Gli esperti di sicurezza informatica hanno punti di vista contrastanti sulle vulnerabilità dei dispositivi medici critici. Quando risultano suscettibili a eventuali attacchi informatici si devono temere conseguenze fatali. L’approccio per minimizzare i danni può essere però molto diverso da situazione a situazione, oltre che da esperto a esperto.
Nel settembre del 2022, l’FBI ha rivelato una crescita notevole del numero di vulnerabilità nei dispositivi medici privi di patch. Dato che la tecnologia legacy negli ospedali può essere ancora utilizzata per attività cliniche, accade spesso che gli ospedali prolunghino il ciclo di vita previsto delle apparecchiature già “operative”. Ne consegue che, ai dottori, anche a loro insaputa, può capitare tra le mani uno strumento non più aggiornato e nemmeno conforme alla cura dei pazienti.
Corsa a correggere il tiro
Le scorse settimane la Food and Drug Administration (FDA) statunitense ha pubblicato nuove linee guida. Stavolta pretende che le richieste di autorizzazione per i dispositivi medici, già prima che arrivino sul mercato, includano informazioni sulla cybersicurezza. A partire da ottobre, la FDA avrà quindi poi il potere di rifiutare le richieste dei produttori in base ai rischi di cybersecurity, vagliandole di caso in caso.
Nonostante l’innovazione tecnologica degli ospedali sia una necessità, va ammesso che la sostituzione dei dispositivi medici è finanziariamente impegnativa. Questo comporta una tendenza al risparmio, soprattutto quando si hanno apparecchiature obsolete che continuano però a funzionare. S
teve Preston, vicepresidente di Metallic Security, ha spiegato infatti che dispositivi insicuri, tecnologia tradizionale e attacchi più avanzati oggi sembrano in “rotta di collisione”. “La sanità è generalmente a corto di budget da destinare alla cybersecurity e non si può dire che abbia i SOC più sofisticati del mondo” ha affermato.
Doug McKee, direttore della ricerca sulle vulnerabilità di Trellix, ha definito i dispositivi medici “a portata di mano”, per come risultano facili da sfruttare per i criminali informatici. Ha poi però aggiunto che, per ora, gli attacchi basati su questi dispositivi non sono una priorità assoluta. Sembra infatti che si riesca a guadagnare meglio puntando su sistemi e reti IT.
“Non siamo ancora al livello in cui si devono attaccare tutti i dispositivi critici. Gli obiettivi sono fondamentalmente due: o il guadagno economico o la distruzione. Entrambe le opzioni sono ancora praticabili per gli aggressori, quindi non serve colpire i dispositivi critici” ha detto McKee.
Eppure, la scarsa sicurezza dei device medici vulnerabili è ancora un problema molto sentito dalle organizzazioni sanitarie. Sebbene la community di esperti in cybercrime sia divisa sulla gravità delle minacce legate agli ospedali, tutti concordano sul fatto che i team di sicurezza sanitaria, i produttori e i responsabili delle politiche dovranno presto fare i conti con questo problema. Ci si chiede però quando e anche perché.
Secondo McKee “gli aggressori cominceranno a rivolgere la loro attenzione ad altri elementi a portata di mano, tra questi ci saranno in prima fila anche i dispositivi medici critici”.
Altamente connessi, altamente vulnerabili
È oltre un decennio che il settore della cybersecurity è preoccupato per le vulnerabilità dei dispositivi medici. Nel 2011 il problema ha attirato l’attenzione quando un ricercatore, in occasione della conferenza Black Hat USA, ha dimostrato come le pompe di insulina wireless potessero essere violate da remoto, in modo da causare la morte dei pazienti.
