La stampante mi avverte che l’inchiostro sta per finire invitandomi a contattare il negozio on-line per fare rifornimento; sensori di allarmi che, se rilevano movimenti, contattano direttamente la polizia; controlli remoti, per esempio via smartphone, che mi permettono di accendere/spegnere le luci di casa o altri tipi di strumenti come il computer, la tv, il forno; automobili con tutte le loro continue novità; tendoni che si chiudono in automatico se rilevano vento, e così via. L’Internet of Things (IoT)Internet of Objects, che in italiano è stato tradotto l’Internet delle cose si occupa della creazione di applicazioni che permettano la connessione ed interazione con tutti quegli oggetti quotidiani di cui facciamo affidamento. O come la vedo io: riguarda la creazione di piccoli software, molto spesso con grosse falle nel sistema di sicurezza, che diano una mano a chi ama l’ozio ad essere ancor più pigro. A parte gli scherzi, in certi casi queste app possono davvero essere d’aiuto, soprattutto se parliamo del monitoraggio dei sistemi ospedalieri, quindi, volendo dare una vera e propria definizione all’Internet of Things (in italiano proprio non mi suona) possiamo citare Haller, Karnouskos e Schroth quando dicono che l’IoT è:

Un mondo dove oggetti fisici sono integrati alla rete d’informazione senza interruzioni, e dove gli oggetti fisici possono divenire partecipanti attivi nei processi aziendali. I servizi sono disponibili per interagire con questi “oggetti intelligenti” su Internet, interrogando il proprio stato e qualsiasi informazione ad essi associata, tenendo conto dei problemi della sicurezza e della privacy.

C’è un piccolo “ma” a questo punto che riguarda l’ultima parte di questa definizione che a mio avviso non tiene conto della situazione attuale dell’IoT per cui essendo un mondo in continuo e frenetico sviluppo spesso chi crea queste applicazioni non ne approfondisce in modo adeguato la sicurezza. Senza contare che una volta connesso ad Internet tutto può essere in qualche modo hackerato basta conoscerne il modo: non esiste nessun sistema che sia completamente libero da falle e se, utopicamente, lo fosse allora non potremmo, per esempio, recuperarne la password di attivazione una volta persa.

Un po’ tutti, poi, seguendo anche il caso Snowden (consiglio di guardare il film Snowden di Oliver Stone del 2016 ed il documentario di Laura Poitras Citizienfour del 2014) abbiamo avuto la conferma della possibilità d’essere controllati dal Governo attraverso strumenti che utilizziamo quotidianamente come smartphone, webcam, tv e navigatori satellitari. Tutti questi oggetti sono praticamente dei piccoli computer che connettendosi alla rete e, quindi, inviando e ricevendo pacchetti di dati divulgano e/o rendono il mantenimento della nostra privacy difficile se non impossibile. Per esempio, il nostro telefonino ormai si connette ad internet, ha delle applicazioni semplici come l’orologio ed il calendario, oppure un po’ più complesse come Facebook, Instagram, Twitter, Pushbullet, etc. che scambiano pacchetti relativi alla nostra posizione, identità, interessi… ma queste sono piccole cose che tutti noi sospettiamo, dovremmo quindi chiederci: “Quanto effettivamente ci teniamo alla nostra privacy e cosa non vogliamo divulgare della nostra vita”.

Ma, restringendo ora il campo e osservando invece tutte quelle applicazioni e strumenti che siamo obbligati ad usare per la nostra salute ed a livello ospedaliero (come non ricordare l’attacco ransomware di WannaCry della settimana scorsa che ha colpito anche il sistema sanitario inglese NHS) ci rendiamo conto della reale portata dei rischi sulla sicurezza.

Oggi molte compagnie, ospedali inclusi, vengono quasi spinti ad adottare nuovi impianti tecnologici tutti appartenenti all’Internet of Things: lo stesso WannaCry appena menzionato, in qualche modo, ha reso noto non solo le falle dei sistemi informatici ed una certa “resistenza” verso il loro aggiornamento ma anche quanto le strutture ne dipendano. Tale riluttanza verso l’aggiornamento e la motivazione per cui molti ospedali utilizzino tutt’ora vecchie versioni di Windows è da ricondurre al complesso processo di controlli che le varie attrezzature devono subire prima di essere aggiornate ed, ovviamente, il loro costo. Mettiamo, per esempio, di avere un programma di monitoraggio del battito cardiaco sviluppato per Windows XP e che aggiornando il computer a Windows 10 smette di funzionare: non solo, qui, potrebbe esserci un problema di software che richiederebbe un aggiornamento a sua volta da parte della compagnia che lo ha sviluppato ma anche un’incompatibilità di hardware dove potrebbe essere necessaria anche la sostituzione di alcune parti fisiche dell’impianto.

