L'APPROFONDIMENTO

Cyber security nel settore sanitario, a rischio apparecchiature mediche e dati riservati: lo scenario

Nel contesto dell’attuale pandemia di Covid-19, è importante parlare di cyber security nel settore sanitario: a parte rubare le cartelle cliniche dalle strutture che non le proteggono come dovuto, infatti, un hacker potrebbe anche prendere il controllo di apparati e molto altro. Ecco con quali conseguenze

05 Mag 2020
R
Walter Rocchi

Trainer, GDPR, ISO27001 LI/LA


Non bastasse la pandemia di Covid-19 che ha già arrecato gravi danni all’economia mondiale e messo in situazione di forte emergenza tutte le strutture sanitarie, un altro virus sta sconvolgendo il settore dell’Healthcare, solamente stavolta è informatico e ha riportato in primo piano l’importanza della cyber security nel settore sanitario.

Il primo allarme è stato lanciato lo scorso 30 marzo dall’FBI. Con un comunicato, il Bureau ha “rilanciato” un articolo di Europol del 27 marzo, puntando il dito contro il crescendo di attacchi svolti da una tipologia di malware nota come Kwampirs.

Il quale Kwampirs ha già fatto un’illustre vittima in Italia: l’ormai arcinoto Ospedale Spallanzani di Roma, anche se le fonti ufficiali della Procura della Repubblica di Roma non hanno ancora riferito esattamente il tipo di attacco.

Nello stesso periodo, la Repubblica Ceca ha riferito di un attacco informatico all’ospedale universitario di Brno che ha costretto i vertici della struttura sanitaria a chiudere l’intera rete IT, a rinviare interventi chirurgici urgenti e a reindirizzare i nuovi pazienti acuti a un ospedale vicino.

Nel corso del 2019, secondo una ricerca pubblicata dall’HIPAA Journal[1], solo negli Stati Uniti sono stati esposti a violazioni dei dati oltre 38 milioni di cartelle cliniche. Ciò significa che solo quest’anno i dati sanitari dell’11,64 per cento della popolazione statunitense sono stati esposti, rubati o divulgati in modo errato; inoltre, la ricerca è stata effettuata nel mese di ottobre dello scorso anno, quindi, alcune settimane prima della fine del 2019.

Cyber security nel settore sanitario: la situazione in Europa

Relativamente all’Healthcare non abbiamo statistiche a livello Europeo. La situazione, comunque, non sembra essere così diversa da quella degli Stati Uniti: dai 13.000 fascicoli elettronici non criptati a causa di un mancato update di un software, fino ad arrivare a 13 cliniche tra Bonn e Mannhein completamente bloccate (entrambi in Germania), abbiamo il Rouen’s Centre Hospitalier Universitaire (CHU), le cui strutture sono rimaste bloccate per diversi giorni.

E in Italia? Un attacco ransomware ha congelato per giorni le attività dell’Ospedale Fatebenefratelli di Erba e, come se non bastasse, più di 35mila radiografie sono state rese inaccessibili.

I danni di un attacco hacker ad una struttura sanitaria

A parte rubare le cartelle cliniche dalle strutture che non le proteggono come dovuto, un hacker motivato e determinato può, ferme restando le eventuali carenze di sicurezza infrastrutturali, prendere il controllo di apparati e molto altro.

Nella tabella sottostante è riportato un esempio di hacking di una macchina per la risonanza magnetica (MRI).

Attività hackerPossibili risultati
Annullare la potenza dei campi magneticiLa risonanza magnetica cessa di funzionare quando il campo collassa.
Aumentare l’intensità della risonanza magnetica del campo magneticoPotenziale riscaldamento dei tessuti e ustioni per il paziente. Probabile danneggiamento della macchina.
Può trasmettere più potenza di quella che la bobina è stata progettata per gestirePuò danneggiare o rovinare la macchina o altri dispositivi elettronici nelle vicinanze
Disattivare tutti gli allarmiIl personale non è a conoscenza delle condizioni di pericolo
Disattivare il macchinario, crittografare i file interni e/o Interferire con il funzionamento della risonanza magneticaÈ richiesto un riscatto per sbloccare la risonanza magnetica
Modifica le informazioni sul displayProvoca confusione riguardo al protocollo. Fa sì che la risonanza magnetica generi allarmi casuali
Riavvio della macchinaCancella le impostazioni di configurazione
Fai in modo che la macchina associ il file di un paziente all’immagine di un altro pazienteLa diagnosi viene consegnata al paziente sbagliato

Ed ecco un altro esempio di hacking, questa volta però ai danni di una macchina per tomografia ad emissione di positroni.

