Sebbene il costo medio di una violazione di dati nel 2021 abbia superato i 9 milioni di dollari, per l’industria sanitaria è difficile prevedere e determinare con precisione l’impatto di un attacco cyber-fisico diffuso. Tra conflitti informatici su scala internazionale e attori malevoli sempre in agguato, il governo degli Stati Uniti ha iniziato a far luce su una problematica in espansione.
Nonostante l’ascesa dei ransomware, molti stakeholder del settore sanitario ignorano i rischi fisici e di security associati all’Operational Technology in sanità, all’Internet of Medical Things (IoMT) e ai componenti digitali utilizzati per le operation e il facility management.
L’assistenza medica si è digitalizzata: dai registri aziendali ai dati dei pazienti e alla diagnostica, dalla calendarizzazione degli appuntamenti al monitoraggio dei trattamenti, dalle prescrizioni ai pagamenti, fino alla gestione di ospedali e strutture mediche. C’è solo un tema che accomuna questa varietà di tecnologie, dispositivi e strutture, quando si parla di minacce informatiche: la confusione.
Spesso adottata senza un adeguamento dei criteri di sicurezza, l’integrazione di molti endpoint connessi in un singolo punto di accesso si traduce in un trade-off tra facilità di implementazione delle tecnologie e risorse necessarie a proteggerle. Le responsabilità di comprendere e mitigare i rischi informatici nel settore sanitario sono difficili da attribuire e spesso variano da persona a persona, soprattutto quando entrano in gioco sistemi e dispositivi non aziendali.
Cyber security in sanità, all’ospedale di Careggi a Firenze gira ancora Windows XP
Gli IoMT rappresentano un perfetto “specchio bidirezionale” per osservare le reti e le attività delle imprese med-tech e sanitarie senza essere visti. Le password e le credenziali hardcoded sono facilmente prese di mira, si verificano hijack di interfacce utente dei produttori, i processi di change management vengono aggirati e le vulnerabilità continuano a colpire diffusamente migliaia di dispositivi in tutto il mondo.
Le operation technology mediche, le tecnologie IoMT e i sistemi delle strutture sanitarie comprendono un’ampia gamma di macchine e configurazioni, tra cui apparati di diagnostica (come quelli per l’anestesia) e monitoraggio dei pazienti (come i monitor a bordo letto), device per l’imaging medico, pompe per l’insulina e per i fluidi, ventilatori e un numero crescente di sensori, telecamere, dispositivi wearable e di analytics che abilitano o segnalano lo stato di apparecchiature, processi e operazioni.
I problemi di cyber security per l’assistenza sanitaria sono molteplici, a partire da tecnologie vulnerabili, progettate senza tenere conto della sicurezza, dispositivi connessi a reti internet utilizzati per l’assistenza diretta ai pazienti, edifici intelligenti e strutture automatizzate.
Come osserva l’FDA, “la mancanza di disposizioni di cyber security che coprano tutto il ciclo di vita dei dispositivi medici può comprometterne le funzionalità, comportare la perdita di dati medici o personali, minacciarne l’integrità o facilitare la diffusione di minacce di sicurezza anche verso altri dispositivi o reti connesse, arrivando a provocare ritardi nei trattamenti o impatti nocivi sulle disponibilità e funzionalità di dispositivi medici, che possono in ultima istanza danneggiare i pazienti, provocando malattie e lesioni, fino alla morte”.
Indice degli argomenti
Tecnologie legacy nel sistema sanitario
In sanità le tecnologie legacy sono onnipresenti, costose da sostituire e potenzialmente sfruttabili all’interno di tattiche di cyber-attacco ben note ed elenchi pubblici di falle e vulnerabilità (Common Vulnerabilities and Exposures, CVE).
Molti sistemi sono basati su software obsoleti come Windows XP e Windows 7 e dispongono di meccanismi limitati per l’applicazione di patch e aggiornamenti critici in ambienti ampiamente distribuiti e non gestiti. Risorse inadeguate e personale non formato limitano la capacità di tracciare, proteggere e rafforzare con continuità ogni singolo componente dei sistemi legacy in uso.
A livello di sistema, i produttori sono responsabili della sicurezza dei prodotti, della manutenzione del ciclo di vita, della divulgazione delle vulnerabilità e della creazione e diffusione di patch e aggiornamenti per proteggere in via continuativa i dispositivi e le tecnologie che producono.
Gli utenti finali, allo stesso tempo, sono responsabili di monitoraggio e risoluzione delle vulnerabilità scoperte, abilitazione delle funzioni di sicurezza, protezione dei dati in transito e a riposo e implementazione di soluzioni per monitorare le tecnologie e le reti su cui opera l’organizzazione. Inoltre, va tenuto conto che, nell’eventualità di un attacco, la maggior parte dei team e delle strutture sanitarie non è preparata a ricorrere a operazioni manuali per troppo tempo.
Sanità italiana sotto attacco cyber: ecco come reagire all’emergenza
I rischi dell’Internet of Medical Devices (IoMT)
Secondo la Food and Drug Administration, gli Stati Uniti amministrano quasi 200.000 dispositivi medici prodotti da oltre 18.000 aziende da tutto il mondo. Per dispositivi medici intelligenti e connessi si intendono sia interfacce utente (per i pazienti e gli operatori sanitari) sia sistemi di comunicazione machine-to-machine che sfruttano la connessione di rete.
