L’unico modo per mettere in sicurezza i sistemi informatici da attacchi malevoli è avere quantomeno lo stesso approccio dei “cattivi” per implementare processi adeguati a mitigare i rischi e prevenire brutte sorprese.
Tale approccio vale a tutti i livelli ed in tutti i settori, in particolare in quello medico, dove la posta in gioco ha un prezzo molto alto. A rischio è la salute delle persone.
I professionisti della Sicurezza Informatica sono al corrente dei rischi latenti. Negli ultimi anni non sono mancati casi che hanno fatto notizia più del solito, come il worm WannaCry che nel 2017 ha colpito “anche” i sistemi sanitari di mezzo mondo facendo saltare operazioni chirurgiche, appuntamenti ambulatoriali e creato non pochi problemi agli operatori sanitari di reparto.
Si noti bene che la diffusione del “virus” è stata fermata da un esperto hacker inglese di 23 anni, Marcus Hutchins, e non certo da agenzie governative.
Un esempio di quanto la cyber community sia attiva e spinga nella giusta direzione le barriere della conoscenza per il bene comune, lo si apprezza in casi come il BioHacking Village durante la conferenza DEFCON.
Ricercatori, clinici, medici ed esperti di sicurezza valutano insieme le diverse vulnerabilità, e trovano nuovi modi di hackerare sistemi e dispositivi ospedalieri al fine di renderli migliori. Tutte le vulnerabilità vengono riportate ai produttori, i quali possono mitigare le falle di sicurezza rendere i prodotti più sicuri per i pazienti.
Ad esempio, durante l’edizione quest’anno, sono attesi almeno dieci grandi produttori come Philips Health, Medtronic, Abbott e Becton Dickinson (nelle scorse edizioni invece la presenza di queste aziende è stata decisamente minore) e, per la prima volta, sarà presente non solo un vero e proprio ospedale (senza pazienti) dove i partecipanti alla conferenza potranno confrontarsi con macchinari, sistemi e configurazioni reali, ma una vera e propria sfida Capture the Flag (CTF) da giocare in questo scenario.
Questo è un passaggio fondamentale, che risente anche di un contesto legale che lentamente si sta adattando al mondo reale: basti pensare che fino all’eccezione del Digital Millenium Copyright Act pubblicata nel 2016, questo tipo di attività, anche solo per scopi di ricerca, avrebbe costituito un crimine penale.
I punti di ingresso per attacchi sono moltissimi e le scarse competenze cyber dei decisori (sia pubblici che privati) non aiuta i professionisti a fare bene. I punti da mettere in sicurezza sono troppi per gruppi di lavoro impreparati. Il panorama digitale nel settore healthcare è destinato ad ampliarsi nei prossimi anni, e con esso anche i rischi informatici quali: privacy, sicurezza dei pazienti, cartelle cliniche digitali, reti ospedaliere, laboratori biologici, apparecchiature mediche in fase di testing e dispositivi medicali indossabili (IoT).
Quale ospedale, nel mondo, è oggi in grado di valutare se un problema fisico riscontrato da un paziente è causato da un dispositivo medico compromesso? Quante persone in un ospedale sono capaci di effettuare analisi forense su dispositivi medici?
Molto probabilmente nessuno. Il che è davvero pericoloso. È necessaria maggiore consapevolezza del personale medico, formazione tecnica e risorse finanziarie, per approcciare tali argomenti con occhi e menti aperte e rivolte al futuro. Senza mai dimenticare che ciò che conta è la salute di tutti.
Fortunatamente oggi, seppure molto lentamente ed in gran ritardo, alcune cose si stanno muovendo: su impulso del gruppo #WeHeartHackers è stato pubblicato il “Giuramento di Ippocrate per i dispositivi medici connessi”, la Food and Drugs Administration (FDA) sta iniziando ad esprimersi ufficialmente sul tema ed è stato creato un canale tematico per rimanere aggiornati sul tema. Per quanto siamo ancora agli inizi, qualcosa inizia a muoversi.
Autoritratto, acquarello di Moriah Gilbert.
Prima opera d’arte a partecipare al Biohacking Village Call for Art
Valerio Cestrone
Marco FM Vismara
