Il Freeman Health System possiede circa 8.000 dispositivi medici connessi in 30 strutture in Missouri, Oklahoma e Kansas. Molti di questi dispositivi sono potenzialmente letali in qualsiasi momento. "Questo è lo scenario apocalittico che tutti temono", ha dichiarato Skip Rollins, chief information officer e chief information security officer della catena ospedaliera.
Rollins spera di poter scansionare i dispositivi alla ricerca di vulnerabilità e di installarvi software di sicurezza per garantire che non possano essere violati. Ma non può.
"I fornitori in questo settore sono molto poco collaborativi", ha affermato. "Hanno tutti sistemi operativi proprietari e strumenti proprietari. Non possiamo scansionare questi dispositivi. Non possiamo installare software di sicurezza su questi dispositivi. Non possiamo vedere cosa stanno facendo. I fornitori li consegnano intenzionalmente in questo modo".
I fornitori sostengono che i loro sistemi sono infrangibili, ha detto. "Abbiamo detto: "Mettiamolo nel contratto". Non hanno voluto".
Ciò può essere dovuto al fatto che questi dispositivi possono presentare un gran numero di vulnerabilità. Secondo un rapporto pubblicato all'inizio dell'anno dalla società di cybersicurezza sanitaria Cynerio, 53% dei dispositivi medici presentano almeno una vulnerabilità critica. Ad esempio, i dispositivi sono spesso dotati di password e impostazioni predefinite che gli aggressori possono facilmente trovare online, oppure eseguono versioni di Windows vecchie e non supportate.
L'aggressore non ha dormito. Secondo una ricerca Ponemon pubblicata lo scorso autunno, gli attacchi a dispositivi IoT o medici hanno rappresentato il 21% di tutte le violazioni sanitarie, la stessa percentuale degli attacchi di phishing.
Come altri fornitori di servizi sanitari, Freeman Health Systems sta cercando di convincere i fornitori di apparecchiature a prendere più seriamente la sicurezza, ma finora non ha avuto successo. "I nostri fornitori non vogliono lavorare con noi per risolvere il problema", ha detto Rollins. "Questo è il loro modello di business proprietario".
Pertanto, alcuni dispositivi sono collocati in aree accessibili al pubblico, alcuni hanno porte USB accessibili, sono collegati alla rete e non rispondono direttamente ai problemi di sicurezza.
Con i budget ridotti, gli ospedali non possono minacciare i fornitori di ritirare le vecchie apparecchiature e sostituirle con altre più recenti, anche se sono disponibili alternative più sicure. Pertanto, Freeman Health utilizza strategie di mitigazione basate sulla rete e altre soluzioni per ridurre il rischio.
"Controlliamo il traffico in entrata e in uscita", ha detto Rollins, che utilizza lo strumento di monitoraggio del traffico di Ordr. I firewall possono bloccare le comunicazioni verso siti sospetti e il movimento laterale verso altri sistemi ospedalieri è limitato dalla segmentazione della rete. "Ma questo non significa che il dispositivo non possa essere compromesso perché sta curando i pazienti".
A complicare ulteriormente le cose, il blocco della comunicazione di questi dispositivi con altri Paesi può impedire l'installazione di aggiornamenti critici. "Non è insolito che le apparecchiature vadano in Cina, Corea del Sud o addirittura Russia, perché i componenti sono prodotti in tutte quelle parti del mondo", ha detto.
Rollins ha dichiarato di non essere a conoscenza di tentativi reali di danneggiare altre persone attraverso l'hacking di dispositivi medici. "Almeno oggi, la maggior parte degli hacker è alla ricerca di un guadagno, non di fare del male alle persone", ha detto. Tuttavia, gli attacchi da parte di Stati nazionali come quello di SolarWinds, che ha preso di mira i dispositivi medici, hanno il potenziale per causare danni incalcolabili.