Qualche anno dopo, la startup TrapX Security ha descritto in dettaglio un ampio vettore di attacco chiamato MedJack, abbreviazione di medical device hijacking. MedJack e le versioni successive della tecnica di attacco erano in grado di compromettere diversi dispositivi medici non sicuri, dalle macchine a raggi X agli analizzatori di gas nel sangue, fino alle apparecchiature diagnostiche come gli scanner CT. Pur consapevoli di poter creare gravi danni fisici, i ricercatori di TrapX hanno notato che gli aggressori si stavano comunque concentrando proprio sui dispositivi medici. Per loro rappresentano semplicemente una comoda via di accesso alla rete ospedaliera, più che un rischio legato a possibili perdite di vite umane.
Preston, che ex CEO di TrapX, ha fatto notare che i dispositivi medici sono difficili da proteggere anche se le patch sono aggiornate. “Non è possibile raccogliere i log su molti di questi sistemi e nemmeno mettere in sicurezza gli endpoint su questi dispositivi medici” ha affermato.
Il problema dei dispositivi legacy
Il problema non riguarda solo i dispositivi medici in sé. Joshua Corman, vicepresidente della strategia di sicurezza informatica di Claroty, ha messo in evidenza che molti di quelli ancora in uso sono stati progettati per sistemi operativi più vecchi e non più supportati. Windows 7 e persino Windows XP sono un esempio. Questo fatto porta a un indebolimento generale, anche delle posture di sicurezza di rete dell’intera organizzazione. “Quello di cui da tempo siamo certi è che la stragrande maggioranza dei dispositivi medici connessi funziona con sistemi operativi a fine vita e non supportati” ha ribadito Corman.
Per riconoscere i rischi informatici che riguardano le infrastrutture critiche, a gennaio la CISA ha pubblicato un avviso sulle diverse pratiche che mettono a rischio le strutture mediche e sanitarie. L’agenzia ha affermato che l’uso di software non supportato o a fine vita, come Microsoft XP o Microsoft 7, “è particolarmente grave nelle tecnologie accessibili dall’interno”.
In passato, l’utilizzo di hardware e device obsoleti ha avuto gravi ripercussioni sui sistemi sanitari. Nel maggio 2017, gli hacker della Corea del Nord hanno sfruttato una vulnerabilità di Windows nota come EternalBlue, negli attacchi ransomware WannaCry. Sebbene Microsoft abbia applicato una patch alla vulnerabilità a marzo, le edizioni non supportate, come Windows XP e Windows 8, erano rimaste vulnerabili agli attacchi. All’epoca, Citrix ha rilevato che il 90% delle aziende del Servizio Sanitario Nazionale del Regno Unito (NHS) utilizzava Windows XP, un sistema operativo per il quale Microsoft ha interrotto gli aggiornamenti nel 2014.
Le organizzazioni sanitarie che utilizzano sistemi operativi non supportati e privi di patch hanno subito notevoli interruzioni a causa di WannaCry. Gli attacchi hanno costretto le strutture del NHS a cancellare migliaia di appuntamenti e operazioni programmate, con un danno stimato di 92 milioni di sterline.
A peggiorare la situazione è il numero crescente di dispositivi medici connessi a Internet. I progressi tecnologici hanno portato i device dell’Internet of Medical Things nelle strutture sanitarie. Questo, secondo gli esperti, ha ampliato le superfici di attacco, rendendo l’infrastruttura dell’ospedale meno solida e quindi a rischio di attacco.
Il passo più lungo della gamba?
L’interconnettività della tecnologia e dei dispositivi medici nei centri sanitari ha i suoi vantaggi. Le cartelle cliniche elettroniche, accessibili da quasi tutte le strutture sanitarie, informano automaticamente i medici sullo stato del paziente e forniscono dati utili ai ricercatori per far progredire la medicina. Ci sono però anche parecchi svantaggi, legati soprattutto alla tempistica dell’innovazione. Secondo Corman, l’applicazione prematura dei dispositivi IoT ha superato la capacità delle organizzazioni di proteggere adeguatamente la tecnologia in rete. Di conseguenza, il danno degli attacchi è aumentato.
