Quasi ogni attacco informatico ha lo stesso scopo: rubare il denaro di qualcuno. Tuttavia, il numero delle apparecchiature connesse a Internet è in grande aumento e un dispositivo compromesso può portare a conseguenze più serie, che vanno ben oltre il furto di denaro. Cosa pensereste se vi dicessimo che questi attacchi potrebbero mettere in pericolo la salute e la vita delle persone?
Prendete le auto connesse, un esempio perfetto di come un dispositivo possa davvero mettere a repentaglio la vita delle persone. Un malintenzionato che assume il controllo su un’auto senza pilota può provocare con facilità un incidente. Anche l’attrezzatura medica intelligente è a rischio. I dispositivi progettati per mantenerci in salute possono essere utilizzati pure per fare l’opposto.
Finora non abbiamo alcun caso documentato di strumentazioni medicali compromesse che abbiano direttamente danneggiato la salute umana. Tuttavia, gli esperti scoprono regolarmente vulnerabilità sempre nuove nei dispositivi medici, compresi bug che possono essere usati per causare seri danni fisici.
Poiché sottrarre denaro e pregiudicare fisicamente la gente sono azioni differenti, si potrebbe sperare che gli hacker si astengano dal compierle per ragioni etiche. Ma è più probabile che i criminali non abbiano ricorso alla violazione dei dispositivi medici semplicemente perché (ancora) non sanno come ricavare facili profitti da attacchi del genere.
In realtà, i cybercriminali hanno ripetutamente attaccato gli ospedali con trojan e altri malware diffusi. Per esempio, all’inizio di quest’anno molte infezioni da ransomware hanno colpito diverse strutture sanitarie degli USA, compreso l’Hollywood Presbyterian Medical Center di Los Angeles.
Hospital pays ransom, does not get files back… Remember, don't pay https://t.co/8yLC4w5yMr #ransomware pic.twitter.com/nT9MT4d6nB
— Kaspersky (@kaspersky) May 26, 2016
L’ospedale losangelino ha pagato 17.000$ per riavere le sue cartelle. Tuttavia, quando il Kansas Heart Hospital ha tentato di fare lo stesso, i delinquenti non gli hanno restituitio gli archivi, chiedendo invece più denaro. Come potete vedere, non possiamo fare affidamento sugli imperativi etici per fermare i criminali: ce ne saranno alcuni sempre ben felici di attaccare strutture sanitarie per del denaro facile.
Le strumentazioni medicali sono sottoposte a ispezione e certificazione obbligatorie, ma solo come dispositivo medico, non come una tecnologia informatica connessa. Soddisfare i requisiti di cybersicurezza è, ovviamente, consigliato, ma è a discrezione dei produttori. Di conseguenza, molti dispositivi ospedalieri sono afflitti da difetti ovvi, da tempo noti agli esperti IT competenti.
La Food and Drug Administration, agenzia federale statunitense, regola la vendita dei dispositivi sanitari e la loro certificazione. Tentando di adattarsi all’ambiente informatico in evoluzione, la FDA ha rilasciato delle linee guida rivolte ai produttori e agli operatori sanitari. All’inizio del 2016 è stata pubblicata una bozza di un documento simile. Ma tutte le misure sono soltanto un’avvertenza. Quindi ancora non è obbligatorio mettere in sicurezza i dispositivi medici che sono fondamentali per salvare vite umane.
Negligenza fatale
I produttori di attrezzature mediche possono chiedere aiuto agli esperti in sicurezza informatica, ma nei fatti fanno proprio al contrario, rifiutandosi perfino di fornire i loro dispositivi per il controllo. Gli esperti devono acquistare attrezzature di seconda mano per conto proprio per verificarne il livello di protezione. Per esempio, Billy Rios, che conosce i dispositivi connessi alla perfezione, occasionalmente esamina anche dispositivi medici.
