Pacemaker, pompe di insulina e altre apparecchiature impiantate, presentano problemi che rendono questi dispositivi vulnerabili ad attacchi informatici. Lo rivelano due diversi studi dei quali parla BBC News.
Uno degli studi evidenzia la presenza di oltre 8000 vulnerabilità note nel codice che gestisce i dispositivi cardiaci impiantabili; un secondo studio evidenzia che solo il 17% dei produttori ha intrapreso iniziative per mettere in sicurezza questi dispositivi.
Il rapporto sui pacemaker ha analizzato dispositivi impiantabili di quattro produttori, così come l’ecosistema di attrezzatture che consentono di monitorarli e gestirli. Billy Rios e il Dr Jonathan Butts, della società di sicurezza Whitescope evidenziano “l’enorme sfida” per i produttori di pacemaker che dovranno integrare patch e risolvere bug potenzialmente utilizzabili da cybercriminali.
Solo pochi produttori hanno integrato funzionalità di cifratura o altri meccanismi che consentono di proteggere i dispositivi nella fase di monitoraggio e trasferimento dei dati. Nessun produttore dei dispositivi esaminati protegge i propri prodotti con login e password o esegue verifiche al fine di stabilire se il dispositivo al quale sono connessi è affidabile.
Spesso, spiega Rios, la minuscola dimensione e la bassa capacità di elaborazione di questi dispositivi rende difficile applicare standard che consentono di tenerli al sicuro. Si evidenzia ad ogni modo la necessità di integrare protezioni contro potenziali compromissioni dei sistemi, problematiche che potrebbero avere implicazioni nella cura del paziente.
Il secondo studio evidenzia che produttori, ospedali e organizzazioni sanitarie, usano attrezzature che nell’80% dei casi è difficile mettere in sicurezza. Bug nel codice di gestione, scrittura di codice senza tenere conto della sicurezza e tempi ridotti nella fase di sviluppo, rendono molti di questi dispositivi vulnerabili. Benché siano a conoscenza del problema, solo il 9% dei produttori e il 5% delle organizzazioni sanitarie dichiarano di testare annualmente i prodotti per individuare problemi di sicurezza. Il 17% dei produttori dichiara di stare adottato misure per mettere in sicurezza i dispositivi. Il 49% dei produttori dichiara di non avere usati i suggerimenti della Food and Drug Administration su come mettere in sicurezza i dispositivi.
La possibilità di attaccare pacemaker e dispositivi medicali simili è molto bassa ma è importante sensibilizzare le aziende che lavorano nel settore, evidenziano potenziali vulnerabilità. C’è molta confusione in tema di responsabilità tra le case produttrici dei dispositivi, gli ospedali e gli stessi pazienti. Il problema non riguarda solo apparecchi medicali come pacemaker e a microinfusori di insulina ma anche macchinari per risonanze magnetiche, elettrocardiogrammi, radiografie, i tablet utilizzati dai medici e computer dell’ospedale (PC sui quali spesso è ancora installato Windows XP) con dati sensibili dei pazienti.
