La presenza sempre più diffusa di dispositivi IoT in ambito sanitario, cioè di device riconducibili all’universo IoMT (Internet of Medical Things), sta andando di pari passo con un’importanza crescente ai profili di sicurezza che bisogna adottare per la salvaguardia dei dati riguardanti pazienti e strutture di cura. Una recente indagine condotta da Cynerio, dal titolo The State of Healthcare IoT Device Security 2022, ha esaminato lo stato dell’arte e le prospettive della security dell’IoMT alla luce soprattutto dell’esplosione di cyber attack, ransomware in primis, che si sono registrati nel biennio della pandemia. Le informazioni contenute nel report si fondano sull’analisi di oltre 10 milioni di dispositivi IoT e IoMT adoperati in più di 300 tra ospedali e strutture sanitarie statunitensi e di tutto il mondo. Di seguito, ecco quali sono i dispositivi IoT più utilizzati e quali le maggiori vulnerabilità alle quali sono esposti.
Indice degli argomenti
I principali dispositivi IoMT e IoT utilizzati in sanità
Al primo posto, con un 38% di device IoTM rilevati da Cynerio, si collocano le pompe infusionali. Le ragioni di questo primato derivano dal fatto che la maggior parte dei pazienti ha bisogno di terapie durante il soggiorno in ospedale che vengano somministrate in quantità e in tempi molto precisi. Le pompe infusionali assolvono a questa necessità riducendo al minimo il margine di errore e garantendo una somministrazione del farmaco molto accurata. A seguire, troviamo i monitor per i pazienti (19%), i glucometri (7%), i gateway (3%), i dispenser di medicine (3%), i dispositivi basati su ultrasuoni (3%), i connettivity engine (3%), le DICOM (Digital imaging and communications in medicine) workstation (2%), i terminal server (2%) e i sistemi CAD (1%).
A questo elenco, il report ne affianca un altro formato da dispositivi IoT non medicali che vengono impiegati solitamente nei nosocomi e nei laboratori per facilitare i flussi di lavoro. Comprendono ad esempio telefoni VoIP (39%), stampanti (18%), access point (7%), sistemi di chiamata infermiere (2%) e altri device dal cui corretto funzionamento dipende l’efficacia stessa delle cure. Ecco perché la sicurezza a supporto dell’IoT in sanità non può escludere questa categoria di “oggetti” anche se non rientrano fra quelli di tipo IoTM in senso stretto.
Frequenza di utilizzo e varietà dei sistemi operativi
Un altro aspetto su cui si sofferma lo studio di Cynerio è quello inerente alla frequenza di utilizzo del dispositivo IoT per l’assistenza sanitaria. Quelli costantemente in uso sono più soggetti ai rischi derivanti dal mancato aggiornamento delle patch, che richiede momenti di arresto del sistema per essere effettuato. A ciò si aggiunge la circostanza che, a differenza del mondo IT dominato da Microsoft Windows come sistema operativa, nell’IoT sanitario esistono soluzioni molto diverse tra di loro, sebbene quasi la metà dei dispositivi presi in esame nell’indagine girino su Linux a motivo della stabilità e della possibilità di personalizzazione offerta dalla nota piattaforma open source. Di fatto, però, è molto difficile implementare tecnologie EDR (Endpoint Detection and Response) per via della grande varietà di sistemi operativi che alimentano i dispositivi IoTM.
Pur rappresentando una quota di minoranza tra i device IoT sanitari, quelli che ancora impiegano versioni di Windows obsolete, anteriori a Windows 10 che ha introdotto significativi miglioramenti alla sicurezza, tendono a concentrarsi nei reparti ospedalieri responsabili della cura diretta dei pazienti come farmacologia, oncologia, laboratorio e radiologia. Le implicazioni per la sicurezza, in questi casi, assumono particolare criticità, visto che la maggior parte degli attacchi malware e ransomware sono progettati per colpire l’ambiente Windows. E se si stratta di dispositivi in esecuzione su una versione di Windows non più aggiornabile, questo fa aumentare esponenzialmente la loro vulnerabilità.
Come si calcola il rischio nell’IoMT e quali sono i più comuni
Per calcolare il livello di rischio dei dispositivi IoT nell’healthcare Cynerio ricorre allo standard CVSS (Common Vulnerability Scoring System) elaborato in base ai criteri dello statunitense NIST Cybersecurity Framework. Il punteggio consente di definire la vulnerabilità dal punto di vista della sicurezza del paziente, della riservatezza dei dati o della disponibilità del servizio. Più della metà dei dispositivi IoT sanitari attualmente presenti negli ospedali, pari al 53% del campione, ha almeno un fattore di rischio su uno di questi tre versanti considerato critico.
Tra i rischi più comuni dell’IoT sanitario, oltre a quelli noti come Urgent/11 o Ripple20 che riguardano la sicurezza di milioni di dispositivi connessi, rientrano anche rischi molto più banali, in linea con le vulnerabilità tipiche dell’IT e causate da una mancanza basilare di “hygiene” nella cybersecurity. Un classico esempio è lasciare invariate le password delle impostazioni predefinite, rendendo così accessibili i device agli attaccanti semplicemente tramite la consultazione dei manuali dei dispositivi reperibili online. Dovendo, poi, identificare quali sono i device la cui compromissione possa avere un effetto maggiormente dannoso sui pazienti, questi vanno circoscritti ai dispositivi più vicini al malato, come sono quelli in prossimità del letto d’ospedale. In generale, spesso manca la visibilità su vulnerabilità basilari come la convalida impropria dell’input o l’autenticazione impropria. Quale che sia il problema, la soluzione può essere di tre tipi: remediation, mitigation, acceptance. Termini che appartengono al mondo della cybersecurity e sui quali occorre fare un po’ di chiarezza con riferimento al contesto IoTM.
A cosa serve la segmentazione nella sicurezza dell’IoT sanitario
Il rischio nell’IoT sanitario può essere corretto in via definitiva (remediation), ridotto in termini di probabilità (mitigation), non affrontato per la sua bassa criticità o perché lo sforzo richiesto risulta troppo eccessivo per porvi rimedio o mitigarlo (acceptance). Le patch sono la strada maestra per ottenere la remediation, ma non sempre sono un’opzione praticabile. Quando si tratta di dispositivi IoT di tipo medicale, infatti, i lunghi cicli di vita previsti tendono a non coincidere con una copertura del produttore così estesa e quindi l’evoluzione delle forme di attacco sfrutta proprio l’obsolescenza dell’oggetto da colpire. Questa circostanza rende la mitigazione non tanto la scelta preferibile, quanto l’unica possibilità disponibile. La mitigazione coincide con quella che si può definire “virtual patching”, la migliore alternativa qualora un produttore non voglia o non possa più rilasciare una patch per il proprio device. La terza ipotesi per contrastare le vulnerabilità comprende la quarantena e la segmentazione. La prima è una pratica reattiva immediata messa in atto per chiudere un rischio o un attacco, la seconda è una risposta proattiva a lungo termine che serve a prevenire futuri attacchi prima che possano essere lanciati. Quest’ultima, soprattutto nella forma della segmentazione del network effettuata tramite Virtual Local Area Networks (VLAN), rende una rete più sicura poiché inibisce il suo attraversamento da parte di chi è senza autorizzazione. Un’efficace segmentazione, secondo quanto riporta l’indagine di Cynerio, permette all’IoT in sanità di affrontare il 92% dei rischi critici rilevati e di ridurre la vulnerabilità nel 67% dei dispositivi.
