La diffusione dei dispositivi IoT in ambito sanitario porta con sé qualche problema legato alla sicurezza. Della questione si è occupata un’indagine di Cynerio, The State of Healthcare IoT Device Security 2022, che ha preso in esame situazione e futuro della sicurezza in ambito IoT.

L’indagine ha esaminato oltre dieci milioni di dispositivi IoT e IoMT utilizzati in oltre trecento tra ospedali e strutture sanitarie di tutto il mondo.

Con il 38% le pompe infusionali sono i device IoMT più utilizzati seguiti dai monitor per i pazienti (19%), glucometri (7%), gateway (3%), dispenser di medicine (3%), dispositivi basati su ultrasuoni (3%), connettivity engine (3%) e Dicom (Digital imaging and communications in medicine). Altri dispositivi IoT sono i telefoni Voip (39%), stampanti (18%) e access point (7%).

Le password di default

Di tutti questi dispositivi, però, il 53% possiede una vulnerabilità critica nota. In particolare le pompe infusionali nel 73% ha una vulnerabilità che comprometterebbe la sicurezza del paziente, la riservatezza dei dati o la disponibilità del servizio se dovesse essere sfruttata. Altri dati dicono che un terzo dei dispositivi IoT più vicini alla cura del paziente e da cui i pazienti dipendono maggiormente hanno un rischio critico identificato. I rischi più comuni dell’IoMT e dei dispositivi IoT sono legati alle password di default e impostazioni che gli aggressori possono spesso ottenere facilmente dai manuali pubblicati online.

L’IoT sanitario, prosegue il rapporto, funziona in modo obsoleto. I dispositivi medici con versioni di Windows più vecchie di Windows 10 costituiscono solo una piccola parte dell’infrastruttura IoT sanitaria di un ospedale, ma rappresentano la maggior parte dei dispositivi utilizzati da farmacologia, oncologia e dispositivi di laboratorio, e sono presenti all’interno di dispositivi utilizzati da radiologia, neurologia, e chirurgia.

In questo modo i pazienti sono collegati a dispositivi vulnerabili, dal momento che quelle vecchie versioni di Windows sono già oltre la fine della vita e la sostituzione delle macchine su cui girano richiederà ancora diversi anni nella maggior parte dei casi.

Il sistema operativo più presente è però Linux che gira su circa la metà dei dispositivi IoT sanitari. L’altra metà è costituita da sistemi operativi per lo più proprietari con piccole presenze sul totale dei dispositivi.

Quasi l’80% dei dispositivi IoT sanitari viene utilizzato mensilmente o più frequentemente, con poco tempo di inattività che non permette al team di sicurezza dell’ospedale per analizzarli per i rischi e attacchi, applicare le ultime patch, ed effettuare la segmentazione per proteggere i dispositivi sulla rete.

Una grande rete non segmentata, infatti, presenta un’ampia superficie di attacco che può dare agli avversari che riescono a ottenere l’accesso libero di muoversi lateralmente su dati e risorse critiche.

Muoversi in fretta

La conclusione dell’indagine è preoccupante. La tendenza, sostiene Cynerio, è chiara: è troppo tardi per iniziare un inventario delle risorse IoT come progetto di base per iniziare ad avere il controllo della sicurezza dei dispositivi medici in un ospedale.

Gli aggressori stanno già sfruttando qualsiasi vulnerabilità che possono trovare sulle reti ospedaliere e li usano per lanciare attacchi ransomware e rubare dati sanitari protetti. Per contrastare gli attacchi gli ospedali hanno quindi bisogno di agire con decisione identificando e affrontando i vettori di rischio.

Per questo Cynerio si aspetta che ci sia una più ampia accettazione dei controlli di mitigazione per l’IoT sanitario visto che  i dispositivi IoT dovrebbero quintuplicare nel prossimo decennio.

Ma gli ospedali hanno anche bisogno di soluzioni in per rispondere agli attacchi dal vivo quando il pericolo si palesa improvvisamente alla porta. Le strutture sanitarie hanno quindi bisogno di accelerare il tempo di rilevamento degli attacchi.

Mentre la sicurezza IT si muove verso un modello Xdr (Extended Detection and Response) per automatizzare l’identificazione e la riparazione degli effetti negativi degli attacchi, l’IoT sanitario dovrà muoversi verso un modello di rilevamento e risposta dato che gli attacchi continuano a evolversi e prendere di mira il settore sanitario più di ogni altro.