Sergey Lozhkin nel suo articolo menzionato a fine articolo descrive tre principali falle:

  1. Strumenti connessi ad internet senza richiesta di autorizzazione o con una protezione alquanto debole. Quante volte, per esempio, ci è capitato di notare in ospedale un computer lasciato lì, bello acceso, senza nessuno presente? Avremmo potuto benissimo sederci dietro la scrivania e dare un’occhiata al sistema, magari fingendoci dei tecnici informatici nel caso avesse dovuto servirci una giustificazione. Un altro modo per trovare strumenti esposti ad Internet è quello di utilizzare il motore di ricerca Shodan il quale, sapendo come predisporre la richiesta, mostrerebbe una lista di attrezzature di cardiologia, scanner MRI ed altro ancora a cui sarebbe possibile, quindi, accedere. Qui sotto possiamo vedere la copia di una ricerca fatta su Shodan nell’articolo sopra menzionato e dove si può notare, leggendo con attenzione i dati riportati, la presenza di strumenti medici:

    Inoltre, spesso e volentieri un errore comune è quello di lasciare le password di default dello strumento esposto ad internet senza modificarle. Molti di noi lo fanno, per esempio, con il proprio router di casa ed è abbastanza semplice trovare su Google il manuale dell’attrezzatura interessata e scoprirne la password.
  2. Strumenti non protetti dall’accesso alla rete locale. Come abbiamo già notato, spesso, le postazioni informatiche vengono lasciate incustodite oppure vi sono delle connessioni wi-fi protette da password deboli e facilmente crackabili in poco tempo. Ovviamente una volta entrati alla rete locale sarà possibile accedere a tutti quegli strumenti che avevamo trovato via Shodan ed ad essa connessi. Questo perché tutte le attrezzature sono, sì, protette in qualche modo da un intervento esterno alla rete ma una volta avuto accesso alla rete locale, ovvero dall’interno, viene dato per scontato che chi ne sta facendo richiesta sia autorizzato a farla.
  3. Vulnerabilità nell’architettura del sistema. Una volta ottenuto l’accesso alla rete locale e quindi alle attrezzature si riuscirà anche a recuperare dati personali e diagnosi dei pazienti ricoverati. Sergey Lozhkin riporta l’immagine dell’MRI di un paziente che è riuscito a scaricare durante la sua ricerca sulla vulnerabilità di una struttura ospedaliera:

Per prevenire quindi questi problemi (non solo a livello ospedaliero ma anche in diverse aziende di vario stampo) sarebbe ideale utilizzare password forti, cambiare quelle predefinite, usare protocolli di autenticazione per l’accesso anche della rete locale, correggere le vecchie vulnerabilità già riconosciute. Inoltre, le compagnie che creano queste attrezzature e le vendono dovrebbero cercare di focalizzare la propria attenzione sull’architettura dell’applicazione che mettono in commercio.

Quali sono i pericoli di questo tipo di debolezza nel caso esemplificativo delle strutture ospedaliere che abbiamo utilizzato?

  • Se un’attrezzatura viene danneggiata, logicamente vi sarà un pericolo effettivo anche per il paziente.
  • I dati dei pazienti possono essere compromessi.
  • Le diagnosi possono essere cancellate, falsificate, modificate.
  • Danno a livello finanziario per i possibili danni apportati alle attrezzature.
  • Modificazione del firmware (del programma originale installato in un dispositivo) ed effetti non prevedibili su tale evento.

Un altro pericolo effettivo per tutti quegli strumenti appartenenti all’Internet of Things sono gli attacchi DDoS (Distributed Denial of Service) che, letteralmente, bombardano un dispositivo di rete con più richieste di quelle che è in grado di processare mandandolo in tilt e, spesso, disattivando il RFID, ovvero l’identificazione a radiofrequenza e la capacità di memorizzazione degli oggetti in questione, oppure modificandone la risposte.

Ora, quello di cui abbiamo parlato qui mette in luce diversi aspetti relativi ad ospedali ed aziende le quali devono proteggere i propri dati sia per il benessere dei propri pazienti che per evitare lo spionaggio aziendale. Ma, se effettivamente queste grosse compagnie, come abbiamo notato, sono esposte a dei rischi effettivi dovremmo chiederci quanto, allora, gli strumenti che utilizziamo quotidianamente e la cui protezione, sicuramente, non arriva ai livelli a cui una grossa organizzazione può puntare siano effettivamente affidabili. Detto questo, però, non dimentichiamoci quanto noi stessi, prima di tutto, possiamo essere il vero punto debole della sicurezza dei nostri strumenti per ingenuità o incuranza.

FONTI:

R.H Weber e R. Weber, Internet of things – Legal perspectives, Springer, NY 2010

GReAT, Expert: How I hacked my hospital,  in SecureList, 10.02.2016

Sergey Lozhkin, Hospitals are under attack in 2016, in SecureList, 24.03.2016

Denis Makrushin, The mistake of smart medicinein SecureList, 30.03.2017

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *