Nel maggio 2020 viene avviata dall’amministrazione Trump l’operazione Warp Speed, un’iniziativa di collaborazione tra pubblico e privato con lo scopo di facilitare ed accelerare lo sviluppo di vaccini, terapie, e test diagnostici per il 2019-nCoV.
Indice degli argomenti
Operazione Warp Speed: di cosa si tratta
La necessità di proteggere l’operazione da attacchi informatici è stata evidente fin dall’avvio dei lavori. Proprio per questo scopo, cioè garantire “Security and Assurance” a Warp Speed, è nata l’attività combinata del DDS (Defense Digital Service del pentagono), NSA, FBI, CISA, e DHS.
L’obiettivo principale è quello di garantire consulenza, guida e servizi di sicurezza ai colossi farmaceutici coinvolti nella ricerca e sviluppo del vaccino, nella sua manifattura, e nella sua distribuzione.
Si parla di colossi veri e propri del settore, da Johnson & Johnson a Moderna ad AstraZeneca, per quanto riguarda lo sviluppo di vaccini e terapie.
Lo sforzo richiesto per garantire livelli di sicurezza accettabili è enorme, in quanto la superficie di attacco è estremamente vasta: l’intera supply chain dell’operazione Warp Speed composta da centri di ricerca, aziende che produrranno e quelle dovranno distribuire vaccini e terapie sul suolo americano (e oltre) e tutte le loro infrastrutture.
Questo lo ricorda anche Bill Evanina in un suo intervento alla U.S Chamber of Commerce: “Once we identify a vaccine, we have to manufacture that and distribute that. That provides a lot of vulnerabilities for adversaries to infiltrate the supply chain. We have to be able to secure that”.
Questa messa in sicurezza ha già fornito i primi risultati, con l’identificazione nei mesi di luglio e agosto di diversi tentativi, soprattutto da attori state-sponsored russi e cinesi di raccogliere informazioni classificate sullo sviluppo dei vaccini.
Operazione Warp Speed: proteggere l’infrastruttura
Come abbiamo visto, diverse agenzie si stanno occupando della sicurezza di Warp Speed.
Un difetto che quasi tutte queste agenzie hanno in comune è la scarsa familiarità con l’infrastruttura sanitaria.
Generalmente, infatti, la maggior parte degli sforzi legati all’intelligence sono mirati al terrorismo, all’attività militare, o alla proliferazione nucleare.
Gli aspetti legati a salute e sanità sono spesso messi in secondo piano in quanto, fino all’avvento della Covid-19, sono sempre stati fortemente limitati geograficamente a singoli paesi, mai globali, e raramente adiacenti agli Stati Uniti.
La minaccia maggiore, per il momento, sono attacchi informatici mirati a manipolare, cancellare o sottrarre informazioni legate allo sviluppo ed ai trial dei vaccini.
Questo è stato più volte sottolineato da Brett Goldstein, direttore del DDS, che spiega come – ad esempio – siano potenzialmente enormi i danni in caso di manomissione dei dati di un grande trial clinico a doppio cieco.
Si potrebbero falsare risultati e statistiche, vanificando il lavoro di mesi, se non anni di ricerca. In un “worst-case scenario” si potrebbe perfino portare allo sviluppo ed alla distribuzione di vaccini inutili, se non in grado di causare nocumento alla salute.
A grandi linee, il supporto fornito all’operazione Warp Speed è il seguente:
- esperti della neonata CISA vengono assegnati per analizzare potenziali falle e gestire gli incidenti presso le aziende coinvolte nell’operazione ed effettuare analisi post-mortem di potenziali intrusioni e attacchi;
- le agenzie sotto il Dipartimento della Difesa effettuano riunioni giornaliere per monitorare gli sforzi ed il lavoro effettuati;
- vengono effettuati briefing, sia a livello classificato che no, per condividere la threat intelligence con gli attori coinvolti;
- un continuo scanning di qualunque dispositivo connesso ad internet delle compagnie parte dell’operazione.