“Abbiamo inserito in rete dispositivi che non avrebbero mai dovuto essere connessi a nulla. Una compromissione di un qualsiasi dispositivo può portare alla compromissione dell’intero ospedale, o addirittura di una rete di ospedali” ha spiegato Corman
Per i team di sicurezza di queste strutture è però difficile dare priorità alle vulnerabilità dei dispositivi medici, data l’ampia quantità di problemi di cyber sicurezza da affrontare. Preston ha sostenuto che la tecnologia per creare “trappole” di TrapX può simulare dispositivi medici vulnerabili e attirare i cyber criminali. In questi casi, però, non risulta chiaro se stanno semplicemente cercando un modo per entrare nella rete ospedaliera per rubare i dati o se sono intenzionati a svolgere attività che potrebbero portare alla perdita di vite umane.
Secondo Preston, anche minacce di minore impatto possono comunque comportare gravi conseguenze per i dispositivi medici. Infatti ha aggiunto: “se si trovasse un software di crypto mining sulle pompe per insulina o sui monitor cardiaci? Cosa si dovrebbe fare, staccare la spina? Si arriva a una crisi in cui si sa che il problema c’è, ma non si è in grado di fare nulla”.
Le CVE conosciute si accumulano
Negli ultimi anni i ricercatori hanno individuato diverse vulnerabilità nei dispositivi medici critici in grado di eseguire attacchi di rete a distanza. I ricercatori di Trellix hanno analizzato 270 CVE (Common Vulnerabilities and Exposures) specifiche per dispositivi medici segnalate tra il 2019 e il 2022. Il 30% potrebbe consentire l’esecuzione di codice da remoto. Per esempio, CVE-2021-27410, una vulnerabilità negli strumenti di gestione dei dispositivi medici di Welch Allyn, è facilmente sfruttabile da remoto. Infatti, non richiede alcuna interazione con l’utente per essere sfruttata dagli aggressori.
Il report di Trellix ha rilevato che lo sfruttamento di tali vulnerabilità tipiche dei dispositivi medici è “poco probabile”, ma ha notato che le falle rappresentano comunque un rischio per le strutture sanitarie. I ricercatori hanno rilevato che le vulnerabilità possono essere sfruttate anche all’interno di più dispositivi medici, poiché sono spesso di natura simile dal punto di vista tecnologico. I criminali devono spesso adattare il proprio lavoro per sfruttare ogni dispositivo ma, grazie al gran numero di sovrapposizioni, possono riutilizzare del codice per ampliare facilmente il proprio campo di azione.
Secondo Corman, un dispositivo medico ha in media oltre 1.000 CVE note. Anche se non tutte le vulnerabilità sono sfruttabili per l’esecuzione di codice remoto (RCE) o per attacchi ransomware, i dispositivi ne possiedono molte e gli attori delle minacce hanno bisogno di un solo endpoint per sferrare un attacco. “Anche se la maggior parte di queste vulnerabilità non sono sfruttabili, ne basta una. Una sola singola falla, su un solo singolo dispositivo, può compromettere la sicurezza dei pazienti. E un dispositivo tipico offre più di mille possibilità di farlo” ha ribadito Corman.
La ricerca di Trellix mostra quali tipi di dispositivi medici e software contenevano il maggior numero di vulnerabilità per categoria di prodotto. Analizzando 270 vulnerabilità rilevate in dispositivi medici e software, i ricercatori di Trellix hanno scoperto che le pompe per flebo erano uno dei prodotti più colpiti.
I ricercatori hanno anche rivelato la particolare suscettibilità delle pompe di infusione. Nel novembre 2022, anche Armis Security ha segnalato la presenza di malware nelle pompe di infusione utilizzate attivamente. Secondo le stime, ogni anno, a livello globale, ne vengono utilizzate oltre 200 milioni. Tutte rappresentano un obiettivo accessibile per il cybercrime. Inoltre, sono intrinsecamente affidabili nelle operazioni sanitarie per la somministrazione dei farmaci, il che rende la scoperta di queste vulnerabilità particolarmente preoccupante.
