Vai al contenuto principale

Salute-ISAC Hacking Healthcare 8-1-2025

|

Questa settimana, Salute-ISAC®Hackeraggio sanitario® esamina un aggiornamento delle misure anti-ransomware del governo del Regno Unito. Unisciti a noi per esaminare il riepilogo recentemente pubblicato delle risposte pubbliche alla consultazione pubblica di gennaio su tre proposte legislative anti-ransomware, per valutare come sono state accolte le proposte, quali saranno le prossime mosse del governo e quale impatto potrebbero avere sul settore sanitario nel Regno Unito e all'estero. 

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

 

Versione PDF: TLP BIANCO Hacking Salute 8.1.2025
Dimensione : 496.2 kB formato: PDF

 

Versione del testo:

Bentornati a Hacking Healthcare®.

Aggiornamento della proposta legislativa sul ransomware nel Regno Unito 

Il 22 luglio, il Ministero dell'Interno del Regno Unito ha pubblicato la sua "Risposta del Governo" al feedback ricevuto in merito a una serie di proposte legislative sul ransomware presentate all'inizio dell'anno. Considerati i potenziali impatti sul settore sanitario, analizziamo la risposta del pubblico, come il governo del Regno Unito ha interpretato il feedback e quali sono i prossimi passi. 

Perché proporre proposte legislative sul ransomware? 

Come abbiamo già detto a metà gennaio[I], a partire dall'anno scorso, il governo del Regno Unito era sempre più interessato a trovare modi per mitigare gli effetti del ransomware sui settori pubblico e privato del Regno Unito. La consultazione di gennaio ha citato il National Cyber Security Centre (NCSC) del Regno Unito Revisione annuale 2024, in cui si afferma che "gli attacchi ransomware continuano a rappresentare la minaccia più immediata e destabilizzante per le infrastrutture nazionali critiche del Regno Unito".[Ii] Ha inoltre citato l'impatto del ransomware sul Servizio Sanitario Nazionale (NHS), compresi gli attacchi ransomware a un fornitore chiave degli ospedali dell'area di Londra, e la diffusa preoccupazione pubblica circa la possibilità di conseguenze del ransomware. 

Da allora, il ransomware ha continuato a essere una piaga a livello globale e, di recente, l'attacco ransomware che ha colpito l'area di Londra l'anno scorso è stato citato come fattore che ha contribuito alla morte di un paziente i cui risultati dei test sono stati ritardati.[Iii] 

Quali sono le proposte?

Ricordiamo brevemente che il Ministero dell'Interno ha inizialmente descritto le proposte come "leader a livello mondiale" e [mirate a] colpire al cuore il modello di business dei criminali informatici e a proteggere le aziende del Regno Unito scoraggiando le minacce".[Iv] Le tre proposte sviluppate con il contributo del settore pubblico e privato sono state:

1. Un divieto mirato sui pagamenti ransomware per tutti gli enti del settore pubblico, compresi gli enti locali, e per i proprietari e gli operatori delle infrastrutture critiche nazionali (CNI)[V] che sono regolamentati o che hanno autorità competenti.[Vi]

2. Un nuovo regime di prevenzione dei pagamenti ransomware per coprire tutti i potenziali pagamenti ransomware provenienti dal Regno Unito.

3. Un regime di segnalazione degli incidenti ransomware. 

È su queste proposte che si è tenuta una consultazione pubblica per raccogliere contributi. 

Feedback del settore e interpretazione governativa

In totale, il governo del Regno Unito ha preso in considerazione 273 feedback. Il Ministero dell'Interno ha riassunto i risultati dicendo che "la risposta complessiva alle proposte è stata positiva", sottolineando anche "alti livelli di coinvolgimento e commenti ponderati in tutto il processo".[Vii] 

Nonostante l'interpretazione di generale positività da parte del governo, le sezioni del rapporto che descrivono nel dettaglio le risposte specifiche alle proposte appaiono un po' più misurate. Diamo un'occhiata ad alcune delle risposte chiave:[Viii] [Ix] 

Proposta 1: Un divieto mirato sui pagamenti ransomware per tutti gli enti del settore pubblico, compresi gli enti locali, e per i proprietari e gli operatori delle infrastrutture critiche nazionali (CNI) regolamentate o dotate di autorità competenti.

  • Il 72% degli intervistati è “fortemente d’accordo” o “tende ad essere d’accordo” sul fatto che il governo dovrebbe attuare un divieto mirato sui pagamenti ransomware per i proprietari e gli operatori di CNI e per il settore pubblico, compresi gli enti locali.
  • Il 68% degli intervistati ritiene che un divieto mirato sarà "efficace" o "abbastanza efficace" nel ridurre la quantità di denaro che affluisce ai criminali informatici che sfruttano il ransomware e quindi nel ridurre i loro guadagni.
  • Il 62% ha affermato che le organizzazioni all'interno delle catene di fornitura del CNI e del settore pubblico dovrebbero essere incluse nel divieto proposto.
  • Il 43% ha risposto che dovrebbero esserci delle eccezioni al divieto, mentre il 40% non è d'accordo. 
  • Il 50% ritiene che sia opportuno ampliare la portata del divieto, mentre la metà di questi ritiene che il divieto sui ransomware dovrebbe essere esteso all'intero sistema economico.

