I dispositivi medici connessi a internet possono fornire trattamenti salvavita, come la somministrazione di farmaci, la regolazione del battito cardiaco e il monitoraggio della pressione sanguigna. Nonostante tutto, la connessione internet può esporre i dispositivi a minacce informatiche e aumentare il rischio di danni ai pazienti interrompendo o degradando le prestazioni dei dispositivi stessi. Le ultime statistiche indicano che una volta su tre si è trattato di un ransomware, questo significa che sono riusciti a entrare e colpire un dispositivo della struttura bloccandone il funzionamento.

In molti si chiedono come mai questi dispositivi vengono presi di mira.

Bene. Partiamo dal fatto che nel più del novanta percento dei casi si tratta di vere e proprie organizzazioni criminali e quindi orientate soprattutto al profitto. Quindi i dispositivi medici vengono presi di mira per molte ragioni, incluso il loro utilizzo come vettore per accedere ai sistemi sanitari, raccogliere i dati memorizzati sui dispositivi o ottenere informazioni sulla tecnologia brevettata. I dispositivi contengono informazioni sanitarie sensibili e spesso si collegano a reti e sistemi di organizzazioni sanitarie che contengono dati finanziari e di ricerca, dal notevole valore. Queste informazioni sono quindi preziose e possono essere utilizzate per commettere crimini informatici o vendute per un uso inappropriato.

Vediamo ora come può essere fatto.

Il black hat può compromettere i dispositivi medici connessi, inclusi i dispositivi indossabili e quelli che eseguono il monitoraggio. Alcuni esempi di come i dispositivi medici possono essere presi di mira:

  • Le capacità di controllo remoto, come quelle che si trovano nelle pompe per insulina, possono essere compromesse per ottenere il controllo dei dispositivi.
  • Le funzionalità di comunicazione wireless utilizzate per trasmettere i dati agli operatori sanitari, come quelle presenti nei pacemaker e nei defibrillatori cardiaci impiantabili, possono essere utilizzate per accedere ai dispositivi e ai dati archiviati.
  • Anche i dispositivi con software o firmware obsoleti, come la scansione radiologica e le macchine per la risonanza magnetica, possono essere manipolati per scopi dannosi.
  • Le reti delle organizzazioni sanitarie possono essere compromesse anche tramite dispositivi medici connessi o tramite meccanismi di attacco informatico più tradizionali.
  • I dispositivi medici con controlli di accesso deboli, credenziali semplici o con nessun fattore di autenticazione possono essere compromessi.

Quali sono gli impatti.

Gli attacchi informatici ai dispositivi medici possono avere conseguenze devastanti, compreso il rischio per la vita dei pazienti. I produttori, le organizzazioni sanitarie, i fornitori di servizi cloud e i pazienti dovrebbero comprendere i rischi associati a questi dispositivi e le misure necessarie per mantenerli al sicuro.

  • Produttori di dispositivi

I produttori dovrebbero condurre valutazioni del rischio.  La mancata esecuzione di queste valutazioni potrebbe e dovrebbe impedirti di ottenere una licenza per commercializzare il dispositivo. Una volta sul mercato, i produttori devono essere responsabili del monitoraggio e della mitigazione dei potenziali rischi per la sicurezza e della fornitura di manutenzione e aggiornamenti regolari per correggere le vulnerabilità durante l’intero ciclo di vita dei dispositivi. La mancata mitigazione di questi rischi potrebbe comportare problemi legali.

  • Fornitori di servizi cloud (CSP)

I CSP sono responsabili dell’accessibilità, dell’integrità e della sicurezza dei dati archiviati sulle loro piattaforme. La trasmissione dei dati dai dispositivi alle piattaforme cloud o al software dovrebbe essere sicura e rimanere conforme alla legislazione sulla privacy. In caso contrario, potrebbero verificarsi violazioni dei dati e quindi azioni legali.

  • Le organizzazioni sanitarie

Le organizzazioni sanitarie devono esercitare la dovuta diligenza quando acquistano dispositivi medici, collaborando a stretto contatto con il proprio gruppo IT e di sicurezza informatica. Gli attacchi informatici e i virus potrebbero prendere di mira un’intera rete sanitaria, compromettendo potenzialmente dati clinici e brevetti. Assicurati inoltre che i dispositivi acquistati dispongano di un supporto a lungo termine, comprese patch software e soluzioni per le vulnerabilità.

  • Pazienti

La salute dei pazienti può essere direttamente influenzata dagli attacchi informatici ai dispositivi medici, come i dispositivi indossabili e i dispositivi di monitoraggio della salute domestica. I dispositivi compromessi possono influire sulla funzionalità del dispositivo, sui dati segnalati agli operatori sanitari e sulle notifiche urgenti o di emergenza. Quindi va da sé che i pazienti devono essere avvisati e informati sui rischi, per meglio aiutare in caso di attacco.

Come posso proteggere la mia organizzazione.

Credo che la protezione dei dispositivi medici sia una responsabilità condivisa tra il produttore, l’organizzazione sanitaria e il paziente. Poiché molti dispositivi sono ora basati sul cloud e vi sono interdipendenze di sicurezza tra i dispositivi medici e le reti a cui si connettono, anche i fornitori di servizi cloud sono quindi responsabili della sicurezza di questi dispositivi. Ho cercato di racchiudere in una tabella le raccomandazioni per gli attori principali.

