Gli ospedali statunitensi hanno grosse difficoltà nel garantire la sicurezza dei propri dispositivi medici

Philips Healthcare e la società di sicurezza informatica CyberMDX hanno pubblicato questa settimana un interessante report dedicato alla sicurezza informatica negli ospedali nordamericani. In collaborazione con la società di ricerche di mercato Ipsos, i ricercatori hanno intervistato 130 responsabili IT di aziende sanitarie per capire come venissero gestiti le migliaia di dispositivi medici che oggi popolano gli ospedali a stelle e strisce.

Numeri preoccupanti

Il rapporto "Perspectives in Healthcare Security" ha preso in esame strutture ospedaliere di grandi dimensioni (con più di 1000 posti letto) e medie (con meno di 1000 posti letto). Oltre il 31% degli intervistati ha dichiarato di aver lavorato in ospedali che disponevano di meno di 10.000 dispositivi medici, mentre un altro 29% meno di 25.000. Quasi il 20% ha lavorato per aziende ospedaliere che avevano meno di 50.000 dispositivi medici. È interessante notare come la maggior parte degli intervistati fosse a conoscenza del numero di dispositivi presenti nel proprio ospedale, mentre il personale degli ospedali di medie (circa il 15%) e grandi dimensioni (13%) non avevano modo di conoscere l'esatto numero di dispositivi presenti sulla propria rete.

Quasi la metà di tutti gli intervistati ha ritenuto il personale che si occupa dei dispositivi medici e della sicurezza IoT “inadeguato”. Quasi il 40% delle strutture ospedaliere di grandi dimensioni utilizza soluzioni di sicurezza IoT per proteggere i propri dispositivi, mentre il 16% affida la sicurezza dei propri device direttamente agli stessi produttori. Alcuni, invece, si rivolgono anche a fornitori esterni di apparecchiature IT o aziende di terze parte. Gli ospedali di medie dimensioni hanno numeri praticamente identici, eccezion fatta per i produttori di dispositivi medici che si occupano della sicurezza.

Wannacry, Bluekeep e altre pericolose vulnerabilità

Gli intervistati hanno elencato tra le vulnerabilità più comuni i vari NotPetya, MDHex, MDHexRay, Ryuk, Wannacry, Apache Struts e BlueKeep. Il 51% degli intervistati ha affermato che i propri ospedali “non erano protetti dalla vulnerabilità Bluekeep e tale numero è aumentato del 64% per WannaCry e del 75% per NotPetya”. La spesa media annua per l'IT è di circa 3/3.5 milioni di dollari per le strutture ospedaliere di medie e grandi dimensioni. Ogni anno vengono spesi in media circa 300.000 dollari per dispositivi medici e per la sicurezza informatica IoT. La sicurezza informatica degli ospedali non è mai stata più cruciale.

Un rapporto del Department of Health and Human Services (HHS) ha rilevato che ci sono stati almeno 82 incidenti ransomware in tutto il mondo quest'anno, il 60% dei quali ha colpito duramente le strutture ospedaliere statunitensi. Azi Cohen, CEO di CyberMDX, ha commentato che “gli ospedali ora devono affrontare problemi come la sicurezza dei pazienti, la perdita di entrate e i danni alla reputazione quando si tratta di attacchi informatici, che continuano ad aumentare”. Quasi la metà dei dirigenti ospedalieri intervistati ha affermato negli ultimi sei mesi di essere stato costretto a uno spegnimento forzato o preventivo dei propri dispositivi medici a causa di un attacco esterno. “Indipendentemente dalle dimensioni, gli ospedali devono essere a conoscenza delle proprie vulnerabilità in ambito sicurezza”, ha affermato Maarten Bodlaender, responsabile dei servizi di sicurezza informatica di Philips.