L’avvento di internet
Ancor prima dell’avvento ufficiale di internet, ipotizzando l’esistenza di un cyberspazio, nell’aria soffiava già un vento di insicurezza. Quando poi il 19 gennaio 1983 Steve Jobs diede vita al primo computer con interfaccia grafica utente (GUI) gestista da un mouse, destinato ai consumatori aziendali, ed anche alle famiglie, i computer entrarono definitivamente nelle case di milioni di cittadini. Col trascorrere degli anni cresceva la consapevolezza che quanto accadeva sul web, non rimanesse lì, ma avesse chiaramente una connessione con il mondo reale. Per questo motivo, la Sicurezza informatica ha cominciato a crescere d’importanza, diventando oggi un tema cruciale per tutti: dal cittadino che si limita all’utilizzo del proprio smartphone per leggere le news del momento, alle grandi aziende pubbliche e private che gestiscono una mole infinita di dati personali e aziendali. Ma, cosa ancor più importante, chiunque può diventare un bersaglio se l’hacker riesce ad individuare le vulnerabilità del proprio sistema informatico (IS).
La struttura sanitaria come anello debole
Questo articolo, alla luce degli ultimi accadimenti in tema di Coronavirus, ma anche di vari precedenti, individua le strutture sanitarie come l’anello più debole dello Stato. Un’entità contenente le informazioni più sensibili di ogni cittadino e, allo stesso tempo, con scarse capacità di difesa dovute sempre più spesso ad un budget troppo basso, alla mancanza di organizzazione informatica, e all’uso eccessivo dei sistemi legacy.
Una ricerca del Kaspersky Security Bulletin (KSB), infatti, prevedeva che, due anni dopo lo scoppio dell'”epidemia” del ransomware WannaCry, nel 2020 i cyber criminali sarebbero stati principalmente impegnati nel furto e nella compromissione delle cartelle cliniche digitali. Comprendiamone, dunque, i motivi. Le cartelle cliniche dei pazienti contengono dati preziosi che specificano tutte le informazioni di identificazione personale (PII), dal nome e cognome, al numero di previdenza sociale, informazioni sulla carta di credito, informazioni sanitarie protette (PHI); queste cartelle elettroniche (EHR) sono molto redditizie per gli hacker, in quanto il loro valore nel deep web può variare da $70 a $150, a seconda di quanto queste siano dettagliate, dalla loro provenienza, o dal paziente a cui appartengono. Nel bel mezzo dell’emergenza Coronavirus, infatti, l’Istituto Nazionale per le Malattie Infettive Lazzaro Spallanzani di Roma, ma anche diversi ospedali all’interno dell’Unione Europea, degli Stati Uniti e della Thailandia, hanno subito attacchi al loro sistema informatico.
I sistemi informativi sanitari, tuttavia, non sono un bersaglio per le minacce alla sicurezza solo a causa della redditività delle cartelle cliniche digitali. Dobbiamo anche considerare il gran numero di strutture sanitarie che contengono laboratori di ricerca, vale a dire beni di proprietà intellettuale, procedure sperimentali per la chirurgia, formule di farmaci e, oggi più che mai, risultati di test e studi relativi al vaccino anti-Covid-19; questi sono chiaramente obiettivi interessanti per i ricercatori o le aziende farmaceutiche dei paesi concorrenti. A tal proposito, l’ospedale universitario di Brno, che ospita una delle più grandi strutture di test sul Covid-19 della Repubblica Ceca, è stato colpito da un importante attacco cibernetico il 12 e 13 marzo scorsi, il quale ha causato l’immediato spegnimento dei computer nel bel mezzo della pandemia. Nonostante il coinvolgimento della polizia e del National Cyber Security Center, si sa poco dell’attacco in sé, compreso se le strutture di test di Covid-19 siano state colpite o meno. Si sospetta un attacco ransomware, uno dei tipi di attacchi informatici più popolari, che colpisce soprattutto gli ospedali; tuttavia, le successive dichiarazioni del New York Times possono lasciare piuttosto interdetti. Il Federal Bureau of Investigation e il United States Department of Homeland Security, infatti, hanno proposto di lanciare un avvertimento pubblico per rendere note le loro scoperte sulle attività degli esperti di cyber attacchi legati al governo di Pechino, e accusare il Partito Comunista Cinese di un tentativo di ottenere dati sulla ricerca sanitaria relativa a vaccini, trattamenti e test anti-Covid-19 con l’utilizzo di metodi illeciti.
