L'APPROFONDIMENTO

Operazione Warp Speed, la cyber security sanitaria passa anche per il vaccino anti-Covid

L’operazione Warp Speed è un’iniziativa USA di collaborazione tra pubblico e privato per lo sviluppo di vaccini, terapie, e test diagnostici per il coronavirus: la sua messa in sicurezza rappresenta uno sforzo colossale che sta impegnando diverse agenzie di security e può fornire importanti lezioni su information security e sanità. Ecco perché

23 Set 2020
F
Francesco Ferazza

CISSP, Consulente IT

Nel maggio 2020 viene avviata dall’amministrazione Trump l’operazione Warp Speed, un’iniziativa di collaborazione tra pubblico e privato con lo scopo di facilitare ed accelerare lo sviluppo di vaccini, terapie, e test diagnostici per il 2019-nCoV.

Operazione Warp Speed: di cosa si tratta

La necessità di proteggere l’operazione da attacchi informatici è stata evidente fin dall’avvio dei lavori. Proprio per questo scopo, cioè garantire “Security and Assurance” a Warp Speed, è nata l’attività combinata del DDS (Defense Digital Service del pentagono), NSA, FBI, CISA, e DHS.

WHITEPAPER
Come abilitare elevati standard di sicurezza, crittografia e monitoraggio dei dati?
Datacenter
Datacenter Infrastructure Management

L’obiettivo principale è quello di garantire consulenza, guida e servizi di sicurezza ai colossi farmaceutici coinvolti nella ricerca e sviluppo del vaccino, nella sua manifattura, e nella sua distribuzione.

Si parla di colossi veri e propri del settore, da Johnson & Johnson a Moderna ad AstraZeneca, per quanto riguarda lo sviluppo di vaccini e terapie.

Lo sforzo richiesto per garantire livelli di sicurezza accettabili è enorme, in quanto la superficie di attacco è estremamente vasta: l’intera supply chain dell’operazione Warp Speed composta da centri di ricerca, aziende che produrranno e quelle dovranno distribuire vaccini e terapie sul suolo americano (e oltre) e tutte le loro infrastrutture.

Questo lo ricorda anche Bill Evanina in un suo intervento alla U.S Chamber of Commerce: “Once we identify a vaccine, we have to manufacture that and distribute that. That provides a lot of vulnerabilities for adversaries to infiltrate the supply chain. We have to be able to secure that”.

Questa messa in sicurezza ha già fornito i primi risultati, con l’identificazione nei mesi di luglio e agosto di diversi tentativi, soprattutto da attori state-sponsored russi e cinesi di raccogliere informazioni classificate sullo sviluppo dei vaccini.

Operazione Warp Speed: proteggere l’infrastruttura

Come abbiamo visto, diverse agenzie si stanno occupando della sicurezza di Warp Speed.

Un difetto che quasi tutte queste agenzie hanno in comune è la scarsa familiarità con l’infrastruttura sanitaria.

Generalmente, infatti, la maggior parte degli sforzi legati all’intelligence sono mirati al terrorismo, all’attività militare, o alla proliferazione nucleare.

Gli aspetti legati a salute e sanità sono spesso messi in secondo piano in quanto, fino all’avvento della Covid-19, sono sempre stati fortemente limitati geograficamente a singoli paesi, mai globali, e raramente adiacenti agli Stati Uniti.

La minaccia maggiore, per il momento, sono attacchi informatici mirati a manipolare, cancellare o sottrarre informazioni legate allo sviluppo ed ai trial dei vaccini.

Questo è stato più volte sottolineato da Brett Goldstein, direttore del DDS, che spiega come – ad esempio – siano potenzialmente enormi i danni in caso di manomissione dei dati di un grande trial clinico a doppio cieco.

Si potrebbero falsare risultati e statistiche, vanificando il lavoro di mesi, se non anni di ricerca. In un “worst-case scenario” si potrebbe perfino portare allo sviluppo ed alla distribuzione di vaccini inutili, se non in grado di causare nocumento alla salute.

A grandi linee, il supporto fornito all’operazione Warp Speed è il seguente:

  1. esperti della neonata CISA vengono assegnati per analizzare potenziali falle e gestire gli incidenti presso le aziende coinvolte nell’operazione ed effettuare analisi post-mortem di potenziali intrusioni e attacchi;
  2. le agenzie sotto il Dipartimento della Difesa effettuano riunioni giornaliere per monitorare gli sforzi ed il lavoro effettuati;
  3. vengono effettuati briefing, sia a livello classificato che no, per condividere la threat intelligence con gli attori coinvolti;
  4. un continuo scanning di qualunque dispositivo connesso ad internet delle compagnie parte dell’operazione.

