Le tecnologie cosiddette smart sono sempre più diffuse e le organizzazioni di tutti i settori, anche in quello sanitario, stanno iniziando ad adottare sistemi di IoT per migliorare l’efficienza operativa in azienda.
Tuttavia, come sottolineano gli analisti Check Point nel terzo capitolo del Security Report 2019, “Protect Cloud, Mobile and IoT from Targeted Cyber Attacks”, i sistemi IoT sono tra gli anelli più deboli delle reti IT.
E non potrebbe essere altrimenti: i dispositivi della Internet of Things, infatti, sono spesso costruiti su software obsoleti e sistemi operativi legacy che li rendono vulnerabili agli attacchi e li trasformano in facili punti di accesso alle reti IT. Inoltre, tali dispositivi raccolgono e memorizzano sempre più spesso grandi quantità di dati, il che li rende un bersaglio interessante per i criminali informatici.
Indice degli argomenti
IoT e Medical IoT: la sanità è sotto attacco
In particolare, negli ultimi tempi i criminal hacker hanno iniziato a prendere di mira il settore sanitario dove la tendenza ad adottare dispositivi Medical IoT (IoMT) è sempre più marcata. Secondo alcune stime, l’87% delle organizzazioni sanitarie avrà adottato tecnologie IoT entro la fine del 2019 e ci saranno quasi 650 milioni di dispositivi IoMT (Internet of Medical Things) in uso entro il 2020.
È facile immaginare la grande quantità di informazioni personali e sensibili che tutti questi dispositivi memorizzano ogni giorno e questo rende le organizzazioni sanitarie uno dei bersagli principali dei cyber criminali. Questi dati preziosi (che sul Dark Web possono arrivare ad avere un valore stimato di 60 dollari a record) possono essere utilizzati per accaparrarsi costosi servizi medici, dispositivi e farmaci con prescrizione. Inoltre, gli attacchi possono anche comportare la perdita delle cartelle cliniche e delle informazioni dei pazienti e causare danni duraturi alla reputazione dell’istituzione sanitaria.
Nonostante alcuni produttori di macchinari sanitari siano corsi ai ripari (come ad esempio Philips, che ha già provveduto ad aggiornare le proprie macchine ad ultrasuoni), il rischio di attacco per questi dispositivi rimane davvero alto, soprattutto per quelli più datati.
Proprio la tecnologia a ultrasuoni ha fatto enormi progressi negli ultimi anni per fornire a pazienti e medici informazioni dettagliate e potenzialmente salvavita. Purtroppo, però, questi progressi non si sono estesi all’ambito della sicurezza informatica.
I ricercatori Check Point hanno recentemente evidenziato i pericoli che questo potrebbe comportare mettendo le mani su una macchina ad ultrasuoni e indagando su ciò che avviene “sotto il cofano”. Hanno così scoperto che il sistema operativo della macchina era Windows 2000, una piattaforma che, come la maggior parte degli altri dispositivi IoMT, non riceve più patch o aggiornamenti e quindi lascia l’intera macchina ad ultrasuoni e le informazioni che cattura vulnerabili agli attacchi.
A dimostrazione di ciò, i ricercatori hanno anche pubblicato un video esemplificativo del potenziale attacco.
Le criticità del settore sanitario
Gli attacchi informatici agli ospedali avvengono quasi ogni settimana. L’ultimo grande episodio è quello di un attacco ransomware al Melbourne Heart Group, che ha visto i dati dell’ospedale codificati e sottratti dagli hacker.
Altri attacchi significativi avvenuti l’anno scorso includono il servizio sanitario di Singapore, SingHealth, che ha subito una massiccia violazione dei dati causando, tra l’altro, il furto delle cartelle cliniche del Primo Ministro, e seguita poche settimane dopo dal furto di 1,4 milioni di cartelle cliniche dei pazienti di UnityPoint.
Inoltre, nel maggio 2017 l’attacco WannaCry, ha causato la cancellazione di 20.000 appuntamenti nel sistema sanitario britannico e oltre 150 milioni di sterline spese per porre rimedio all’attacco: anche in quel caso è stato un sistema Windows senza patch né aggiornamenti a portare a tali danni.