Raccomandazioni per produttori Raccomandazioni per le organizzazioni sanitarie
Gestire i rischi: sviluppa un processo di gestione dei rischi per la sicurezza informatica in parallelo con i tradizionali processi di gestione dei rischi dei dispositivi. Poiché un rischio viene mitigato in un processo, è necessario considerare anche l’effetto della mitigazione sull’altro processo. Ad esempio, l’aggiunta di una connessione di rete a un dispositivo senza controlli di sicurezza potrebbe non influire sulla sicurezza fisica, ma potrebbe fungere da vettore per gli attori delle minacce informatiche.  

Proteggi il tuo perimetro: adotta misure di sicurezza, come l’installazione di firewalls, software antivirus e antimalware su tutte le tue reti (UTM). Segmenta la tua rete e considera le reti ufficio, ospiti e operative (DMZ).
Proteggi i progetti: inserisci controlli di sicurezza informatica nella fase di progettazione del tuo processo di sviluppo. Prendere in considerazione un’opzione di esclusione manuale per i dispositivi in ​​caso di minacce alla sicurezza del paziente. Le scelte progettuali dovrebbero massimizzare la sicurezza informatica senza ostacolare gli aspetti di sicurezza del dispositivo. Sviluppa un piano del ciclo di vita per i tuoi dispositivi per assicurarti di poter supportare le organizzazioni, aggiornare e correggere le vulnerabilità e disattivare i dispositivi obsoleti o obsoleti. Proteggi i dispositivi: proteggi i tuoi sistemi e dispositivi con passphrase o password complesse. Utilizza una passphrase o una password diversa per ogni dispositivo e account. Proteggi i tuoi account e dispositivi con l’autenticazione a più fattori (MFA). Con MFA abilitato, sono necessari due o più fattori di autenticazione diversi per sbloccare un dispositivo o accedere a un account. Considera anche la crittografia dei tuoi dispositivi, in particolare quelli che contengono o accedono a informazioni sensibili. Infine, applica patch e aggiornamenti non appena disponibili per garantire che i tuoi sistemi operativi siano aggiornati.
Verifica i dispositivi: testa i tuoi dispositivi per assicurarti che il comportamento e le prestazioni soddisfino i requisiti di progettazione. Conduci test di sicurezza informatica, come test di penetrazione e scansioni di vulnerabilità, che dimostrano accuratamente che il dispositivo soddisfa i requisiti di sicurezza informatica. Sviluppa la tua struttura: stabilisci politiche e procedure di sicurezza per proteggere i tuoi dati e disciplinarne l’uso. Considera il principio del privilegio minimo: fornisci agli individui solo l’insieme dei privilegi di accesso che sono essenziali per eseguire attività autorizzate.
Monitora i dispositivi: traccia e segnala qualsiasi vulnerabilità che potrebbe avere un impatto sul dispositivo medico. Fornisci regolarmente patch e aggiornamenti per garantire che i tuoi dispositivi siano sicuri e privi di vulnerabilità sfruttabili. Considerare l’implementazione di un meccanismo di aggiornamento del software nel dispositivo durante la fase di progettazione. Stabilire una cultura della sicurezza. Ovvero come suggerisce il mio credo “si vis pacem, para bellum”, per affermare che uno dei mezzi più efficaci per assicurare la pace è quello di essere armati e in grado di difendersi.

Fornire formazione sulla sicurezza informatica e sulla privacy al personale, educando gli utenti sulle minacce informatiche che possono avere un impatto sui dispositivi medici. Sottolinea il fatto che ogni membro della tua organizzazione è responsabile della protezione delle informazioni sensibili. Il fattore umano è ancora molto importante quando si parla di sicurezza informatica.
Proteggi le piattaforme: implementa i necessari controlli di sicurezza e privacy sulle tue piattaforme cloud o software locale per garantire che i dati e i dispositivi dei clienti siano protetti. Ad esempio, assicurati di disporre di un solido processo di backup e applica MFA a tutti i sistemi e le applicazioni per garantire l’integrità e la sicurezza dei dati. Un compromesso nell’infrastruttura cloud potrebbe causare l’infezione dei dispositivi o delle loro reti. Gestisci le tue risorse: esegui il backup delle tue informazioni su un sito di archiviazione sicuro (ad esempio un disco rigido esterno, nas interni, backup basato su cloud o che non è connesso alla rete. Se possibile, ritira i dispositivi non supportati. I dispositivi non supportati non ricevono più patch e aggiornamenti dai fornitori e sono vulnerabili alle minacce informatiche.

Si parla soprattutto di aumentare l’investimento in cybersecurity per i sistemi sanitari ma adeguare i sistemi può richiedere diversi anni, formare dei professionisti, creare dei nuovi standard e creare una cultura della sicurezza nella popolazione aziendale è un impegno. Un virus biologico può impiegare qualche mese per scatenare una pandemia, ma un attacco informatico può creare una guerra in meno tempo.