Sanità e tecnologia: i rischi attuali e le previsioni per il 2022

Sotto il fronte della telemedicina, l'Italia è un paese decisamente evoluto: l'89% degli operatori del settore infatti eroga servizi di questo tipo, un valore solo di poco inferiore alle media globale del 91%. Ma quanto è sicura questa tecnologia? Non tantissimo, dato che buona parte dei dispositivi indossabili utilizzati presenta vulnerabilità critiche. Il settore sanitario, del resto, è uno di quelli che fanno più gola agli attaccanti, considerata la natura sensibile dei dati e l'importanza strategica di queste infrastrutture, che non possono fermarsi nemmeno per poche ore, e sono quindi più portate a pagare in tempi brevi i riscatti. 

Kaspersky: il protocollo MQTT dei wearable a uso sanitario presenta 33 vulnerabilità

I dispositivi medicali per la telemedicina, che permettono di tenere sotto controllo il paziente da remoto, per esempio misurandone l'attività cardiaca, si appoggiano prevalentemente al protocollo MQTT per lo scambio dei dati. Un protocollo che purtroppo non è strutturato in maniera particolarmente sicura: l'autenticazione è opzionale e solo in alcuni casi i dati vengono cifrati prima di essere inviati. Questo significa che un attaccante potrebbe facilmente portare avanti un attacco del tipo man in the middle, intercettando così le informazioni che, in questo caso, sono altamente sensibili. L'aspetto più preoccupante è che col tempo la situazione sta peggiorando: nel 2014 sono state individuate circa 90 falle, alcune delle quali non sono state ancora corrette, e nel 2021 i ricercatori di Kaspersky ne hanno scoperte altre 33, 18 delle quali considerate critiche. 

Non finisce qui: sempre Kasperksy ha infatti identificato problemi anche in Qualcomm Snapdragon Wearable, la piattaforma più diffusa per la gestione dei dispositivi indossabili. “La pandemia ha portato ad una crescita notevole del mercato della telemedicina, e questo non fa riferimento solamente alle videochiamate medico-paziente", spiega Maria Namestnikova, Head of Russian Global Reserach and Analysis Team (GReAT) di Kaspersky. "Parliamo di un’intera gamma di tecnologie e prodotti complessi e in rapida evoluzione, tra cui dispositivi indossabili, applicazioni specializzate, sensori impiantabili e database su cloud. Tuttavia, molti ospedali stanno ancora utilizzando servizi di terze parti non testati per memorizzare i dati dei pazienti, e con diverse vulnerabilità. Prima di iniziare ad usare dispositivi di questo tipo occorre informarsi sul loro livello di sicurezza, in modo da proteggere i dati di un’azienda o dei pazienti”.

Ransomware, attacchi automatizzati e vulnerabilità 0-Day: i principali rischi per il settore sanitario secondo Bitdefender

Secondo un'analisi di Bitdefender, il settore sanitario ha visto aumentare gli attacchi informatici negli ultimi 5 anni, con un aumento del 42% solo dal 2019 al 2020, anno in cui si è scatenata la pandemia e che ha spronato i criminali informatici a intensificare le loro attività. Nel tempo, circa il 93% delle imprese operanti nella sanità è stata vittima di un attacco informatico, e più della metà (il 64%) ritiene probabile ulteriori attacchi in futuro. 

Il motivo per cui i criminali si stanno concentrando su questo settore è semplice: queste informazioni valgono molto sul mercato nero. Una cartella clinica sul dark web può valere 1.000 dollari, contro i 20 di una patente di guida. 

Secondo Bitdefender, nel 2022 dovremo aspettarci un aumento degli attacchi di tipo ransomware, un approccio utilizzato nel 45% delle campagne di hacking scagliate fra novembre 2020 e gennaio 2021. A complicare la situazione la sempre maggiore diffusione del Ransomware-as-a-Service, che consente anche a gruppi di attaccanti meno strutturati e con minori competenze di portare avanti campagne di ransomware. 

Anche Bitdefender, come Kaspersky, sottolinea i problemi dei dispositivi IoT a uso medico. Fra le problematiche di questi strumenti, l'azienda sottolinea le seguenti: 

• password hardcoded: gli hacker sanno come trovare le password hardcoded (a codifica fissa) della maggior parte dei dispositivi e possono usarle per penetrare nella rete di un'azienda; 

• mancanza di controlli di sicurezza: se non c'è modo di impedire agli utenti non autorizzati di accedere ai dispositivi della propria azienda, è meglio cercare un'alternativa più sicura;

• implementazione della rete: le strutture sanitarie devono integrare attentamente i dispositivi connessi nella loro rete per mitigare i potenziali rischi, altrimenti gli hacker possono sfruttare questi dispositivi;
  
  
• mancanza di credenziali di sicurezza: come parte della due diligence, le aziende dovrebbero verificare le credenziali per i device come, per esempio PCI DSS e SOC 2 Type 2, che mostrano i provvedimenti del produttore per rendere i dispositivi più sicuri.