È chiaro, quindi, che le minacce informatiche alle strutture sanitarie possono essere suddivise in due categorie: attacchi non mirati, in cui gli aggressori sono spesso organizzazioni criminali con l’obiettivo di massimizzare il rapporto guadagno/costo, ricatti, vendita di informazioni su individui di alto profilo; e attacchi mirati, invece, che hanno un obiettivo specifico e in cui gli aggressori sono spesso Stati nazione, ovvero nazioni nemiche che vogliono danneggiare individui o ottenere informazioni, come abbiamo visto in precedenza col caso Brno. Tuttavia, se da un lato limitare le violazioni della sicurezza cibernetica può essere sufficiente a prevenire gli attacchi non mirati, dall’altro è necessaria una politica di sicurezza più avanzata per rispondere efficacemente agli attacchi mirati e comprendiamo che, in questo senso, la sicurezza diventa un concetto politico, legato a quei valori politici che si vogliono preservare, a livello nazionale e internazionale.
Le norme del Diritto internazionale
Lo Stato è a chiare note l’attore maggiormente responsabile della Politica e della Sicurezza internazionale, ma non basta. La Sicurezza internazionale e la Sicurezza interna hanno una dimensione interconnessa: non si può discutere a livello nazionale senza considerare il più ampio contesto globale internazionale. In questo senso, è eccellente il lavoro che il United Nations Group of Governmental Experts (GGE) sugli sviluppi nel campo delle tecnologie dell’informazione e della comunicazione nel contesto della Sicurezza internazionale ha svolto e sta svolgendo dal 2010, al fine di estendere l’applicazione delle regole del Diritto internazionale anche al cyberspazio e soprattutto nel tentativo di creare nuove regole comuni. Ma, visti gli eventi accaduti durante la pandemia, è urgente capire quale protezione il Diritto internazionale offre contro questo tipo di cyber attacchi e se questi funzionano o debbano eventualmente essere rivisti.
Prima di impegnarsi in una riflessione a riguardo, va sottolineato che le norme del Diritto internazionale che regolano il comportamento degli Stati si applicano solo se tale operazione è attribuibile ad uno Stato; ad esempio, alcuni dei vari attacchi di cui sopra sono effettuati dagli Stati, altri, come l’hacking di Brno, non sono attribuibili ad alcuno Stato terzo. Inoltre, la Convenzione del Consiglio d’Europa sulla criminalità informatica del 2001 (la cosiddetta “Convenzione di Budapest”), firmata da oltre 60 Paesi, è il primo trattato internazionale che cerca di affrontare internet e la criminalità informatica imponendo l’istituzione di punti di contatto nazionali, l’armonizzazione delle legislazioni nazionali, l’allineamento delle tecniche investigative e una maggiore cooperazione internazionale. Essa prevede che gli attacchi ai sistemi informatici essenziali per il mantenimento della salute e della Sicurezza pubblica siano coperti dalle disposizioni della Convenzione, considerando che gli Stati firmatari sono tenuti, in base al Diritto internazionale, a criminalizzare le attività informatiche, come l’accesso illegale (Art. 2), l’interferenza di dati (art. 4) e l’interferenza di sistema (art. 5); pertanto, un attacco informatico può essere considerato un crimine di guerra.
Detto questo, sappiamo che la pandemia di Covid-19 ha raggiunto anche la regione del Medio Oriente e del Nord Africa: Siria e Libia, dove i cittadini vedono le loro case distrutte dai conflitti armati e sono costretti a vivere insieme in rifugi senza adeguati servizi igienici, il virus si diffonde più rapidamente e in maniera più estesa. L’intervento del Diritto internazionale umanitario è essenziale e consiste nell’assicurare che le unità mediche siano rispettate e protette dalle parti in conflitto. Helen Durham, Direttore del Dipartimento di Diritto Internazionale e Politica Umanitaria del Comitato Internazionale della Croce Rossa (CICR), ha spiegato che regole come quella sopra citata sono applicate anche al cyberspazio e il Manuale di Tallinn 2.0 spiega, infatti, che le operazioni informatiche dannose che impedirebbero il funzionamento delle strutture sanitarie durante i conflitti armati/pandemie sono proibite dal Diritto internazionale umanitario.
In particolare, vi sono tre ambiti del Diritto internazionale che hanno obblighi in relazione agli attacchi di uno Stato (o dei suoi delegati) contro le infrastrutture sanitarie di un altro Stato: la legge sull’uso della forza, il principio di non intervento e il principio di sovranità. Il primo vieta gli attacchi che potrebbero avere le conseguenze più gravi, come un’operazione che interrompe a distanza i sistemi di supporto vitale all’interno di un ospedale, causando così la morte dei pazienti; tuttavia, questo divieto non copre tutti i cyber attacchi. In secondo luogo, sin dai tempi del Trattato di Westfalia, il diritto internazionale vieta a tutti gli Stati di intervenire negli affari interni di altri Stati. A questo proposito, il Regno Unito, ad esempio, ha detto chiaramente che tale divieto può riguardare anche atti come “prendere di mira i servizi medici essenziali”. Oltre alla domanda su cosa siano questi, si presume anche che una struttura per il test del Coronavirus sia in questo momento più che “essenziale”. Tuttavia, secondo l’elemento della coercizione, è vietato solo quando l’atto è inteso a costringere uno Stato a modificare il proprio comportamento in relazione a una questione sulla quale può decidere liberamente. Pertanto, le operazioni informatiche che perturbano le strutture mediche senza essere coercitive esulano dall’ambito del divieto di interferenza negli affari di altri Stati. Inoltre, le attività informatiche che interferiscono con il settore sanitario di uno Stato potrebbero essere considerate violazioni della sovranità di tale Stato, ad esempio, operazioni che compromettono la fornitura di assistenza sanitaria.
