È un report piuttosto preoccupante, quello presentato nelle scorse settimane da Cynerio, società americana specializzata in piattaforme per la sicurezza dei dispositivi IoT, e relativo al settore sanitario.
La società sottolinea infatti che se sul fronte infrastrutturale le aziende sanitarie si mostrano sempre più attente ai temi della sicurezza e della protezione degli asset IT, altri ambiti restano di fatto scoperti e in particolare quello relativo ai dispositivi connessi, presenti in numero sempre maggiore nelle strutture sanitarie e ospedaliere.
IoT in sanità: cresce l’adozione, ma non la sicurezza
Di fatto, sottolinea il report, negli ultimi anni si è assistito a una crescita esponenziale nell’adozione di dispositivi medici, IoT aziendali e OT industriali connessi, a supporto dell’assistenza ai pazienti a qualsiasi livello. Tanto che, secondo alcune società di analisi, possiamo quantificarne il numero nell’ordine della decina di miliardi di unità installate.
Appare tuttavia altrettanto evidente che la loro diffusione non si accompagna a una altrettanto capillare messa in sicurezza.
Del resto, anche una recente ricerca del Ponemon Institute aveva rivelato come la causa principale di alcune violazioni dei dati sanitari potesse essere associata alla presenza di dispositivi medici IoT non sicuri.
Lo studio di Cynerio
Cynerio ha voluto toccare con mano la situazione e, nello sviluppo del report “The State of Healthcare IoT Device Security 2022”, ha analizzato oltre 10 milioni di dispositivi connessi, in più di 300 ospedali e altre strutture sanitarie negli Stati Uniti e nel mondo.
Il risultato è inquietante, soprattutto oggi che, anche in ragione della crisi pandemica, telemonitoraggio, teleassistenza, telemedicina rappresentano il “new normal” nell’assistenza sanitaria.
Secondo l’analisi, infatti, il 53% dei dispositivi medici connessi e dei dispositivi IoT presenti negli ospedali presenta una vulnerabilità critica nota. In questo computo rientrano anche i dispositivi al posto letto, utilizzati per il controllo dei pazienti.
Tra i dispositivi IoT più diffusi nelle strutture sanitarie, il 38% è rappresentato dalle pompe infusionali. Dall’analisi emerge come tre quarti di questi strumenti presentino vulnerabilità che potrebbero mettere a repentaglio la sicurezza del paziente, la riservatezza dei dati o la disponibilità del servizio.
Sistemi operativi obsoleti
Non solo.
La maggior parte dei dispositivi IoT sanitari utilizzati ad esempio nei reparti di oncologia, farmacologia e di laboratorio funzionano su sistemi operativi Windows giunti ormai a fine vita sui quali non è più possibile installare patch o protezioni di sicurezza.
Su questo problema, se ne innesta uno ancora più grave.
Perché se è vero che quasi la metà dei dispositivi installati gira in ambiente Linux, è altrettanto vero che quando si va oltre lo “zoccolo duro” dei big player del comparto, ci si ritrova in una sorta di territorio anarchico, fatto di sistemi operativi e protocolli differenti, nessuno dei quali ha una share superiore al 10% del mercato complessivo. Questo significa l’impossibilità di adottare un approccio di sicurezza unico e univoco per tutti.
Lo scenario si fa ancora più paradossale se si considera che i problemi più frequenti riscontrati in questo ambito non sono ascrivibili a vulnerabilità come Urgent11 o Ripple20, ma alla mancata reimpostazione delle password o delle configurazioni di fabbrica dei dispositivi. Una noncuranza purtroppo molto comune, che equivale a lasciar vita facile agli aggressori.
Servirebbe, sottolinea lo studio, una efficace segmentazione della rete, che consentirebbe di gestire diversamente i dispositivi IoT.
Una scelta poco praticata, probabilmente in assenza di competenze specifiche che consentirebbero di evitare che le attività legate alla sicurezza possano interferire con i flussi di lavoro clinici.
È chiaro che è il momento di prendere in esame il tema in modo molto più attento rispetto a quanto fatto finora. La raccolta di un inventario dettagliato dei dispositivi e dei loro potenziali rischi non è più sufficiente.