Al giorno d’oggi il costo medio di un data breach è stimato in 4,54 milioni di dollari che addirittura raddoppiano negli Stati Uniti, il paese che registra il valore in assoluto più alto. Il calcolo si complica se si osservano i cyber attacchi perpetuati al settore sanitario, in quanto comprendere il costo reale richiede una valutazione piuttosto complessa e basata su aspetti non per forza definiti in modo preciso.
Nonostante la crescente rilevanza mediatica dei ransomware, molti stakeholder del settore non comprendono appieno i rischi cyber-fisici relativi a med-tech, Internet of Medical Things (IoMT) e ai componenti digitali responsabili della gestione di tutte le infrastrutture.
Il settore sanitario si è ormai digitalizzato, dai registri aziendali ai dati dei pazienti e alla diagnostica, alla programmazione, al trattamento, alle prescrizioni, ai pagamenti, alle strutture e altro ancora.
Questa trasformazione digitale rappresenta un terreno fertile per tutti i criminal hacker, perché la digitalizzazione viene spesso introdotta senza un allineamento dei criteri di sicurezza, connettendo molti endpoint all’interno di un unico pannello di controllo.
Questi passaggi si traducono in un compromesso di tecnologie facili da implementare ma difficili da proteggere.
Gli IoMT rappresentano una struttura bidirezionale che offre una finestra per colpire la rete, i med-tech e le attività e sanitarie. Vengono prese di mira password e credenziali hardcoded, si dirottano le interfacce utente dei produttori, i processi di gestione delle modifiche vengono aggirati e le vulnerabilità aprono la strada a possibili danni in migliaia di dispositivi in tutto il mondo.
Le tecnologie mediche operative, l’IoMT e i sistemi delle strutture comprendono un’ampia gamma di macchine e configurazioni, tra cui sistemi per diagnostica e monitoraggio dei pazienti, come le macchine per l’anestesia e i monitor a bordo letto, apparecchiature per l’imaging medico, pompe per l’insulina e i fluidi, ventilatori e un elenco crescente di sensori, telecamere, dispositivi indossabili e analisi che consentono o segnalano lo stato delle apparecchiature, dei processi e delle operazioni.
I problemi di cyber security che interessano l’assistenza sanitaria sono molteplici e comprendono tecnologie che risultano essere vulnerabili e progettate senza tener conto della sicurezza, come dispositivi connessi a Internet utilizzati direttamente per l’assistenza ai pazienti, smart building e automation room.
Come ha giustamente osservato la Food and Drug Administration (FDA), lo scarso interesse e attenzione nei confronti della cyber sicurezza può comportare la presenza di funzionalità compromesse, perdita di dati medici o personali, integrità dei dati inadeguata o diffusione di minacce alla sicurezza ad altri dispositivi o reti collegati, provocando danni ai pazienti quali malattie, lesioni o morte a causa di ritardi nei trattamenti o altri impatti sulla disponibilità e la funzionalità dei vari dispositivi medici.
AAA cercasi architettura zero-trust per i dispositivi medici
Indice degli argomenti
L’aspetto tradizionale della tecnologia medica
Le tecnologie tradizionali nel settore sanitario sono onnipresenti, costose da sostituire e vulnerabili agli attacchi informatici e dalle cosiddette common vulnerabilitie and exposure (CVE) divulgate pubblicamente. Molte di esse utilizzano ancora software obsoleti come Windows XP e Windows 7 e dispongono di meccanismi limitati per l’implementazione di patch e aggiornamenti. Le risorse e il personale riducono la capacità di tracciare, proteggere e fortificare continuamente ogni singolo componente della med-tech in uso oggi.
Ad alto livello, i produttori sono responsabili della sicurezza delle loro soluzioni, della manutenzione del ciclo di vita, della divulgazione delle vulnerabilità e della creazione e diffusione di patch e aggiornamenti disponibili per proteggere costantemente i dispositivi e le tecnologie che progettano.
Allo stesso tempo, gli utenti finali sono responsabili del monitoraggio e della risoluzione delle vulnerabilità scoperte, dell’abilitazione delle funzioni di sicurezza, della protezione dei dati in transito e a riposo e dell’implementazione di soluzioni per lo screening delle tecnologie e delle reti operanti all’interno della loro organizzazione.
Parallelamente, la maggior parte dei team e delle sedi non è disposta ad abbandonare la tecnologia e tornare alle operazioni manuali.
Internet of Medical Devices (IoMT)
Nel caso statunitense, secondo la FDA, gli Stati Uniti regolamentano quasi 200.000 dispositivi medici prodotti da oltre 18.000 aziende a livello globale. Gli IoMT comprendono sia interfacce utente (per pazienti e operatori sanitari) sia comunicazioni da macchina a macchina attraverso la connettività di rete.
