Negli ultimi mesi il nostro Paese è finito al centro dell’attenzione mondiale per essere stato il primo stato occidentale a essere colpito dall’epidemia di COVID-19. Lato cyber, l’Italia è anche tra i primi Paesi nelle classifiche mondiali degli attacchi che sfruttano l’effetto pandemia e non solo per email di phishing, ma anche per gli attacchi indirizzati alle strutture sanitarie.
Le strutture ospedaliere e sanitarie sono oggi sotto pressione per la gestione dei malati e quindi focalizzate nella gestione dell’emergenza sanitaria. Purtroppo, però, devono anche gestire attacchi massivi a livello IT. Attacchi che, sfruttando la situazione attuale, tendono a bloccare le infrastrutture con Ransomware e possono arrivare al blocco delle reti o delle apparecchiature elettromedicali. Come Trend Micro stiamo monitorando costantemente questi attacchi per poter fornire il maggior numero di informazioni possibili, in modo tale da rispondere in modo appropriato.
Purtroppo però, in particolar modo nell’ambito sanitario ma anche industriale, troviamo molto spesso situazioni controverse. Il più delle volte negli attacchi non vengono compromessi i classici endpoint o Server, vengono attaccate tutte quelle apparecchiature definite speciali o specializzate, ma che sono computer a tutti gli effetti, solo “vestite” in modo differente. È proprio questo “vestito” che le porta ad avere delle certificazioni che ne vietano l’installazione di qualsiasi software di sicurezza (Ad esempio macchine collegate a Tac, Ecografi, laboratori analisi, Cardiografi etc.).
A causa della certificazione dell’apparecchiatura e della garanzia del risultato prodotto, non è possibile installare alcun tipo di protezione di security, ma chi rilascia queste certificazioni, e le stesse case produttrici, certificano che il risultato prodotto sia comunque valido anche in caso di presenza all’interno dell’apparecchiatura di un malware? Questa, oggi, è la riflessione da condividere con i responsabili aziendali di queste apparecchiature e con gli stessi produttori.
A volte, in particolar modo negli apparati elettromedicali, la certificazione impedisce di installare le patch per i sistemi operativi obsoleti. Non è possibile controllare il flusso dei dati, altrimenti si rischiano risultati “non certificati”. Queste certificazioni su che base vengono preparate? Sono stati considerati gli scenari dove gli apparati possano garantire il risultato anche in presenza di codice malevolo all’interno, o nelle reti che li interconnettono?
Le certificazioni degli apparati elettro-medicali e industriali vanno riviste e devono diventare un punto fondamentale sin dall’inizio dell’approvvigionamento controllando che gli apparati siano sviluppati in un’ottica di security by design.
Come accennato, in questi giorni monitorando il traffico internet abbiamo notato svariati attacchi a strutture sanitarie e la maggior parte aveva compromesso proprio gli apparati elettromedicali (Tac, Ecografi, Cardiografi etc.), che per motivi di certificazione non potevano essere aggiornati o avere un software di sicurezza.
Le strutture sanitarie dovrebbero chiedere ai fornitori la certificazione o la validità della garanzia anche in presenza di malware, che garantisca anche la certificazione del resto della rete, perchè se un malware dovesse installarsi su uno di questi apparati lo trasformerebbe in un vero e proprio “Cavallo di Troia” all’interno dell’infrastruttura, aumentando in modo esponenziale il rischio di un blocco totale. È vero che possiamo limitare i danni proteggendo l’infrastruttura o segmentando le reti di gestione di questi apparati, ma è anche vero che un controllo specifico all’interno diminuirebbe ulteriormente i rischi.
A cura di Gastone Nencini, Country Manager Trend Micro Italia