Disattiva l’audio di tutti gli allarmiL’infermiere non è consapevole quando la PET non riesce.
Disattiva PET, crittografa i file interniImmagini diagnostiche non raggiungibili. Hacker richiede un riscatto per sbloccare i file PET.
Modifica i protocolli memorizzati nella memoria PETSeguito protocollo diagnostico errato.
Fa sì che il PET emetta allarmi casualiInterferisce con la diagnostica del paziente.
Fa riavviare la macchinaCancella le impostazioni di configurazione
Fai in modo che la macchina associ il file di un paziente all’immagine di un altro pazienteDiagnosi consegnata al paziente sbagliato.

Cosa non ci dicono (perché non riescono a calcolare)

Immaginiamo uno scenario in cui c’è un’emergenza medica, il paziente corre in ospedale ma lo trova chiuso. Un venerdì mattina del mese di settembre 2019, questo ipotetico scenario è diventato una realtà per una comunità nel nord est del Wyoming, negli Stati Uniti.

Campbell County Health ha subito un attacco ransomware nel sistema informatico che ha causato il blocco dell’ospedale principale e quasi 20 cliniche situate nella città di Gillette. Per otto ore, il pronto soccorso dell’ospedale è stato costretto a non accettare pazienti e a trasferirli nella struttura più prossima, a 70 miglia di distanza. Il sistema sanitario ha smesso di inviare nuovi pazienti all’ospedale, i laboratori sono stati chiusi e alcuni interventi chirurgici sono stati rinviati. Sono stati necessari 17 giorni per ripristinare l’ordine normale.

La causa è stata il ransomware, una forma sempre più frequente di violazione digitale che è raddoppiata nei vari settori nel primo trimestre del 2019, secondo McAfee Labs. Oggi, questo tipo di attacchi informatici e altri attacchi affliggono i fornitori di servizi sanitari in tutto il mondo.

Ma si può essere sorpresi di apprendere che, in seguito a un data breach, anche la salute dei pazienti (e prima o poi saremo tutti pazienti di un qualche ospedale) né può essere influenzata, anche dopo molto tempo dopo che la situazione è tornata alla normalità, e le cartelle cliniche elettroniche sono al loro posto.

Una nuova ricerca ha scoperto che negli ospedali che hanno subito una violazione dei dati, il tasso di mortalità tra i pazienti affetti da infarto cardiaco è aumentato nei mesi e negli anni successivi. Questo aumento della mortalità non sembra essere dovuto ai responsabili stessi degli attacchi – gli hacker non controllano l’assegnazione dei farmaci o dei medici. Il problema può piuttosto risiedere nel modo in cui i sistemi sanitari regolano la loro sicurezza informatica dopo un attacco, secondo uno studio pubblicato nel numero di ottobre 2019 di Health Services Research, il cui abstract è riportato nella tabella sottostante.

ObiettiviStimare la relazione tra gli sforzi di riparazione delle violazioni e la qualità delle cure ospedaliere.
Origine dei datiDatabase pubblico del Dipartimento della sanità e dei servizi umani (HHS) sulle violazioni dei dati ospedalieri e dati pubblici di Medicare Compare sulle misure di qualità dell’ospedale per il 2012-2016.
Materiali e metodiI dati sulla violazione dei dati sono stati fusi con i dati di Medicare Compare per gli anni 2012-2016, dando luogo a un panel di 3025 ospedali con 14 297 osservazioni specifiche per anno.
Design dello studioLa relazione tra la risoluzione delle violazioni e la qualità dell’ospedale è stata stimata utilizzando una regressione di differenza nelle differenze. La qualità dell’ospedale è stata misurata dal tasso di mortalità per infarto miocardico acuto a 30 giorni e dal tempo dalla porta all’elettrocardiogramma.
Risultati principaliIl tempo di degenza all’elettrocardiogramma in ospedale è aumentato di 2,7 minuti e la mortalità acuta per infarto miocardico a 30 giorni è aumentata di 0,36 punti percentuali durante la finestra di 3 anni a seguito di una violazione.
ConclusioneGli sforzi di risoluzione delle violazioni sono stati associati al deterioramento della tempestività delle cure e degli esiti dei pazienti. Pertanto, gli ospedali violati e il controllo HHS dovrebbero valutare attentamente le iniziative di sicurezza correttiva per ottenere una migliore sicurezza dei dati senza influire negativamente sui risultati dei pazienti.
WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

Secondo il coautore dello studio, Eric Johnson, ricercatore di sicurezza IT e decano dei laureati della Vanderbilt University School of Management, le infrastrutture ospedaliere stanno incrementando il livello di sicurezza interno, quali password più sicure, applicazione della password e autenticazione a due fattori.

