Il Federal Bureau of Investigation (FBI) ha avvertito le strutture sanitarie sui possibili rischi derivanti dall’utilizzo di dispositivi medici obsoleti e/o senza patch pubblicando raccomandazioni per proteggerli dagli attacchi informatici.
Le possibili minacce
Secondo l’agenzia il 53% di tutti i dispositivi medici e IoT utilizzati negli ospedali conterrebbero vulnerabilità di sicurezza critiche note.
“Circa un terzo dei dispositivi IoT per l’assistenza sanitaria presenta un rischio critico identificato, potenzialmente in grado di compromettere il funzionamento tecnico” si legge nel rapporto dell’FBI.
Oltre al software obsoleto, ulteriori vulnerabilità sarebbero dovute alla configurazione di default del produttore spesso facilmente sfruttabile da parte degli attori malevoli, dal software proprietario che richiede procedure speciali di aggiornamento e patch, dalla mancata progettazione secondo il modello Security/Privacy by design.
Tra i device suscettibili sono inclusi tra gli altri anche i defibrillatori, i pacemaker e le pompe per insulina smart i cui difetti di sicurezza potrebbero mettere in serio pericolo non solo la sicurezza dei pazienti (basti pensare come attori malevoli sfruttando tali vulnerabilità possano fornire letture inaccurate e somministrare overdosi di farmaci) ma anche le operazioni quotidiane delle strutture sanitarie e la riservatezza/integrità dei dati.
Raccomandazioni
L’FBI raccomanda alle organizzazioni non solo di identificare le vulnerabilità nei dispositivi medici ma anche di proteggerli attivamente e di aumentare la consapevolezza del rischio tra i dipendenti.
Le organizzazioni possono utilizzare una protezione degli endpoint e crittografare i dati utilizzati dai dispositivi. Inoltre, è fondamentale utilizzare password complesse per ogni dispositivo medico e mantenere un sistema elettronico di gestione dell’inventario per tutto l’hardware e software associato. Ciò aiuterà a identificare i dispositivi medici critici e condurre regolarmente scansioni di vulnerabilità per correggere tempestivamente ogni nuova vulnerabilità scoperta. Infine è raccomandabile una buona formazione per i dipendenti su come identificare e segnalare le potenziali minacce.