Questi dispositivi, spesso in grado di connettersi a Internet, presentano rischi associati ad accessi non autorizzati, dirottamento delle interfacce di login per aggirare l’autenticazione con password, attacchi DDoS (Distributed Denial of Service) e protezioni limitate per le informazioni sensibili dei pazienti.
La principale superficie di attacco per i dispositivi IoMT sono le credenziali predefinite su SSH. Quando un sistema viene preso di mira, l’aggressore, in genere un altro dispositivo IoT infetto, tenterà in media quaranta password per una manciata di nomi utente. Altre superfici di attacco comuni di questi dispositivi includono UPnP, HTTPS e i pacchetti sottostanti di java e varie modifiche del codice sorgente.
Questi sistemi e varianti tendono a rimanere senza patch anche molto tempo dopo il rilascio di un aggiornamento, poiché la maggior parte dei dispositivi IoT sono headless (senza interfaccia utente) e non sono predisposti per gli aggiornamenti automatici senza che l’utente accetti una dichiarazione basata sul rischio all’interno dei contratti di licenza.
Strutture smart e connesse
Le operazioni e le strutture mediche e sanitarie continuano a digitalizzare i componenti dei sistemi di controllo non informatici: allarmi e sospensioni antincendio, sistemi elettrici e di illuminazione, sistemi di misurazione, stazioni di ricarica per veicoli, controlli degli accessi con chiave.
Quando i controlli sono centralizzati, le aziende spesso impiegano soluzioni di automazione degli edifici per collegare e automatizzare il controllo di queste diverse funzioni.
Le falle di sicurezza nei BAS possono essere prese di mira per ottenere l’accesso a credenziali, reti e VPN e dati sensibili.
In una recente ricerca nel settore degli Smart Building, Nozomi Networks ha rilevato 361 protocolli non sicuri in uso, 259 vulnerabilità aperte dei dispositivi e 37 password in chiaro (non criptate).
Se gli hacker riescono ad assumere il controllo di uno o più dispositivi, possono coordinare attacchi più diffusi a seconda del livello di connettività.
La sicurezza informatica per le operazioni e le strutture è probabilmente più importante all’interno dell’ambiente ospedaliero, dove vi sono persone fragili e dove è essenziale assicurare un passaggio sicuro di risorse, attrezzature e personale. Le operazioni remote e privatizzate possono avere difficoltà a trovare e garantire la cybersicurezza delle infrastrutture.
Le grandi aziende e i fornitori devono gestire infrastrutture enormi, alcune equivalenti a piccole città, che ospitano milioni di pazienti ogni anno e dove lavorano decine di migliaia di persone. L’elusione dei sistemi di controllo degli edifici, dei servizi e della sicurezza può avere un forte impatto sull’assistenza ai pazienti e sulla loro sicurezza e quella degli operatori.
Cyber security in sanità, all’ospedale di Careggi a Firenze gira ancora Windows XP
Una via per il futuro
Se le med-tech, i dispositivi IoMT e le strutture non sono l’obiettivo primario di un incidente informatico, l’effetto domino successivo potrebbe renderli inutilizzabili, con conseguenti ritardi nelle cure e danni sia per i pazienti che per i fornitori.
Quando i sistemi IT aziendali si guastano, spesso sono isolati dal resto della rete. Invece, quando i sistemi operativi si danneggiano, l’impatto può essere di tipo patrimoniale e incidentale.
Questo modus operandi si traduce spesso in una dicotomia tra framework di gestione del rischio e segnalazione degli incidenti. All’interno di questa bipartizione, gli incidenti di sicurezza continuano a verificarsi.
Questo scenario pone una domanda: i team IT sono a conoscenza di cosa sia connesso alle reti di comunicazione e dei rischi di una loro compromissione?
Data la grande dipendenza dalla tecnologia e il rifiuto al ritorno alle operazioni manuali, ospedali e fornitori di servizi sanitari stanno riducendo i rischi di cyber security, garantendo la conformità ai requisiti normativi in rapida evoluzione e lavorando per ottenere visibilità sulla connettività, sul traffico e sulle anomalie associate al comportamento della rete.
Con l’entità dei rischi potenziali, la trasparenza è fondamentale. Una soluzione di cyber sicurezza appositamente concepita per la tecnologia operativa e l’IoMT deve essere in grado di:
- acquisire e visualizzare un panorama di decine o centinaia di migliaia di sistemi ed endpoint connessi;
- monitorare e verificare il traffico di rete in tempo reale, comprendendo anche i sistemi non IT;
- baseline e comprensione continua dello stato di cyber security di un’organizzazione;
- fornire informazioni utili per affrontare i problemi più critici;
- imitare l’accesso di terzi e segnalare le modifiche ai comportamenti o alle variabili della rete;
- rafforzare la politica di sicurezza di un’organizzazione garantendo assenza di lacune o di connessioni ombra.