Medicine under fire: how to hack a hospital https://t.co/QcmY3IlWGR #TheSAS2016 #Healthcare #medicalsec pic.twitter.com/Cil0ueabag
— Kaspersky (@kaspersky) February 11, 2016
Circa due anni fa Rios ha testato le pompe da infusione Hospira, che vengono consegnate a decine di migliaia di ospedali nel mondo. I risultati erano allarmanti: le pompe endovenose gli hanno permesso di cambiare le impostazioni e di alzare il limite di dose. Di conseguenza, dei malfattori potrebbero iniettare ai pazienti dosi maggiori o minori di medicinale. Per ironia, questi dispositivi sono stati pubblicizzati come a prova d’errore.
Un altro dispositivo vulnerabile scoperto da Rios era il Pyxis SupplyStation, prodotto da CareFusion. Questi dispositivi distribuiscono attrezzature mediche e semplificano tenerne il conto. Nel 2014, Rios ha trovato un bug che permetteva a chiunque l’accesso al sistema.
Nel 2016, Rios è tornato ancora una volta al Pyxis SupplyStation, stavolta con il collega esperto in sicurezza Mike Ahmadi. Il duo ha scoperto più di 1.400 vulnerabilità, la metà delle quali considerate molto pericolose. Sebbene i responsabili per la gran quantità di bug siano gli sviluppatori terze parti, e gli esperti abbiano analizzato solo un modello antiquato di Pyxis SupplyStation, quelle vulnerabilità sono ancora assai problematiche.
Ammalarsi è doppiamente pericoloso: l’attrezzatura medica è vulnerabile agli hacker
Tweet
Il punto è che queste soluzioni erano prodotti end-of-life (in italiano, fine del ciclo vita) e nonostante il loro uso diffuso, gli sviluppatori non hanno fornito loro alcuna patch. Invece, CareFusion ha consigliato ai clienti di fare l’upgrade alla nuova versione dell’attrezzattura. Le organizzazioni che non volevano fare l’aggiornamento hanno ricevuto una lista di consigli su come minimizzare il rischio che quei sistemi risultino compromessi.
È difficile, e costoso, aggiornare le vecchie strumentazioni. Ma, ad esempio, Microsoft ha già abbandonato i sistemi operativi installati sui dispositivi, lasciandoli, in sostanza, vulnerabili. Le più recenti versioni del Pyxis SupplyStation funzionano su Windows 7 o successivi e non sono vulnerabili a questi bug.
Kaspersky Lab ha anche fornito test cyberstrutturali per ospedali: il nostro esperto Sergey Lozhkin è stato invitato a prendere parte all’esperimento e ha compromesso dell’attrezzatura medica, incluso uno scanner tomografico.
How I hacked my #hospital – https://t.co/qhKfT636F5 from @61ack1ynx #healthcare pic.twitter.com/SPES9tPnsw
— Kaspersky (@kaspersky) February 10, 2016
Ovviamente, i casi sopramenzionati sono stati condotti come esperimenti, per mostrare con che facilità i criminali potrebbero ripetere se volessero, non per causare un qualsiasi danno reale!
Chi è responsabile, e cosa dovremmo fare?
La vita utile dei dispostivi medicali è molto più lunga del ciclo vitale del vostro smartphone. Per uno strumento costoso, dei decenni non sono affatto troppi. Inoltre, sebbene i dispositivi più recenti siano meno vulnerabili di quelli obsoleti, col tempo e senza un supporto adeguato sono destinati a diventare pieni di bug come i loro omologhi più vecchi.
Come spiega Mike Ahmadi: “Penso sia sensato per un produttore di strumentazione medicale avere un fine vita dichiarato per un dispositivo medico, e uno per la cybersicurezza per i dispositivi.”
L’attacco a Pyxis SupplyStation ha anche un aspetto positivo. A essere sinceri, gli sviluppatori hanno ignorato i primi bug che Rios aveva scoperto, ma poi, il colosso Becton Dickinson ha comprato la compagnia e la nuova dirigenza vede gli esperti informatici in maniera piuttosto differente. Forse in futuro le compagnie presteranno più attenzione al controllo dei bug di quanto facciano oggi. E forse effettueranno pure significativi test di vulnerabilità sui nuovi dispositivi prima di essere immessi sul mercato.