Un’attenzione particolare è prestata alla sicurezza di Moderna, l’unica azienda che sta conducendo la terza fase dei trial clinici e che è già stata più volta nelle mire di attacchi state-sponsored cinesi.

I limiti della Information Security nella sanità USA

Storicamente l’information security posture media nella sanità degli States è stata più debole rispetto a quella di altri settori (n.d.a.: molte delle successive riflessioni sono applicabili anche all’ambito italiano ed europeo).

Le ragioni di questo non sono spesso tecniche, ma legate ad un’errata concettualizzazione delle minacce e dei rischi.

Principalmente ci sono due assunzioni che impediscono una corretta threat intelligence:

  1. la confidenzialità dei dati del paziente è la prima (se non unica) preoccupazione dell’information security sanitaria;
  2. la natura aperta degli studi scientifici sottoposti a peer review rende inutile la confidenzialità degli stessi.

La prima assunzione è comprensibile e condivisibile: la privacy dei dati sanitari è ovviamente di primaria importanza.

Purtroppo, però, questa attenzione verso la sola tutela della confidenzialità del dato sanitario porta – spesso – ad ignorare altri aspetti della triade dell’information security, in particolare quello dell’integrità dei dati. Ad esempio, come scritto poco sopra, i danni causati da una manomissione sistematica dei dati di un trial clinico potrebbero essere colossali.

La pericolosità e fallacia della seconda assunzione sono facilmente spiegabili analizzando una recente dichiarazione in cui Anthony Fauci non si diceva preoccupato degli attacchi mirati a rubare le informazioni legate al vaccino: “What we do is transparent … if they want to hack into a computer and find out results of a vaccine trial … they’re going to hear about it in the New England Journal of Medicine in a few days anyway”.

Questa posizione di Fauci, da un punto di vista di interesse nazionale ed in termini di vantaggio competitivo, è completamente errata.

Un conto è condividere pubblicamente i risultati di una ricerca con gli altri paesi, un conto è lasciare in mano ad un altro paese ogni dettaglio tecnologico e di processo di come si sia raggiunto tale risultato.

La perdita di vantaggio competitivo è critica.

Questa visione limitata della threat intelligence nel mondo sanitario è uno dei principali aspetti su cui la task force sta concentrandosi maggiormente, solo avendo una visione chiara di vulnerabilità, minacce, e rischi si può pianificare una difesa solida.

Operazione Warp Speed: l’attività post-vaccino

La protezione fornita all’operazione Warp Speed non finirà con l’arrivo del vaccino, anzi, continuerà su due fronti ben distinti.

Primo fronte

Se al momento il focus è principalmente sulla sicurezza delle infrastrutture di ricerca e sviluppo, a vaccino ultimato si renderà indispensabile spostare l’attenzione sulla supply-chain di produzione e distribuzione dello stesso.

Secondo fronte

Alcune fonti del Pentagono rivelano come ci sia forte preoccupazione per l’opera di disinformazione continua da parte di Cina e Russia in particolare.

Se questi paesi riuscissero a minare la fiducia degli americani nella sicurezza ed efficacia del vaccino, portando ad una mancata vaccinazione di massa, i danni sarebbero incalcolabili. In primo luogo, perché non si arginerebbe in maniera sufficiente la diffusione del virus, in secondo luogo perché le risorse spese per l’operazione Warp Speed sarebbero, di fatto, sprecate.

Conclusioni

La messa in sicurezza di Warp Speed è uno sforzo colossale che sta impegnando diverse agenzie in maniera costante.

Risulta evidente come il lavoro da svolgere sia complesso ed articolato, data l’enorme superficie di attacco dell’intera supply chain, dalla ricerca e sviluppo, alla produzione, alla distribuzione.

Risulta altresì evidente come l’aver sempre considerato di secondo piano la sicurezza di questa filiera e come una biased threat intelligence abbiano esposto a rischi superiori al necessario.

Speriamo che da questa esperienza i governi, non solo quello Americano, imparino delle lezioni importanti su information security e sanità.

WHITEPAPER
Scopri come risolvere in autonomia i problemi quotidiani legati all’IT
CIO
Manifatturiero/Produzione
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2