Recentemente, una fuga di dati che ha coinvolto l’azienda Community Health Systems ha reso evidente il rischio reale che riguarda gli apparecchi medicali connessi a Internet: alcuni hacker cinesi, infatti, sarebbero riusciti ad appropriarsi di informazioni sensibili di circa 4,5 milioni di persone.
La parola Heartbleed vi dice qualcosa?
All’inizio di quest’anno era comparsa una vulnerabilità molto grave di OpenSSL, battezzata con il nome Heartbleed. Ha interessato oltre il 60% di Internet in un sol colpo e, in teoria, darebbe ai cybercriminali la possibilià di ottenere determinate informazioni durante la connessione client-server. Il caso Community Health Systems sarebbe il primo, vero attacco che abbia sfruttato questa vulnerabilità (o almeno di cui si è a conoscenza) perpetrato dai cybercriminali per guadagno personale. In particolare, gli hacker hanno sviluppato un exploit che ha consentito loro, mediante Heartbleed, di ottenere le credenziali d’accesso degli utenti di Community Health Systems.
Chi sono le vittime? Come è potuto accadere?
Questa falla ha messo a repentaglio la sicurezza dei dati (non bancari e non riguardanti le condizioni di salute) di 4, 5 milioni di pazienti che si sono rivolti o hanno ottenuto prestazioni da Community Health Systems negli ultimi cinque anni. Sono stati rubati i numeri della previdenza sociale dei pazienti e ovviamente si tratta di un incidente molto pericoloso. Inoltre, i cybercriminali sono riusciti ad ottenere il nome, l’indirizzo e la data di nascita dei pazienti e, in alcuni casi, anche il luogo di lavoro o il numero di telefono.
Si pensa che, in realtà, i cybercriminali non puntassero ai dati dei pazienti ma stavano utilizzando una campagna APT per colpire l’azienda. Di fatto diversi esperti, tra cui quelli della compagnia di sicurezza Crowdstrike, hanno affermato che i cybercriminali probabilmente cercavano di soffiare informazioni su alcuni apparecchi medicali da impiegare per la cura della popolazione in graduale invecchiamento della Repubblica Popolare Cinese. Da questo punto di vista, la campagna “APT 18” (conosciuta anche come “Dynamite Panda”) non ha dato i risultati sperati. E ora non sappiamo che cosa faranno di tutti questi dati sensibili.
Un problema più vasto
Il problema della fuga di dati dei pazienti è presente già da qualche tempo e la situazione di certo non migliorerà. Ecco perché.
Quando parliamo di sicurezza nella gestione dei dati in ambito sanitario, spesso propendiamo per storie estreme che sconfinano nei film di spionaggio: possibilità di hackerare microinfusori di insulina e pacemaker, serial killer che fanno il loro mestiere con computer alla mano. Per fortuna di coloro che hanno impiantati questi dispositivi, la possibilità che ciò avvenga (come abbiamo potuto apprendere durante la conferenza Black Hat) è praticamente nulla. Jay Radcliffe, esperto di sicurezza di Rapid7, ha dichiarato che gli apparacchi medicali di questo tipo fanno del bene e il pericolo che la tecnologia si rivolti contro è molto, molto bassa.
Il problema, al giorno d’oggi, è a livello organizzativo, e lo sarà sempre di più. Come ha sottolineato anche Radcliffe, lo scenario più probabile che interessa gli apparecchi medicali riguarda la possibilità per il paziente di non ricevere le cure adeguate o dosaggi di medicinali sbagliati se dovessero essere modificate dall’esterno le cartelle cliniche (a proposito o accidentalmente).
In un’intervista al programma della NPR Fresh Air di Terry Gross, il dottor Sandeep Jauhar, cardiologo e autore di numerose pubblicazioni, ha suggerito che il motivo per cui il sistema sanitario statunitense non sia annoverato tra i migliori al mondo è dovuto al fatto che non vengono condivise varie informazioni. Per migliorare il sistema sanitario statunitense (e per rispettare l’Affordable Care Act) dovrebbe esserci una maggiore connessione tra apparati medicali, maggiore comunicazione tra sistemi assistenziali, maggiore accesso ai dati in remoto e, che ci piaccia o no, maggiore esposizione dei dati sensibili.
Quanto affermato da Jauhar ci lascia dedurre che, nei sistemi sanitari più avanzati, questa condivisione delle informazione sia già una realtà, il che aggraverebbe i problemi di sicurezza di cui abbiamo parlato.
Ciò non vuol dire che tutto è perduto. L’Health Insurance Portability and Accountability Act (HIPAA) è stato creato in parte per proteggere la sicurezza e la privacy dei pazienti. Gli ospedali e le case produttrici dei dispositivi hanno a disposizione delle linee guida da rispettare. Purtroppo, una fuga di dati può comunque capitare e nessun piano di sicurezza è perfetto. Il pericolo è sempre in agguato, per quanti sforzi si possano fare.
La fuga di #dati che ha coinvolto Community Health Systems ha messo a repentaglio le informazioni personali di 4,5 milioni di pazienti.
Tweet