In un’intervista a La Stampa dello scorso 12 giugno l’esperto di sicurezza informatica Raoul Chiesa, fondatore della società specializzata Security Brokers, ha offerto un paio di esempi della portata drammatica che un cyberattacco ben orchestrato a una struttura sanitaria può comportare.
Chiesa ha parlato di tecnologie in dotazione alle organizzazioni hacker tali da consentire l’alterazione a distanza dei dosaggi di insulina somministrati a un paziente, sino a ucciderlo. E di come le informazioni critiche sottratte in remoto dalle cartelle cliniche possano diventare fonti di dati preziosi per malviventi in cerca di un riscatto.
Fantascienza? Tutt’altro. Il settore della sanità è oggi fra i più esposti al rischio di un’intrusione da parte delle gang di pirati del web e a darne dimostrazione sono alcuni eventi eclatanti – magari meno spettacolari di quelli ipotizzati poco più su – occorsi negli ultimi anni.
È noto quello legato al ransomware – codice malevolo mirato alla richiesta di un riscatto in cambio del ripristino dei sistemi – Wannacry, che ha messo sotto scacco gli ospedali britannici. Aveva infatti causato in un sol colpo la cancellazione di ben 20 mila fra appuntamenti e operazioni nel Regno Unito.
Più di recente qualcosa di simile è accaduto in Australia al Melbourne Heart Group e stavolta a farne le spese sono stati i database relativi alla totalità dei pazienti, bloccati per tre settimane. Nel 2018 è toccato al SingHealth di Singapore, le cui anagrafiche sono state ampiamente saccheggiate dalla pirateria, che non ha risparmiato neppure le anamnesi del primo ministro Lee Hsien Loong’s.
Nessuno è al sicuro
La cyber-guerra è tuttavia solamente agli inizi ed è destinata non soltanto a interessare le piattaforme ICT ospedaliere bensì pure strumenti in apparenza più innocui e meno attraenti per la criminalità.
«A cominciare dagli speciali cerotti smart utilizzati da chi soffre di diabete, fino ai più largamente diffusi smart-watch, le cui vendite nel corso del 2019 sono aumentate del 48% e che, nati con finalità non prettamente mediche, rappresentano di fatto dei potenti strumenti in grado di rilevare, registrare e analizzare numerosi parametri legati alla salute: dall’attività fisica al battito cardiaco, dalla temperatura corporea all’insulina. Grande vantaggio si riscontra anche nell’economicità e nella facilità di utilizzo di questi wearable, che ne incrementa esponenzialmente la diffusione presso gli utenti».
A dirlo è ora Ermes Cyber Security, spin-off del Politecnico di Torino che ha realizzato un software, pensato anche per dispositivi mobile, che si auto-aggiorna grazie alle risorse dell’intelligenza artificiale e che è mirato alla protezione di dipendenti e aziende durante la navigazione via browser sulla quale avvengono oggi il 48% delle violazioni ai danni delle imprese. La società, capitanata dal CEO Hassan Metwalley, ha riportato stime in base alle quali entro il prossimo anno i device di tipo Internet of Things (IoT) in funzione nel panorama sanitario dovrebbero raggiungere quota 160 milioni.
«Dagli indossabili agli strumenti più sofisticati per le analisi e per la produzione di immagini, ai software gestionali delle anagrafiche dei pazienti, la salute corre sul web e, proprio come in altri settori, è ormai in grado di sfruttare a pieno le tecnologie connesse e intelligenti disponibili sul mercato. Si può ormai parlare di IoMT (Internet of Medical Things) o di IoHT (Internet of Healthcare Things) e l’utilizzo di queste tecnologie nel settore medico sarà decisivo nei prossimi anni dal punto di vista economico: secondo uno studio pubblicato da MarketResearch.com la percentuale delle tecnologie IoT che verranno introdotte in campo healthcare sfiora il 40%, con un valore di mercato totale di circa 117 miliardi di dollari e una crescita del 15%», ha riferito Ermes Cyber Security in una nota.