Il risanamento della sicurezza informatica negli ospedali sembra rallentare medici, infermieri e altri professionisti della salute mentre offrono cure cardiache di emergenza.

Mentre queste correzioni sembrano normali precauzioni per chiunque abbia uno smartphone, ogni secondo è fondamentale in un’emergenza medica.

Dopo la violazione dei dati, ogni anno si sono verificati fino a 36 decessi aggiuntivi ogni 10.000 attacchi di cuore nelle centinaia di ospedali esaminati nello studio. Gli attacchi di cuore si collocano tra le emergenze mediche più comuni negli Stati Uniti, con circa 735.000 americani che ne vivono uno ogni anno.

Leo Scanlon, ex vicedirettore della sicurezza delle informazioni presso l’HHS, ha affermato che i risultati di questo rapporto richiedono praticamente uno studio simile da fare nel Regno Unito, il cui sistema sanitario è stato particolarmente disturbato dal virus WannaCry, un contagio globale nel maggio 2017 che si diffuse attraverso una vulnerabilità di Microsoft Windows prevalente nei sistemi sanitari più vecchi.

“Lo sfruttamento delle vulnerabilità della sicurezza informatica sta uccidendo le persone. Ci sono molte ricerche possibili che potrebbero essere scatenate da questo studio. Credo che nientemeno che un’indagine congressuale darà al soggetto l’attenzione che merita”.

Un post mortem sull’impatto di WannaCry ha rilevato che l’epidemia è costata agli ospedali del Regno Unito quasi 100 milioni di sterline e ha causato un’interruzione significativa dell’assistenza ai pazienti, come la cancellazione di circa 19.000 appuntamenti – comprese le operazioni – e l’interruzione dei sistemi IT per almeno un terzo di tutti gli ospedali del National Health Service (NHS) del Regno Unito e l’8% dei medici di medicina generale. In diversi casi, gli ospedali nel Regno Unito sono stati costretti a deviare i visitatori del pronto soccorso verso altri ospedali.

Ma ciò che non è ancora noto è come WannaCry abbia influenzato i tassi di mortalità tra pazienti con infarto e ictus le cui ambulanze sono state dirottate verso altri ospedali a causa di interruzioni del sistema IT legate al malware. O quanti ospedali e ambulatori hanno subito ritardi nell’ottenere i risultati dei test necessari per prendere decisioni sanitarie critiche. Non ci sono raccolte di dati, né statistiche in essere, principalmente perché questi dati sono difficili da reperire – a nessuna istituzione piace ammettere che la morte possa essere attribuibile a una causa non naturale come questa

Uno studio pubblicato nell’edizione di aprile 2017 del New England Journal of Medicine sembrerebbe suggerire di applicare l’approccio utilizzato dai ricercatori di Vanderbilt per misurare i risultati dei pazienti negli ospedali del Regno Unito sulla scia di WannaCry.

Nello studio NEJM, i dati di morbilità e mortalità sono stati utilizzati per dimostrare che vi è un impatto misurabile quando le ambulanze e le squadre di risposta alle emergenze vengono rimosse dal servizio normale e reindirizzate in standby durante eventi pubblici come maratone e altri potenziali bersagli del terrorismo.

Lo studio ha evidenziato che i pazienti ricoverati in ospedali a causa di un infarto miocardico acuto o arresto cardiaco durante una maratona sono stati trasportati in ambulanza con un ritardo rispetto alla media di 4,4 minuti in più e una mortalità più alta di 30 giorni rispetto ai pazienti ricoverati in condizioni normali.

Cyber security nel settore sanitario: lo stato delle apparecchiature mediche

Un altro problema serio è la mancanza di standard di sicurezza adeguati implementati nei dispositivi medici dell’Internet of Things (in EU le direttive sui “medical device” sono obsolete).

