Redazione RHC : 29 Maggio 2021 09:03
Alla fine del 2020, il World Economic Forum (WEF) ha affermato che l’approccio alla sicurezza informatica deve essere rivisto prima che il settore si trovi in una condizione di estremo pericolo.
Il WEF, infatti, ha individuato cinque sfide globali per la sicurezza informatica:
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Analizziamo questi punti uno per uno, per comprendere lo stato dell’arte del panorama cibernetico dell’industria biomedicale.
Sfortunatamente, gli aggressori dei dispositivi medici non hanno ancora bisogno di aumentare la loro sofisticazione perché la stragrande maggioranza dei dispositivi medici sul campo presenta vulnerabilità estremamente facili da sfruttare.
Password di default, assenza di crittografia, nessuna verifica dell’integrità. Insomma, non ci vuole un grande esperto di hacking per fare il lavoro sporco.
Ciò è dovuto a una serie di problematiche inerenti i dispositivi medici (che non sono condivisi dalle infrastrutture IT). In primo luogo, i dispositivi medici hanno una vita estremamente lunga. Nelle organizzazioni per la fornitura di servizi sanitari (HDO), un dispositivo medico di 20 anni ancora utilizzato non è raro. Eppure nessuno nell’IT o nella sicurezza di rete userebbe un firewall vecchio di 20 anni. Ovviamente, c’è una dipendenza sproporzionata dai dispositivi legacy nel settore medico rispetto ad altri e questo è un problema da superare.
In secondo luogo, gli sviluppatori di dispositivi medici non sono stati formati per incorporare la sicurezza nel ciclo di vita di sviluppo. La maggior parte non sa come includerla nel processo, come identificare o valutare le vulnerabilità in fase di progettazione, quali primitive crittografiche dovrebbero essere utilizzate nel proprio sistema per realizzare un’applicazione sicuro.
Secondo un recente rapporto (ISC) ², la carenza globale di talenti nella cybersecurity si attesta a oltre 3 milioni. L’occupazione nel settore della sicurezza informatica deve crescere del 41% negli Stati Uniti e dell’89% in tutto il mondo per colmare il divario esistente. Chiaramente c’è anche un’enorme carenza di talenti nell’area IT, ma la situazione è molto peggiore per l’arena dei dispositivi embedded. Le persone qualificate semplicemente non sono disponibili.
L’automazione offre soluzioni parziali per il consumatore finale, ma storicamente pochissimi dispositivi funzionano agganciati a dei SIEM o sistema di monitoraggio, in generale.
Questa terza sfida viene effettivamente affrontata piuttosto bene nel settore dei dispositivi medici da eccellenti organizzazioni di condivisione e di analisi delle informazioni (ISAO) come H-ISAC e MedISAO. Queste organizzazioni forniscono un meraviglioso forum per condividere gli eventi di sicurezza informatica attuali e futuri e le vulnerabilità scoperte di recente, ma forniscono anche un canale per il dialogo tra il personale addetto alla sicurezza informatica. Prima che queste organizzazioni esistessero, questo tipo di cooperazione aperta non si verificava.
La sicurezza informatica ci insegna che soddisfare le aspettative normative non dovrebbe essere il “limite” negli sforzi di sviluppo di nuovi prodotti. Sì, devi stare al passo con le normative e adottare misure per dimostrare di soddisfarle. Ma le normative sono progettate per proteggere gli utenti finali e altri dall’esposizione alla sicurezza informatica nel tuo prodotto: non sono progettate per proteggere il tuo modello di business.
Sempre più spesso, i requisiti di sicurezza informatica espressi dalle normative rappresentano il “minimo sindacale”. I consumatori e gli utenti finali, si aspettano molto di più: non solo che abbiate progettato e sviluppato il prodotto in modo sicuro, ma che sarete in grado di fornire un supporto appropriato durante un evento di sicurezza informatica.
Questo rimane un problema enorme, anche nel campo dei dispositivi medici, il che è sorprendente non solo perché la posta in gioco è così alta e così ovvia per i dispositivi medici, ma anche per il rapido aumento dell’attenzione normativa e dei media al problema nell’ultimo decennio .
Degli oltre 7.000 produttori di dispositivi medici registrati dalla FDA, si vedono sempre gli stessi rappresentanti di circa due dozzine di aziende alle conferenze e presentazioni sulla sicurezza informatica med-tech. Dove sono le altre 6.976 società?
Una o due volte al mese, abbiamo a bordo un nuovo cliente o sviluppatore di dispositivi medici che è sorpreso di sentirsi dire che deve proteggere il suo nuovo dispositivo medico. La FDA lo ha chiarito a partire dal 2014 e da allora lo ha affrontato molte, molte volte. Devi iniziare a mettere in discussione lo schema. Questa è vera ignoranza su un problema così emergente nello sviluppo dei dispositivi medici, o è solo ignoranza perché non vogliamo doverlo fare?
Molte aziende non hanno consapevolezza dei rischi che può incorrere la loro organizzazione, dal punto di vista finanziario o operativo e avere un’idea (più o meno) dei tipi di minacce che sono “là fuori”. Anche se la maggior parte delle persone ha sentito parlare di phishing, ransomware e furto di identità, non ha mai lavorato per capire i modi in cui le loro organizzazioni e i loro prodotti potrebbero essere vulnerabili.
Occorre avviare un veloce cambio di marcia su questi ambiti, prima che la criminalità informatica si sposti su queste tecnologie per poterle sfruttare. Qua si parla di “vite umane” e non di RID (Riservatezza, Integrità e Disponibilità) relativa ad un dato trattato.
Fonte
https://www.helpnetsecurity.com/2021/05/21/cybersecurity-medical-device-industry/
RedazioneShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
