidamente (poiché le attività cliniche dipendono da dati in tempo reale) e un dataset altamente commerciabile da vendere se il riscatto non viene pagato.
Il NHS è un bersaglio particolarmente attraente perché la sua scala è enorme, i suoi sistemi sono eterogenei tra i trust e i fornitori terzi rappresentano spesso l’anello più debole. L’attacco a Synnovis ha dimostrato esattamente questo schema. Invece di penetrare direttamente un ospedale, gli aggressori hanno compromesso un fornitore profondamente integrato con diverse reti ospedaliere.
Gli attacchi di ingegneria sociale sono una conseguenza naturale di questo tipo di violazione. Una volta in possesso di dati verificati dei pazienti, gli aggressori possono creare messaggi di phishing o chiamate di voice phishing estremamente convincenti, una tattica già osservata in altri incidenti di alto profilo. Nell’attacco di vishing a Cushman & Wakefield in cui ShinyHunters ha rivendicato 500.000 record, i dati organizzativi rubati sono stati utilizzati per dare credibilità a chiamate fraudolente indirizzate al personale. I pazienti del NHS affrontano un rischio simile quando i loro dati sanitari personali finiscono in mani criminali.
Come possono proteggersi i pazienti quando usano i portali online del NHS
Per la maggior parte dei pazienti, la domanda immediata è pratica: cosa posso fare concretamente? La risposta inizia con il riconoscere che le proprie abitudini di accesso contano, anche se la violazione è avvenuta sul lato del fornitore.
I pazienti del NHS gestiscono sempre più appuntamenti, risultati di esami e prescrizioni ripetute tramite piattaforme come l’App NHS e Patient Access. Questi portali contengono dati clinici sensibili e accedervi da reti non protette o condivise crea un ulteriore punto di esposizione, indipendentemente dai rischi già presenti nell’infrastruttura del NHS.
Innanzitutto, verificate se avete ricevuto una notifica di violazione dal vostro trust. Se l’avete ricevuta, prendetela sul serio e monitorate i vostri conti per attività insolite, come bollette mediche inattese, richieste di informazioni assicurative o verifiche d’identità che non avete avviato voi.
In secondo luogo, usate password complesse e uniche per ogni account sanitario e attivate l’autenticazione a due fattori dove il servizio lo supporta. Gli attacchi di credential stuffing, in cui gli aggressori utilizzano nomi utente e password ottenuti da una violazione per accedere ad account altrove, sono una routine successiva ai grandi furti di dati sanitari.
In terzo luogo, diffidate di qualsiasi contatto non richiesto che affermi di provenire dal NHS e che vi chieda di verificare dati personali. Le comunicazioni legittime del NHS non chiederanno mai password o informazioni finanziarie per telefono o via email.
Buone pratiche di cifratura e VPN per i dati medici su Wi-Fi pubblici
Se accedete regolarmente ai portali del NHS o ad altri account sanitari durante i viaggi o utilizzando il Wi-Fi pubblico, cifrare la connessione è un passo semplice che riduce un rischio reale. Le reti pubbliche in caffetterie, biblioteche, ospedali e snodi di trasporto non sono protette e il traffico che le attraversa può essere intercettato.
L’utilizzo di una VPN affidabile crea un tunnel cifrato tra il vostro dispositivo e internet, rendendo molto più difficile per chiunque sulla stessa rete catturare le vostre credenziali di accesso o i token di sessione. Questo non protegge dalle violazioni che avvengono all’interno dei sistemi del NHS, ma chiude una via di furto opportunistico.
Oltre all’uso della VPN, mantenere aggiornati il sistema operativo e le applicazioni del dispositivo corregge le vulnerabilità che i malware sfruttano per intercettare i dati ancor prima che vengano cifrati. La cifratura completa del disco sul vostro telefono o portatile fa sì che, in caso di smarrimento o furto del dispositivo, i dati di accesso al NHS memorizzati nella cache non siano immediatamente leggibili.
Cosa significa tutto questo per voi
Il bilancio crescente delle violazioni di Qilin nel NHS è una crisi di comunicazioni a rallentatore. I trust stanno ancora mappando ciò che è stato sottratto e i pazienti colpiti anni fa stanno ricevendo conferma solo ora. Questo intervallo crea una lunga finestra durante la quale i dati rubati possono circolare senza che le vittime ne siano consapevoli.
L’aspetto più importante che dovete trarre da questa situazione è che la protezione dei dati dei pazienti nelle violazioni ransomware del NHS non è passiva. Non potete impedire a un gruppo ransomware di attaccare un fornitore ospedaliero. Potete però ridurre ciò che gli aggressori possono fare con i vostri dati una volta che sono stati diffusi.
Iniziate verificando su quali piattaforme del NHS e sanitarie avete degli account, assicuratevi che ognuno abbia una password unica e l’autenticazione a due fattori, e trattate qualsiasi comunicazione sanitaria non richiesta con maggiore scetticismo. Quando vi collegate a queste piattaforme fuori casa, usate una connessione cifrata. Rivedere regolarmente le proprie abitudini di sicurezza dei dati è la risposta più diretta a un contesto in cui le violazioni sanitarie su larga scala sono una realtà ricorrente, non un evento raro.
