Kevin Fu. Credito:Università del Michigan
Gli ospedali americani sono stati testimoni di un assalto di violazioni della sicurezza per tutto il 2021, con oltre 40 milioni di cartelle cliniche compromesse in incidenti segnalati al governo federale. Alcuni attacchi hanno persino minacciato l'assistenza sanitaria, mettendo offline i sistemi di comunicazione per settimane o provocando un'interruzione della radioterapia.
Kevin Fu, professore associato presso l'Università del Michigan e direttore ad interim, Medical Device Cybersecurity presso il Center for Devices and Radiological Health della FDA statunitense, si è incontrato con noi e ha discusso la tendenza allarmante e le misure possibili per affrontarla.
Parlaci della portata di questo problema
Il 2021 è stato un anno abbastanza importante per gli attacchi ransomware alla fornitura di servizi sanitari. È molto dirompente e colpisce il cuore dei punti deboli della sicurezza:l'elemento umano che si insinua.
Ad aprile alla FDA abbiamo assistito al primo caso in cui il ransomware è andato oltre l'interruzione delle cartelle cliniche elettroniche, che fino ad oggi era un problema abbastanza comune e scomodo. Questo attacco ha influito sulla sicurezza e l'efficacia della radioterapia per l'oncologia delle radiazioni del cancro.
Questo attacco ha preso di mira un produttore, invadendo un cloud privato utilizzato per la dosimetria dell'oncologia delle radiazioni con un ransomware e provocando un'interruzione significativa per gli ospedali che utilizzano la loro tecnologia. La cosa interessante è che non è stato il ransomware stesso, ma il processo di riparazione a causare l'interruzione. Il produttore ha seguito il proprio programma di sicurezza IT portando offline il proprio cloud quando è stato infettato.
Sfortunatamente, ciò significava che il cloud non era disponibile per una particolare linea di prodotti di radioterapia oncologica e quindi gli ospedali che utilizzavano il prodotto non erano in grado di erogare la radioterapia.
Quando pensiamo al ransomware ospedaliero, tendiamo a pensare all'edificio stesso e ai dispositivi che sono confinati tra quelle mura, ma in realtà sembra che i punti di guasto a rischio si estendano ben oltre la catena di approvvigionamento
Sì, e penso che una vera sfida sia un cambiamento nel modo di pensare. Esistono sistemi IT (e-mail, lezioni in aula, cose del genere) e hanno i propri rischi. Ma d'altra parte hai la tecnologia operativa, quella che chiamiamo OT, inclusi dispositivi medici, veicoli autonomi o risorse satellitari nello spazio. Hanno una serie diversa di requisiti e tendono a concentrarsi prima sulla sicurezza.
Quindi, anche se potresti tollerare di interrompere il sistema di posta elettronica per un'azienda a causa di un incidente di sicurezza, non è proprio qualcosa sul tavolo per un sistema cinetico in cui la vita delle persone dipende da questo.
Perché adesso? C'è qualche motivo particolare per cui si tratta di un problema in aumento?
Suggerirei molteplici fattori. Questi problemi sono stati inseriti nell'informatica sin dall'inizio e questo tipo di attacco avrebbe potuto essere eseguito benissimo negli anni '60.
Ma penso che il motivo per cui sta accadendo nel 2022 sia che abbiamo raggiunto un punto di svolta in cui il grado di connettività tra dispositivi e servizi in tutti i settori è esploso. Ora dipendiamo dal calcolo distribuito. Cinque o dieci anni fa avremmo potuto utilizzare il cloud computing per comodità, o forse per il backup o l'archiviazione secondaria. Ma ora si sta muovendo nel percorso critico, fa parte dei componenti essenziali di un dispositivo medico. E se va giù, il dispositivo medico perde la sua principale funzionalità terapeutica.
È un'era dura. Non c'è nulla di intrinsecamente sbagliato nel cloud computing, ma devi controllare i rischi in base al tuo modello di minaccia. E la mia osservazione è che il modello di minaccia per un dispositivo medico è molto diverso dall'e-mail aziendale.
Ci sono dei punti deboli principali che sono i frutti a bassa caduta da affrontare?
Il frutto basso in termini di facilità di riparazione sarebbe quello che è diventato noto come modellazione delle minacce. Questo è qualcosa che in realtà insegniamo nei corsi di sicurezza informatica. Implica il ruolo dell'avversario, cercando di pensare a come il sistema potrebbe resistere non solo alle minacce di oggi, ma anche a quelle future.
Questo è qualcosa che penso possa essere molto utile perché, anche con un dispositivo legacy, i produttori possono capire meglio cosa è a rischio. Iniziano riconoscendo che il dispositivo è suscettibile ai malware moderni perché è stato progettato 20 anni fa.
Gli attacchi alle cartelle dei pazienti prendono di mira più spesso ospedali isolati o server condivisi?
Non sono ancora a conoscenza di un provider cloud preso di mira specificamente perché serve una moltitudine di produttori di dispositivi medici. Non sarei sorpreso se ciò accadesse accidentalmente a un certo punto.
Ci auguriamo certamente che i fornitori di servizi cloud che servono il settore sanitario prestino attenzione ad alcuni degli standard di sviluppo per garantire che i dispositivi degli ospedali rimangano sicuri ed efficaci, anche se utilizzano il cloud.
Questo è possibile da una prospettiva ingegneristica, ma richiede passaggi consapevoli e deliberati se si desidera una ragionevole sicurezza. Non vuoi avere sicurezza per fortuna, vuoi avere sicurezza per design.
Qual è il messaggio per le parti interessate e il pubblico?
Questo non è un tipo di evento da corsa per le colline, è più un'ebollizione lenta.
Il pubblico può avere un certo grado di soddisfazione per il fatto che le diverse agenzie di regolamentazione nei diversi paesi stiano effettivamente lavorando insieme in anticipo su questi problemi. Stanno lavorando per aiutare a mantenere gli ospedali informati sui rischi per la sicurezza di ciascun dispositivo, in modo che possano implementarli in modo sicuro.
Ci sono molte cose in background, sia tecniche che politiche, che miglioreranno i dispositivi.
La FDA sta lavorando strategicamente allo sviluppo di standard per progettare molti rischi per la sicurezza, ma una sfida è che c'è un bel po' di software legacy sul mercato, in gran parte vecchio di decenni. Cercare di mantenere questi dispositivi al sicuro è incredibilmente difficile una volta che il cavallo è fuori dal cancello.
A tal fine ci sono anche molte misure temporanee in corso per affrontare i dispositivi obsoleti e legacy. È difficile, ma non impossibile, mantenere questi dispositivi sicuri ed efficaci fino a quando non sarà disponibile un dispositivo più ideale, con sicurezza integrata fin dall'inizio.