Il team Enterprise Advanced Threat Research di McAfee ha identificato una serie di vulnerabilità nella pompa B. Braun Infusomat Space Large Volume che consentirebbero a un malintenzionato di alterare il volume di farmaco erogato al paziente. La modifica del dosaggio potrebbe essere notata solo dopo che una quantità significativa è già stata somministrata. Ciò significa che si rischia di erogare una dose potenzialmente letale al paziente, prima che qualcuno se ne accorga.
L’ultima versione della pompa B. Braun ha eliminato il vettore principale della sequenza di attacco. Le pompe più vecchie sono però ancora utilizzate, in tutti i centri medici.
Non ci sono prove di questi drastici scenari di sfruttamento. La community di esperti in sicurezza è però già stata messa in allarme da bug ed exploit devastanti verificatesi in passato. Karan Sondhi, CTO per il settore pubblico di Trellix, ha citato Stuxnet, il sofisticato malware che ha causato danni fisici a un impianto nucleare iraniano nel 2010.
“Da un punto di vista più cinico, se un malintenzionato è molto abile e desidera violare il settore medico, ora ha un vettore di attacco che nessuno di noi immagina. Non abbiamo mai pensato che Stuxnet fosse reale. Non l’abbiamo mai immaginato finché non è stato reso pubblico” ha concluso Sondhi.
Problemi persistenti, potenziali rimedi
Gli ospedali sono dotati di team di sicurezza per monitorare e aggiornare la tecnologia utilizzata nell’ambiente di network. Le pratiche di sicurezza negli ospedali, tuttavia, non sempre coprono tutti i dispositivi medici critici per la cura dei pazienti.
“I vari dispositivi ausiliari che si possono trovare in una sala di pronto soccorso, piccoli, economici e usa e getta, dotati di connettività a Internet, sono spesso trascurati perché non rientrano nel percorso critico” ha spiegato Sondhi.
Oltre alle recenti linee guida dell’FDC sui dispositivi medici, l’anno scorso è stata introdotta una legislazione per migliorare il monitoraggio nei sistemi sanitari. Il PATCH Act mira, infatti, a migliorarne la sicurezza informatica, richiedendo esplicitamente ai produttori di progettare e distribuire patch e aggiornamenti per i loro prodotti durante l’intero ciclo di vita dei dispositivi. Come la guida dell’FDA, il disegno di legge riterrebbe i produttori responsabili del mancato rispetto di questi standard, negando l’approvazione dell’FDA per i dispositivi ancora prima dell’immissione sul mercato.
“I produttori di dispositivi medici saranno incoraggiati a inviarci dispositivi che non presentano lacune nella sicurezza prima che arrivino da soli nelle nostre mani” ha dichiarato Greg Garneau, CISO del Marshfield Clinic Health System. “Uno dei problemi principali in cui ci imbattiamo spesso è che il dispositivo stesso continua a funzionare anche se i sistemi operativi non sono più stati aggiornati”.
Nathan Phoenix, direttore dell’IT e responsabile della sicurezza informatica presso la Southern Illinois Healthcare, teme che la legge proposta possa avere un impatto negativo. Dipende molto da come i produttori di dispositivi reagiranno alle condizioni poste e ai requisiti richiesti.
“Potrebbero ridurre la durata di vita dei dispositivi, il che comporterebbe un onere finanziario per l’organizzazione. Se le sostituzioni dovranno essere più frequenti, si avrà un maggiore esborso di denaro” ha affermato Phoenix.
Non è chiaro come verranno applicate le linee guida dell’FDA e quale sarà il futuro del PATCH Act. La speranza di legislatori, esperti di sicurezza e organizzazioni sanitarie è che le aziende produttrici di dispositivi medici creino nuovi processi per la distribuzione di patch e aggiornamenti, preservando al contempo un lungo ciclo di vita dei dispositivi.
Secondo Phoenix “è davvero fantastico vedere i progressi compiuti con il PATCH Act. È emozionante e un po’ spaventoso ipotizzare cosa succederà in futuro”.