Conclusioni
Questi punti ci portano a concludere che i vari organismi del Diritto internazionale offrono importanti protezioni alle strutture sanitarie contro le operazioni informatiche: a seconda di come queste vengano interpretate, si potrebbe dire che vietino qualsiasi operazione informatica ostile contro i servizi medici. Tuttavia, alcune interpretazioni presentano dei punti deboli e, data l’importanza dei servizi medici, la questione è preoccupante, motivo per cui le strutture sanitarie sono sempre più consapevoli dell’importanza strategica di sviluppare una strategia globale di Sicurezza informatica. Il CICR, ad esempio, ha recentemente proposto una nuova regola di comportamento responsabile dello Stato nel cyberspazio contro gli attacchi cibernetici alle strutture e ai servizi sanitari. Diverse strutture, invece, stanno cercando di migliorare la sicurezza informatica nell’ambiente sanitario investendo nella formazione e nella sensibilizzazione degli operatori sanitari, come fa l’H-ISAC. Parallelamente, altri enti promuovono programmi di Sicurezza informatica per aiutare le strutture sanitarie: l’iniziativa HITRUST, ad esempio, offre un briefing mensile sulle minacce informatiche per conoscere le ultime novità e le migliori pratiche in materia di difesa e risposta ai cyber attacchi. Le autorità offrono anche conferenze, corsi di formazione e presentazioni per spingere tutti gli attori del settore sanitario verso un maggiore coordinamento per ridurre le loro vulnerabilità. Tuttavia, come già detto, anche se si dovessero creare nuove norme in seno al Diritto internazionale sulla Sicurezza informatica – cosa per nulla facile -, e si utilizzassero procedure efficienti ed efficaci per prevenire i cyber attacchi, riscontreremmo comunque il profondo problema dell’attribuzione dell’attacco all’aggressore, ben noto nell’ambito della cybersecurity.
Fonti
- Council of Europe (2001), Convention on Cybercrime, Budapest.
- Council of Europe, Cybercrime Convention Committee (2013), T-CY Guidance Note #6, Critical information infrastructure attacks, Strasbourg.
- David E. Sanger and Nicole Perlroth (2020), U.S. to Accuse China of Trying to Hack Vaccine Data, as Virus Redirects Cyberattacks, The New York Times. Disponibile su: https://www.nytimes.com/2020/05/10/us/politics/coronavirus-china-cyber-hacking.html
- Fabio Rugge (2018), Cybercrime and international relations, Italian Institute for International Political Studies (ISPI). Disponibile su: https://www.ispionline.it/en/pubblicazione/cybercrime-and-international-relations-20996
- Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients. Disponibile su: https://www.phe.gov/Preparedness/planning/405d/Documents/HICP-Main-508.pdf
- Helen Durham (2020), Cyber operations during armed conflict: 7 essential law and policy questions, Humanitarian Law and Policy. Disponibile su: https://blogs.icrc.org/law-and-policy/2020/03/26/cyber-armed-%20conflict-7-law-policy-questions/
- ISE – Independent Security Evaluators (2016), Securing Hospitals.
- Pierluigi Paganini (2020), Oltre al coronavirus: i nostri dati sanitari sono sempre più appetibili, Italian Institute for International Political Studies (ISPI). Disponibile su: https://www.ispionline.it/it/pubblicazione/oltre-al-coronavirus-i-nostri-dati-sanitari-sono-sempre-piu-appetibili-26127
- Ponemon Institute (2016), The State of Cybersecurity in Healthcare Organizations in 2016.
- The Rt Hon Jeremy Wright QC MP (2018), Cyber and International Law in the 21st Century, Gov.UK. Disponibile su: https://www.gov.uk/government/speeches/cyber-and-international-law-in-the-21st-century
- United Nations (1945), Charter of the United Nations. Disponibile su: https://www.un.org/en/sections/un-charter/chapter-i/index.html
- Véronique Christory (2020), Norms for responsible State behavior on cyber operations should build on international law, International Committee of the Red Cross (ICRC). Disponibile su: https://www.icrc.org/en/document/norms-responsible-state-behavior-cyber-operations-should-build-international-law
- Walid El Asri, Aurore Le Brise (2017), State of Cybersecurity & Cyber threats in Healthcare Organizations, Applied Cybersecurity Strategy for Managers, ESSEC Business School.
- Yury Namestnikov (2019), Cybersecurity of connected healthcare 2020: Overview and predictions, Kaspersky Security Bullettin. Disponibile su: https://securelist.com/healthcare-predictions-2020/95385/