Sono dunque le vulnerabilità intrinseche dei dispositivi sanitari in funzione, come i macchinari a ultrasuoni collegate al resto della rete dell’organizzazione, la principale criticità di cyber security in ambito sanitario, comportando di fatto l’impossibilità di aggiornare i dispositivi con patch di sicurezza, la mancanza di crittografia dei dati sensibili, nonché le credenziali di login con codice hardware o una password di default.
Tutto questo comporta un elevatissimo rischio di attacchi informatici alle organizzazioni sanitarie. Attacchi che potrebbero comportare la perdita dei dati personali – alterando le informazioni mediche del paziente per quanto riguarda i medicinali e i dosaggi – e compromettendo i macchinari a ultrasuoni, a raggi X e di risonanza magnetica, con tutte le conseguenze del caso sulla salute pubblica e sull’incolumità dei pazienti e degli operatori sanitari.
Le soluzioni per la sicurezza informatica in sanità
Come ci ricorda Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder, “un rapporto di Thales dello scorso anno aveva evidenziato che oltre il 70% delle organizzazioni e istituzioni sanitarie ha subito un data breach. Un ulteriore dato interessante dello studio era che il 93% delle strutture sanitarie utilizzava sistemi per la gestione dei Big Data, servizi in cloud e IoT. L’evoluzione tecnologica di fatto crea nuovi punti di accesso, nuove opportunità, ma allo stesso tempo aumenta l’entropia tecnologia e di conseguenza l’esposizione al rischio”.
Secondo Iezzi “il vero punto di attenzione non è la singola “tecnologia”, dispositivo o software che sia. Di fatto loro portano con sé un “rischio consapevole”. Stiamo parlando dei rischi tipici legati al lyfecicle della tecnologia. Un rischio che ogni responsabile IT o CIO sa perfettamente gestire e governare. La vera problematica è l’integrazione del “nuovo” all’interno del framework attuale composto da infrastrutture hardware e software. I singoli dispositivi IoT se non sono interconnessi con le altre tecnologie non potranno garantire i potenziali benefici che tutti noi conosciamo”.
Con questo nuovo scenario, dunque, come possiamo gestire il nuovo rischio di interoperabilità e compatibilità? Quando un sistema di un vendor non potrà essere aggiornato o patchato perché il dispositivo medico IoT di un altro vendor non è compatibile, quale sarà la scelta della struttura sanitaria? Ancora Iezzi osserva che “non è solo una scelta tra sicurezza e salute, un eventuale cyber attack ai sistemi IoT potrebbe anche alterare i dati sanitari… Di fatto stiamo affrontando un nuovo aspetto della cyber security. Se da un lato le aziende devono necessariamente costruire dei veri e propri cyber security framework strutturati in competenze, processi e tecnologie, dall’altro i vari vendor devono necessariamente costruire e definire delle modalità di sviluppo e gestione dei propri prodotti (hardware e software) che siano sempre più orientati alla condivisione con gli altri stessi vendor. Delle Open Community che permettano di ridurre al minimo il rischio nuovo della interoperabilità”.
Mettere in sicurezza i sistemi IoT e soprattutto quelli IoMT è dunque una priorità per tutte le organizzazioni sanitarie. I dispositivi smart, infatti, rappresentano molteplici punti di accesso alle loro reti interne.
Potrebbero essere centinaia i dispositivi collegati alla rete IT, ognuno dei quali contiene vulnerabilità di sicurezza sia nell’hardware sia nel software di controllo. È essenziale che le organizzazioni sanitarie dispongano di una soluzione di sicurezza di prevenzione avanzata per bloccare gli inevitabili attacchi che tenteranno di sfruttare queste vulnerabilità.
Inoltre, la segmentazione dei dati dei pazienti offre ai professionisti IT sanitari una visione più chiara del traffico di rete, per rilevare movimenti insoliti che potrebbero indicare una violazione o un dispositivo IoMT compromesso.
Essa dovrebbe essere applicata anche al personale sanitario all’interno dell’organizzazione, garantendo l’accesso solo a coloro che ne hanno effettivamente bisogno per svolgere il proprio ruolo.
Infine, la segmentazione garantisce un ulteriore livello di sicurezza per la protezione della rete e dei dati, senza compromettere le prestazioni o l’affidabilità.