Nel corso degli ultimi anni sono state identificate una serie di vulnerabilità nelle diverse apparecchiature mediche. Mentre ci si augura che, richiamando l’attenzione su questo argomento, i produttori collaboreranno con la comunità della sicurezza e contribuiranno maggiormente alla creazione di un ambiente più sicuro nel mondo della medicina, in questo 2020 arriveranno due nuove regolamentazioni dalla UE dove gli aspetti principali saranno:

  • un controllo ex ante più rigoroso per i dispositivi ad alto rischio attraverso un nuovo meccanismo di controllo prima dell’immissione sul mercato con la partecipazione di un pool di esperti a livello UE;
  • rafforzamento dei criteri di designazione e delle procedure di controllo degli organismi notificati;
  • l’inclusione di alcuni dispositivi estetici che presentano le stesse caratteristiche e lo stesso profilo di rischio di analoghi dispositivi medici nel campo di applicazione della normativa;
  • un nuovo sistema di classificazione del rischio per i dispositivi medico-diagnostici in vitro in linea con le linee guida internazionali;
  • una maggiore trasparenza grazie a una banca dati completa dell’UE sui dispositivi medici e a un sistema di tracciabilità dei dispositivi basato sull’identificazione univoca dei dispositivi;
  • introduzione di una “scheda di impianto” per i pazienti contenente informazioni sui dispositivi medici impiantati;
  • rafforzamento delle norme in materia di prove cliniche, compresa una procedura coordinata a livello UE per l’autorizzazione di indagini cliniche multicentriche;
  • rafforzamento dei requisiti di sorveglianza post-vendita per i produttori;
  • il miglioramento dei meccanismi di coordinamento tra i paesi dell’UE nei settori della vigilanza e della sorveglianza del mercato.

Cosa ci riserva il futuro immediato

L’interesse per le cartelle cliniche sul dark web è in tendenziale crescita. Da alcune ricerche sui forum underground sta avvenendo un’impennata dei prezzi e tali documenti sono a volte anche più costosi dei dati della carta di credito. Si aprono anche nuovi potenziali metodi di frode: un potenziale hacker potrebbe, avendo a disposizione i dati medici di un paziente, ricattare una struttura ospedaliera, anche con la minaccia di far pagare alla stessa una multa da Legge sulla Privacy

L’accesso alle informazioni interne del paziente permette non solo di rubare ma anche di modificare le cartelle cliniche. Ciò può portare ad attacchi mirati contro le persone per confondere la diagnostica. Secondo le statistiche, gli errori diagnostici sono la prima causa di morte dei pazienti in campo medico (anche davanti a personale medico scarsamente qualificato).

Il numero di attacchi ai dispositivi delle strutture mediche nei paesi che hanno appena iniziato il processo di digitalizzazione nel campo dei servizi medici aumenterà significativamente l’anno prossimo. Ci aspettiamo l’emergere di attacchi mirati di ransomware contro gli ospedali dei paesi in via di sviluppo. Gli istituti medici si stanno trasformando in infrastrutture industriali. La perdita di accesso ai dati interni (ad es. cartella clinica digitale) o alle risorse interne (ad es. apparecchiature mediche collegate all’interno di un ospedale) può bloccare la diagnostica dei pazienti e persino interrompere gli aiuti di emergenza.

Un numero crescente di attacchi mirati contro istituti di ricerca medica e aziende farmaceutiche che svolgono attività di ricerca innovativa. La ricerca medica è estremamente costosa e alcuni gruppi di hacker specializzati nel furto di proprietà intellettuale attaccheranno più spesso tali istituzioni nel 2020.

Fortunatamente, non abbiamo mai visto attacchi a dispositivi medici impiantati (ad es. neuro-stimolatori) in natura. Ma il fatto che ci siano numerose vulnerabilità di sicurezza in tali dispositivi significa che è solo questione di tempo. La creazione di reti centralizzate di dispositivi medici indossabili e impiantabili (come nel caso degli stimolatori cardiaci) porterà all’emergere di una nuova minaccia: un unico punto di accesso per attaccare tutti i pazienti che utilizzano tali dispositivi.

Gli altri vettori d’attacco al tempo del coronavirus

Oltre agli attacchi informatici, parlando di cyber security nel settore sanitario è interessante analizzare anche quelli che potrebbero essere i vettori di attacco utilizzabili dai criminal hacker soprattutto durante l’attuale emergenza pandemica per la Covid-19.