I rischi legati a questi dispositivi, spesso dotati di connessione a Internet, sono associati ad accessi non autorizzati, hijack delle interfacce di login per aggirare l’autenticazione tramite password, attacchi DDoS (Distributed Denial of Service) e protezione ridotta delle informazioni sensibili dei pazienti.
La principale superficie di attacco per i dispositivi IoMT sono le credenziali predefinite su SSH. Quando un sistema viene preso di mira, il veicolo di attacco, in genere un altro dispositivo IoT infetto, effettua in media quaranta tentativi di password per un numero molto limitato di nomi utente. Altre superfici di attacco comuni di questi dispositivi includono UPnP, HTTPS e i pacchetti sottostanti di java con le varie modifiche del codice sorgente.
Questi sistemi e varianti tendono a rimanere senza patch anche molto tempo dopo che queste vengono rilasciate, perché la maggior parte dei dispositivi IoT è headless (senza interfaccia utente) e non è predisposta agli aggiornamenti automatici senza che l’utente finale abbia prima accettato le condizioni contenute nelle dichiarazioni di rischio dei contratti di licenza.
Strutture sanitarie connesse e intelligenti
Nelle operation e negli edifici sanitari è in corso una massiccia digitalizzazione delle componenti di sistemi di controllo non informatici: allarmi antincendio, sistemi di sospensione, elettrici e di illuminazione, sistemi di misurazione, stazioni di ricarica per veicoli, sistemi di controllo accessi con chiave intelligente.
Una volta centralizzati i comandi, le aziende spesso ricorrono a soluzioni di automazione degli edifici (BAS) che consentono di collegare e automatizzare il controllo di tutte le attività. Le falle di sicurezza nei BAS possono diventare dei bersagli per l’accesso a credenziali, reti, VPN e dati sensibili.
Se i cybercriminali dovessero assumere il controllo di uno o più dispositivi, potrebbero quindi avere la possibilità di coordinare attacchi più o meno diffusi a seconda del livello di connettività.
In ambito sanitario, la sicurezza informatica per le operation e gli edifici assume sicuramente una rilevanza maggiore, vista la presenza di soggetti vulnerabili e la necessità di muovere risorse, attrezzature e personale in sicurezza. Per le organizzazioni che operano da remoto e privatizzate possono sorgere maggiori difficoltà a reperire e mantenere le risorse di cyber security.
Le grandi aziende e i fornitori, infatti, devono gestire campus enormi, alcuni equivalenti a piccole città, che servono milioni di pazienti ogni anno e impiegano decine di migliaia di persone. L’elusione dei sistemi di controllo degli edifici, dei servizi e della security può avere un forte impatto sull’assistenza ai pazienti, sulla loro sicurezza e su quella degli operatori.
Il National Cyber Director degli Stati Uniti ha evidenziato come la security per il settore sanitario sia una priorità: per questa ragione, le imprese pioniere nell’adozione di pratiche di security olistiche hanno il compito di tracciare la strada per tutti.
Una possibile via d’uscita
Anche quando tecnologie mediche tradizionali, dispositivi IoMT e sistemi tecnologici delle strutture sanitarie non sono il principale bersaglio di un attacco informatico, l’impatto che si genera a cascata potrebbe renderli inutilizzabili, con conseguenti ritardi nelle cure e potenziali danni sia per i pazienti che per i fornitori.
Se il danno è ai sistemi IT aziendali, spesso si resta isolati dal resto della rete. Se invece intacca i sistemi operativi, possono verificarsi danni a persone e proprietà.
Questo modus operandi si traduce spesso in una dicotomia tra adozione di framework di risk management e incident reporting. È tra questi due filoni che gli incidenti di security si insinuano e continuano a verificarsi. In questo contesto, sorge quindi una domanda: la divisione IT e quella di facility management sono consapevoli di tutto ciò che è connesso alle reti di comunicazione e delle potenzialità di sfruttamento legate a sistemi legacy, dispositivi IoMT, reti e sistemi di controllo?
Gli ospedali e i fornitori di servizi sanitari dipendono ormai enormemente dalle tecnologie ed è impensabile che le operazioni manuali possano ricoprire lo stesso peso. Per questo, c’è un crescente impegno a ridurre i rischi di cyber security, per garantire la conformità ai requisiti normativi in rapida evoluzione e per ottenere visibilità sulla connettività, sul traffico e sulle anomalie associate al comportamento della rete.
Data l’entità di rischi potenziali, la trasparenza è fondamentale. Una soluzione di cyber security appositamente concepita per l’operational technology e l’IoMT deve dunque essere in grado di:
- Acquisire e visualizzare un panorama di decine o centinaia di migliaia di sistemi ed endpoint connessi.
- Monitorare e verificare il traffico di rete in tempo reale, includendo anche i sistemi non IT.
- Definire una linea d’azione di base e apprendere costantemente lo stato di cybersecurity di un’organizzazione.
- Fornire informazioni utili per affrontare i problemi più critici.
- Limitare l’accesso di terzi e avvisare in caso di modifiche ai comportamenti o alle variabili di rete.
- Rafforzare le policy di sicurezza di un’organizzazione senza lacune o connettività shadow.
