Un’ANSA di qualche giorno fa dava a rischio “hacker” 745 milioni di pacemaker. Si invitano i pazienti ad aggiornare il proprio firmware.
Sembra una cosa assurda, ma ancora una volta possiamo toccare con mano come la realtà del computer (una volta definita virtuale) diventi la realtà di ogni giorno.
Dick Cheney già nel 2013, su consiglio del proprio medico, si face disabilitare la parte wireless del proprio pacemaker perchè preoccupato del rischio hacker. Una paura giustificata; da recenti studi da parte di ricercatori, si evidenziano debolezze software/hardware di dispositivi medicali in genere. Non si parla solamente di pacemaker, all’appello rispondono defibrillatori, macchine a raggi X, sistemi di refrigerazione e conservazione del sangue e i più disparati attrezzi medicali. Cifratura debole o inesistente, confidenzialità e integrità del dato estremamente a rischio e, in alcuni device, problemi di codice e insicurezza intrinseca relativi a Denial Of Service.. quando, per farla breve, un dispositivo viene bombardato di richieste e smette di funzionare come dovrebbe.
Pericoli reali
Sono passati già alcuni mesi da quando la St.Jude si è accorta delle vulnerabilità in alcune periferiche medicali e quasi un anno da quando Johnson & Johnson avvisò i propri clienti riguardo un security bug in un microinfusore per l’insulina in grado di produrre un’overdose indesiderata. Ci si aspetterebbe che le aziende che producono periferiche medicali avessero imparato qualcosa riguardo alla security, giusto? …Sbagliato.
I ricercatori evidenziano come la necessità di proteggere il paziente dovrebbe essere alla base del dispositivo, per evitare un hack ad un microinfusore e far sì che quest ultimo rilasci dosi fatali. Ma questo non basta. Il problema di fondo si riflette anche a livello di data privacy e di infrastrutture di dati sensibili. Un moderno dispositivo medico si collega sempre più spesso ad una rete di sensori e di calcolatori rendendo il tutto potenzialmente più interessante per un attaccante, specie se parliamo di grandi strutture ospedaliere interconnesse tra loro. Con un po’ di immaginazione, ma non troppa, possiamo immaginare un furto di dati medici sensibili oppure attacchi di tipo ransomware che potrebbero tenere in ostaggio sistemi letteralmente vitali fino al pagamento di un riscatto.
Ma di cosa stiamo parlando ?
Parliamo di apparecchi medici con alcune caratteristiche precise, ad esempio una qualche forma di connettività wireless o NFC utile per la calibrazione o l’impostazione di alcuni parametri o il monitoraggio remoto senza necessità di tecniche invasive. Chiaramente la tecnologia sotto questo punto di vista apre a degli scenari incredibili dal punto di vista medico, un po’ meno dal punto di vista della security dato che ogni connettività è potenzialmente un punto di esposizione. E se nel vecchio continente, questo scenario inizia solamente oggi ad essere di attualità, in America Zigbox ha calcolato che mediamente negli ospedali americani per ogni letto si possono trovare dai 10 ai 15 apparecchi medici interconnessi. Se prendiamo ad esempio il Jackson Memorial di Miami, un ospedale con oltre 1750 letti, i punti vulnerabili sono davvero moltissimi.
Qualche numero
Ma proviamo a dare qualche numero e qualche dato. Shodan riporta qualcosa come 36.000 apparecchi legati ad attività medica direttamente esposti sulla rete, sì Internet, avete capito bene. Si trova di tutto, dalle stampanti per le etichette di provette, a veri e propri sistemi EHR (Electronic Health Records). Di questi il 3% monta ancora Windows XP, il resto è apparecchio o IoT. Se però su PC e Server una qualche forma di software antivirus è possibile averla, quando parliamo di IoT tutto diventa più fumoso e ancora meno chiaro. Quanti di noi immaginano una TAC o una macchina per la Risonanza Magnetica utilizzabile come punto di ingresso e di attacco per un “attacco” in scala più vasta? E questi attacchi si evolvono, mentre i macchinari no? Una macchina per le TAC di tipo ospedaliero costa circa 1,5 milioni di euro e dura mediamente 10 anni. Lecito quindi pensare che a distanza di anni, se il produttore del macchinario non effettua aggiornamenti, la TAC potrebbe ancora utilizzare Windows server 2003 o Windows XP o software obsoleto e insicuro.
Obsoleto, mon amour
Ecco che quindi diventa ancora più interessante per un attaccante scegliere queste piattaforme obsolete per far partire altri attacchi. Ricordiamo che l’ultimo attacco Ransomware in Inghilterra all’NHS aveva avuto come effetto il fatto che i pazienti non potessero più essere ricoverati. Lo scorso anno l’Hollywood Prestyterian Media Center era stato messo in ginocchio per oltre una settimana da un ransomware costringendo gli impiegati a tornare alla carta e ai fax al posto della mail e del pc. Nessun problema? mica tanto, l’efficacia di tenere fermi i dati o i sistemi ospedalieri per un riscatto risiede proprio nella necessità di riprendere il controllo. Gli ospedali attaccati hanno dovuto far fronte non solo al pagamento di un riscatto, ma hanno dovuto allocare risorse per mantenere in vita i propri pazienti senza l’ausilio dei computer.
I problemi dell’IOT che ritornano
Esattamente come altre periferiche legate al mondo dell’ IoT anche qui ci sono principalmente due aspetti per sistemare questo incubo della security legata agli apparati. Innanzitutto gli apparecchi medici che sono sul mercato da anni (apparecchi di monitoraggio) necessitano di essere protetti e difesi. Inserire scansioni di sicurezza e meccanismi semplici ed efficaci per gestire ed effettuare patch e aggiornamenti sembra un buon punto di partenza. Guardando un po’ più in là, ci dovranno essere degli incentivi per le future generazioni di apparecchi per poter includere sia dalla progettazione dei sistemi di protezione più robusti.
Normative in USA e in Europa – come siamo messi ?
Ancora troppi produttori ignorano la parte di security in fase di progettazione e la relegano come un componente secondario, l’esigenza pricipale è far sì che l’oggetto funzioni. In America l’FDA (Food and Drug Administration) ha iniziato a controllare e valutare la cybersecurity come un criterio di approvazione. Anche il NIST sta lavorando a revisioni sugli standard e sull’approccio fondamentale di sviluppo in ottica di cybersecurity.
Sembrano solamente raccomandazioni ma non è proprio così, in realtà in America l’FDA potrebbe già non approvare la messa sul mercato di dispositivi medici che non rispondono agli standard di cybersecurity. E per l’europa ? Diciamo che fino a pochissimo tempo fa non c’era nulla di specifico. Esiste l’EN 62304 che è uno standard che specifica i requisiti del ciclo di vita per lo sviluppo di software medico e software all’interno di dispositivi medici. Nel 2012 partì il progetto “eHealth Action Plan” e sino al 2014 trovavamo sfortunatamente solo delle linee guida generiche e arriviamo al maggio 2017. L’europa il 5 aprile 2017 ha approvato MDR e IVDR nel quale sancisce che i produttori di dispositivi medici avranno tempo fino al 2020 per adeguarsi alle nuove normative, tra cui misure minime di sicurezza informatica. Un piccolo passo verso una percezione della cybersecurity che prende realmente in considerazione l’aspetto tangibile di questo genere di minacce.