Proposta 2: Un nuovo regime di prevenzione dei pagamenti ransomware per coprire tutti i potenziali pagamenti ransomware provenienti dal Regno Unito.

  • Il 61% degli intervistati ritiene che un regime di prevenzione dei pagamenti ransomware a livello economico sarebbe “efficace” o “abbastanza efficace”.
  • Il 45% degli intervistati ritiene che un regime di prevenzione dei pagamenti ransomware a livello economico sarebbe "efficace" o "abbastanza efficace" nell'aumentare la capacità delle forze dell'ordine di intervenire e indagare sugli autori del ransomware. 

Proposta 3: Un regime di segnalazione degli incidenti ransomware che potrebbe includere un requisito di segnalazione obbligatorio basato su una soglia per le presunte vittime di ransomware. 

  • Il 63% degli intervistati è “fortemente d’accordo” o “tendenzialmente d’accordo” con una misura che preveda una segnalazione obbligatoria degli incidenti ransomware a livello economico per tutte le organizzazioni e gli individui. 
  • Il 79% degli intervistati ritiene che una misura che coinvolga l'intera economia sarebbe "efficace" o "abbastanza efficace" nell'aumentare la capacità del governo di comprendere la minaccia del ransomware per il Regno Unito.
  • Il 74% degli intervistati ritiene che una misura che coinvolga l'intera economia sarebbe "efficace" o "abbastanza efficace" nell'aumentare la capacità del governo di affrontare e rispondere alla minaccia del ransomware nel Regno Unito.
  • Il 75% degli intervistati ritiene che 72 ore siano un lasso di tempo ragionevole per una segnalazione iniziale.
  • L'82% degli intervistati ritiene che alle vittime di ransomware dovrebbero essere fornite informazioni sulle minacce informatiche e sulle tendenze legate al ransomware, mentre il 75% ritiene che gli aggiornamenti operativi delle forze dell'ordine dovrebbero essere forniti tramite un sistema di segnalazione degli incidenti. 
  • Il 31% degli intervistati ritiene che la segnalazione obbligatoria degli incidenti informatici dovrebbe essere estesa a tutti gli incidenti informatici e non solo a quelli ransomware. 

Passi successivi

Sebbene le sezioni del rapporto che descrivono nel dettaglio le risposte specifiche alle proposte appaiano un po' più misurate e riservate, la convinzione del governo che vi sia un sostegno generale lo ha portato a dichiarare che "il governo continuerà a riflettere e a tenere in considerazione il feedback utile nello sviluppo di queste misure". 

Tra le questioni e gli aspetti in sospeso che il governo ha riconosciuto necessitassero di ulteriore attenzione figurano:[X]

  • L'ambito e la definizione di chi sarebbe incluso nel divieto di pagamento di un ransomware, incluso se la proposta avrebbe effetto extraterritoriale. 
  • La complessità della copertura delle catene di fornitura.
  • La responsabilità degli istituti finanziari per il rispetto delle proposte, in quanto potrebbe essere chiesto loro di elaborare pagamenti potenzialmente illegali per conto delle organizzazioni vittime.

 

 

Azione e analisi 
**Incluso con l'iscrizione a Health-ISAC**

 

[I] https://health-isac.org/health-isac-hacking-healthcare-1-17-2025/

[Ii] https://www.gov.uk/government/news/world-leading-proposals-to-protect-businesses-from-cybercrime

[Iii] https://www.bbc.com/news/articles/cp3ly4v2kp2o

[Iv] https://www.gov.uk/government/news/world-leading-proposals-to-protect-businesses-from-cybercrime

[V] Nel Regno Unito ci sono 13 settori di infrastrutture critiche nazionali, tra cui prodotti chimici, servizi di emergenza e sanità. Non tutte le entità di questi settori sono effettivamente considerate infrastrutture critiche nazionali. https://www.npsa.gov.uk/critical-national-infrastructure-0

[Vi]Il termine Autorità competente si riferisce generalmente a un'entità con competenze specifiche a cui è stata concessa l'autorità di regolamentare o supervisionare un particolare settore o una funzione.

[Vii]https://assets.publishing.service.gov.uk/media/687faaaafdc190fb6b8468db/Government_Response_Ransomware_proposals_to_increase_incident_reporting_and_reduce_payments_to_criminals.pdf

[Viii]https://assets.publishing.service.gov.uk/media/687faaaafdc190fb6b8468db/Government_Response_Ransomware_proposals_to_increase_incident_reporting_and_reduce_payments_to_criminals.pdf

[Ix] Si prega di notare che il numero di intervistati per ciascuna domanda è variato e che i dettagli sul totale degli intervistati per una particolare domanda sono reperibili nelle sezioni pertinenti del rapporto.

[X]https://assets.publishing.service.gov.uk/media/687faaaafdc190fb6b8468db/Government_Response_Ransomware_proposals_to_increase_incident_reporting_and_reduce_payments_to_criminals.pdf

Il responsabile della sicurezza delle informazioni aziendali: serie di white paper
23a edizione del Global Resilience Compensation Report