Un’attenzione particolare è prestata alla sicurezza di Moderna, l’unica azienda che sta conducendo la terza fase dei trial clinici e che è già stata più volta nelle mire di attacchi state-sponsored cinesi.
I limiti della Information Security nella sanità USA
Storicamente l’information security posture media nella sanità degli States è stata più debole rispetto a quella di altri settori (n.d.a.: molte delle successive riflessioni sono applicabili anche all’ambito italiano ed europeo).
Le ragioni di questo non sono spesso tecniche, ma legate ad un’errata concettualizzazione delle minacce e dei rischi.
Principalmente ci sono due assunzioni che impediscono una corretta threat intelligence:
- la confidenzialità dei dati del paziente è la prima (se non unica) preoccupazione dell’information security sanitaria;
- la natura aperta degli studi scientifici sottoposti a peer review rende inutile la confidenzialità degli stessi.
La prima assunzione è comprensibile e condivisibile: la privacy dei dati sanitari è ovviamente di primaria importanza.
Purtroppo, però, questa attenzione verso la sola tutela della confidenzialità del dato sanitario porta – spesso – ad ignorare altri aspetti della triade dell’information security, in particolare quello dell’integrità dei dati. Ad esempio, come scritto poco sopra, i danni causati da una manomissione sistematica dei dati di un trial clinico potrebbero essere colossali.
La pericolosità e fallacia della seconda assunzione sono facilmente spiegabili analizzando una recente dichiarazione in cui Anthony Fauci non si diceva preoccupato degli attacchi mirati a rubare le informazioni legate al vaccino: “What we do is transparent … if they want to hack into a computer and find out results of a vaccine trial … they’re going to hear about it in the New England Journal of Medicine in a few days anyway”.
Questa posizione di Fauci, da un punto di vista di interesse nazionale ed in termini di vantaggio competitivo, è completamente errata.
Un conto è condividere pubblicamente i risultati di una ricerca con gli altri paesi, un conto è lasciare in mano ad un altro paese ogni dettaglio tecnologico e di processo di come si sia raggiunto tale risultato.
La perdita di vantaggio competitivo è critica.
Questa visione limitata della threat intelligence nel mondo sanitario è uno dei principali aspetti su cui la task force sta concentrandosi maggiormente, solo avendo una visione chiara di vulnerabilità, minacce, e rischi si può pianificare una difesa solida.
Operazione Warp Speed: l’attività post-vaccino
La protezione fornita all’operazione Warp Speed non finirà con l’arrivo del vaccino, anzi, continuerà su due fronti ben distinti.
Primo fronte
Se al momento il focus è principalmente sulla sicurezza delle infrastrutture di ricerca e sviluppo, a vaccino ultimato si renderà indispensabile spostare l’attenzione sulla supply-chain di produzione e distribuzione dello stesso.
Secondo fronte
Alcune fonti del Pentagono rivelano come ci sia forte preoccupazione per l’opera di disinformazione continua da parte di Cina e Russia in particolare.
Se questi paesi riuscissero a minare la fiducia degli americani nella sicurezza ed efficacia del vaccino, portando ad una mancata vaccinazione di massa, i danni sarebbero incalcolabili. In primo luogo, perché non si arginerebbe in maniera sufficiente la diffusione del virus, in secondo luogo perché le risorse spese per l’operazione Warp Speed sarebbero, di fatto, sprecate.
Conclusioni
La messa in sicurezza di Warp Speed è uno sforzo colossale che sta impegnando diverse agenzie in maniera costante.
Risulta evidente come il lavoro da svolgere sia complesso ed articolato, data l’enorme superficie di attacco dell’intera supply chain, dalla ricerca e sviluppo, alla produzione, alla distribuzione.
Risulta altresì evidente come l’aver sempre considerato di secondo piano la sicurezza di questa filiera e come una biased threat intelligence abbiano esposto a rischi superiori al necessario.
Speriamo che da questa esperienza i governi, non solo quello Americano, imparino delle lezioni importanti su information security e sanità.
