Un attacco ad un ospedale, una bimba morta e la storia che non vorresti mai raccontare

3 minuti di lettura

Ci sono storie che non vorresti mai raccontare, tragedie annunciate che devono indurci ad importanti riflessioni e comprendere quanto sia esposta la nostra società alle minacce cibernetiche.

La notizia è stata riportata da Wall Street Journal secondo cui una donna dell'Alabama di nome Teiranni Kidd ha intentato causa all’ospedale locale Springhill Medical Center dopo la morte di sua figlia avvenuta in circostanze tragiche.

Secondo la mamma, nel mentre era intenta a partorire, l’ospedale era sotto un pesante attacco informatico che avrebbe paralizzato i suoi sistemi non consentendo alla struttura di poter prestare alla neonata le cure necessarie. Secondo Kidd, l'ospedale non l’ha informata di essere stata colpito da un grave attacco informatico che ha interferito con le cure necessarie alla sua bambina, Nicko Silar. La bimba ha subito gravi danni celebrali e dopo mesi di terapia intensiva è deceduta.

Secondo il New York Post, Nicko ha subito una grave lesione cerebrale in quanto il personale medico non si è accorto che il cordone ombelicale era avvolto intorno al suo collo per l’impossibilità ad utilizzare sistemi dell’ospedale colpiti dall’attacco. La bambina è morta nove mesi dopo a causa delle complicazioni causate dall’interruzione di afflusso di ossigeno al cervello causata dalla complicazione citata.

Gli eventi risalgono al 2019, allora l’ospedale rilasciò una dichiarazione sull’attacco subito il giorno prima della nascita della bambina, annunciando che la struttura avrebbe “continuato a prendersi cura in sicurezza dei suoi pazienti e continuerà a fornire l'alta qualità del servizio che i pazienti meritano e si aspettano".

La causa intentata all’ospedale si basa sull’accusa che personale medico non è stato in grado di monitorare adeguatamente le condizioni della piccina durante il parto. La causa è stata inizialmente intentata a Mobile County nel 2019, quando Nicko stava ancora lottando, sospesa tra la vita e la morte. La donna ha chiesto un risarcimento di importo non specificato all'ospedale e al medico Dr.ssa Katelyn Braswell Parnell, che ha fatto nascere Nicko.

Gli avvocati della donna sostengono che se la donna fosse stata informata delle difficoltà soggiunte a causa dell’attacco avrebbe scelto di partorire altrove evitando il tragico epilogo. L'amministrazione dello Springhill Medical Center ha negato di aver creato una "narrazione falsa, fuorviante e ingannevole" sull'attacco informatico e ha dichiarato che ha sempre operato per garantire la sicurezza del parto. L'ospedale ha incolpato la dottoressa Parnell perché "era pienamente consapevole dell'inaccessibilità dei sistemi pertinenti, compresi quelli nell'unità di travaglio e parto, ed ha deciso di operare comunque ritenendo le condizioni sicure per la paziente.

L'ospedale dell'Alabama ha anche aggiunto che secondo la legge dell’Alabama, l'ospedale non aveva alcun obbligo legale di informare il paziente dell'attacco informatico in corso. Parnell e il suo staff hanno negato di aver causato la morte di Nicko, hanno scelto di praticare un taglio cesareo ma l’indisponibilità di strumenti idonei a monitorare i segni vitali della piccola hanno interferito in maniera drammatica sul parto. L’udienza è fissata per novembre 2022, qualora le accuse saranno provate ed accolte, sarà la prima volta che un attacco ransomware è causa diretta della morte di un individuo.

Vi avevo preannunciata che la storia è di quelle forti, tuttavia, siamo consapevoli che le strutture ospedaliere sono completamente esposte ad attacchi cibernetici e con loro le sorti dei loro pazienti. Ritardi nell’erogazione delle cure necessarie e l’indisponibilità di macchinari nel bel mezzo di operazioni critiche possono essere solo alcune delle possibili cause di morte di un paziente. Da tempo stiamo portando l’attenzione della protezione delle infrastrutture critiche a livello istituzionale dapprima, ed all’attenzione dell’opinione pubblica poi.

La scelta di una struttura ospedaliera un giorno potrebbe essere determinata dal livello di sicurezza cibernetica che offre ai pazienti ed alla storia dei precedenti attacchi subiti. Vi chiederete quale sia il livello delle nostre strutture sanitarie, è la risposta non può essere che desolante. Proprio in settimana, i giornalisti Milena Gabanelli e Simona Ravizza hanno pubblicato una interessante inchiesta dal titolo eloquente, “Attacchi hacker, dati sanitari in pericolo: la lista segreta dei 35 ospedali colpiti.”

L’inchiesta evidenzia i rischi cibernetici delle strutture sanitarie, spiegando quali sono i possibili attacchi alle strutture e quali le potenziali conseguenze per il paziente. Partiamo dal furto di dati che espone i pazienti a frodi di vario genere, ivi compreso il furto d’identità, per giungere ad attacchi ransomware che possono paralizzare interi ospedali per giorni con conseguenze drammatiche ed imprevedibili per i degenti.

A settembre del 2020, un’altra scioccante notizia fece il giro del mondo, le autorità tedesche rivelarono che un attacco informatico aveva colpito la clinica universitaria di Düsseldorf e una donna che aveva bisogno di un ricovero urgente presso la struttura è morta dopo essere stata trasportata in un'altra città per ricevere le cure di cui necessitava e che la clinica non poteva fornire per la paralisi dei suoi sistemi. Secondo l’inchiesta delle giornaliste Gabanelli e Ravizza, in Italia in poco più di due anni sono state colpite 35 strutture sanitarie, ma aggiungo che questo numero potrebbe rappresentare la punta dell’iceberg. Molti attacchi infatti non sono denunciati, o peggio, ci si accorge della violazione di sicurezza anche un anno dopo la prima intrusione. In media si impiegano ben 236 giorni prima che si si accorga di una violazione di dati.

Il problema è tuttavia in termini gestionali, gli investimenti in sicurezza informatica sono irrisori, l’inchiesta riferisce di solo il 5% in media del fatturato, ed io aggiungo che questa cifra sarebbe un importante traguardo vista l’attuale situazione delle nostre strutture. Vi invito a fare una survey tra le principali strutture nazionali, chiedendo ai manager di separare le spese per IT da quelle per sicurezza, scoprirete che non si arriva nemmeno all’1% per molte delle strutture intervistate.

Spesso far comprendere l’importanza di un sistema di gestione della sicurezza cibernetica ai manager che operano nel settore sanitario è un’impresa titanica, talvolta impossibile. Occorre un cambio culturale, così come i pazienti, anche le strutture sanitarie dovrebbero condurre check up regolari in materia cyber security, dovrebbero inoltre dotarsi di sistemi per il monitoraggio delle minacce e soprattutto investire nella formazione di dipendenti, ma soprattutto dei manager.