Protetti fin dalla nascita
Negli istituti di cura e sui loro network viaggiano materiali delicatissimi e potenzialmente di grande attrattiva sul black market: si pensi solo ai risultati dei test diagnostici o all’uso di stupefacenti. Secondo quanto dichiarato da Metwalley stesso, «i dati di origine medica sono i più preziosi in assoluto e sono capaci di generare in media 400 dollari di danno ognuno per l’industria che ha subito il databreach. Se si rapporta questo costo alla mole di dati che sono già conservati, ci si può rendere conto che l’avvenire presenta dei rischi colossali sia per i pazienti sia per le aziende».
In un’intervista a Tecnica Ospedaliera il CEO ha puntualizzato: «le principali aree di pericolo sono due: quella rappresentata dalle informazioni in sé e quella dell’IoT. Un omicidio a distanza come è stato spiegato da Raoul Chiesa è senz’altro una prospettiva plausibile e non è la sola. Nel 2017 la Food & Drug Administration degli Stati Uniti (FDA) ha lanciato un allarme circa i rischi correlati all’impianto di pacemaker privi di ogni forma di protezione, i cui parametri di corretto funzionamento potevano essere liberamente modificati da attori esterni. La security by design, ovvero la programmazione e l’installazione di opportune barriere di salvaguardia su questo tipo di oggetti dalle fasi di progettazione e produzione è l’idea dalla quale si deve partire».
Se è vero che «un meccanismo di protezione perfetto non esiste» è pure vero che talvolta paiono essere ignorate da costruttori e medici anche le misure antipirateria a prima vista più banali. Gli impiantabili di cui sopra avrebbero potuto essere resi accessibili esclusivamente attraverso un codice utente e una password, definiti e monitorati da personale medico o incaricati ufficiali. Oppure, i dati trasmessi e ricevuti dal device avrebbero potuto essere messi a disposizione in modalità di sola lettura, impedendone così ogni possibile sovrascrittura, modifica, manomissione da parte di terzi.
Il problema è culturale
Al contrario, nella circostanza cui FDA ha fatto esplicito riferimento, nessuna azione analoga è stata effettuata come si sarebbe già potuto o dovuto fare in sede di produzione.
«Le connessioni IoT sono destinate a veicolare le minacce più temibili di qui al prossimo decennio», ha detto Metwalley, «con conseguenze potenzialmente devastanti. Per contrastarle, l’elemento fondamentale sta nel design».
Proteggere sia le infrastrutture informative di un ospedale (come di qualsiasi ente, organizzazione o azienda) sia i collegamenti wireless e i tool portatili è necessario intervenire su tre diversi livelli. Il primo è dato dall’implementazione di firewall all’altezza, a difesa di quelle banche dati che incarnano il cuore pulsante delle attività. Il secondo coincide con l’estensione di questa barriera protettiva anche ai laptop e agli smartphone in uso a scopi di telelavoro e telemedicina.
«L’aspetto critico per eccellenza», ha osservato il CEO di Ermes Cyber Security, «è però rappresentato spesso dalla scarsa cultura degli utilizzatori, il cui comportamento superficiale anche nella semplice apertura degli allegati e-mail sospetti o nella gestione dei dati personali finisce per favorire i pirati».
La proliferazione delle tecnologie ultraportatili prive di certificazioni relative alla security non fa che aggravare il quadro e l’ideale «sarebbe poter contare su personale interno dedicato o consulenti in grado di valutare con cognizione di causa il complessivo grado di sicurezza di ciascun prodotto».
Il che «non è facile» ed è anzi «economicamente oneroso, ma utile a evitare danni ben più ingenti».
E sempre a proposito di provvedimenti anticrimine di attuazione rapida, Hassan Metwalley ha concluso: «attualmente il panorama sanitario è oggetto soprattutto di violazioni che puntano a bloccare dati e attività e a liberarli solo a fronte di un riscatto. È il problema per antonomasia, ma sarebbe facilmente risolvibile provvedendo, come da manuale, a regolari operazioni di backup. La soluzione è, ciononostante, poco praticata, specialmente nel settore pubblico. La scusa, attendibile sino a un certo punto, è che le informazioni chiave, qui, viaggiano per la maggior parte su carta».