Frodi

I truffatori sono stati molto rapidi nell’adattare i noti piani di frode per capitalizzare le ansie e i timori delle vittime durante la crisi. Questi includono vari tipi di versioni adattate di schemi di frode telefonica, truffe di fornitura e truffe di decontaminazione. Un numero elevato di schemi di frode nuovi o adattati dovrebbe emergere nelle prossime settimane in cui i truffatori cercheranno di sfruttare ulteriormente le ansie delle persone in tutta Europa.

Una società provata olandese, ad esempio, ha autorizzato il trasferimento di € 6,6 milioni a una società di Singapore al fine di acquistare gel alcolici e maschere FFP3 / 2. La merce non è mai stata ricevuta.

Anche l’autore di questo articolo è stato contattato via Linkedin da un CEO di una sedicente azienda a cui voleva vendere mascherine e altro materiale; ovviamente il presunto venditore è stato segnalato alla piattaforma di Microsoft

Contraffazioni

La vendita di prodotti sanitari e sanitari contraffatti, nonché di dispositivi di protezione individuale e di prodotti farmaceutici contraffatti è aumentata molte volte dallo scoppio della crisi. Esiste il rischio che i contraffattori utilizzino carenze nella fornitura di alcuni beni per fornire sempre più alternative contraffatte sia online che offline. Le forze dell’Ordine, nei giorni scorsi, hanno fatto chiudere diverse fabbriche di mascherine abusive concentrate soprattutto nel centro-sud Italia.

L’operazione PANGEA, condotta da Europol tra il 3 e il 10 marzo 2020, ha permesso il sequestro di oltre 34.000 maschere chirurgiche contraffatte.

Crimine organizzato

Vari tipi di schemi che coinvolgono i furti sono stati adattati dai criminali per sfruttare la situazione attuale. Ciò include le truffe ben note che coinvolgono fasulli rappresentanti di autorità pubbliche, forze dell’ordine, personale sanitario.

Nonostante l’introduzione di ulteriori misure di quarantena in tutta Europa, la minaccia criminale rimane altissima e continuano ad emergere tipi di attività criminali nuove o riadattate, approfittando del periodo di crisi e le sue conseguenze.

Alcuni Stati membri dell’UE hanno denunciato un modus operandi comune a livello di furti. I criminali ottengono l’accesso ad abitazioni private impersonando il personale medico/sanitario per effettuare tamponi, forze dell’ordine ed autorità pubbliche che forniscono materiale informativo.

NOTE

  1. Lo Health Insurance Portability and Accountability Act del 1996 (HIPAA) è una legge che ha lo scopo di rendere più facile per i lavoratori statunitensi mantenere la copertura assicurativa sanitaria quando cambiano o perdono il posto di lavoro. La legge incoraggia inoltre l’utilizzo dei registri sanitari in formato elettronico per migliorare l’efficienza e la qualità del sistema sanitario statunitense mediante la condivisione delle informazioni.Lo HIPAA, oltre a incoraggiare l’uso di cartelle cliniche elettroniche, contiene provvedimenti per salvaguardare la sicurezza e la privacy delle informazioni sanitarie protette (PHI). Tali informazioni includono un’ampia gamma di informazioni sanitarie e relative alla salute che consentono l’identificazione personale, ad esempio dati sull’assicurazione, informazioni di fatturazione, diagnosi, dati clinici e risultati di laboratorio, come ad esempio immagini e risultati di esami. Lo HIPAA si applica a tutti i soggetti interessati, che possono essere ospedali, fornitori di servizi sanitari, piani sanitari sponsorizzati da datori di lavoro, centri di ricerca e compagnie assicurative che trattano direttamente con pazienti e relativi dati. Il requisito HIPAA per proteggere le informazioni sanitarie protette si estende anche alle società in affari.

    Lo Health Information Technology for Economic and Clinical Health Act (HITECH) ha ampliato le norme HIPAA nel 2009. HIPAA e HITECH stabiliscono assieme un insieme di standard federali volti a proteggere la sicurezza e la privacy delle informazioni sanitarie protette. Queste disposizioni sono incluse in quelle che vengono definite regole di “semplificazione amministrativa”. HIPAA e HITECH impongono requisiti correlati all’uso e alla divulgazione delle informazioni sanitarie protette, misure di sicurezza per la protezione di tali informazioni, diritti individuali e responsabilità amministrative.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 3