Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Alla fine del 2020, il World Economic Forum (WEF) ha affermato che l’approccio alla sicurezza informatica deve essere rivisto prima che il settore si trovi in una condizione di estremo pericolo.
Il WEF, infatti, ha individuato cinque sfide globali per la sicurezza informatica:
Analizziamo questi punti uno per uno, per comprendere lo stato dell’arte del panorama cibernetico dell’industria biomedicale.
Sfortunatamente, gli aggressori dei dispositivi medici non hanno ancora bisogno di aumentare la loro sofisticazione perché la stragrande maggioranza dei dispositivi medici sul campo presenta vulnerabilità estremamente facili da sfruttare.
Password di default, assenza di crittografia, nessuna verifica dell’integrità. Insomma, non ci vuole un grande esperto di hacking per fare il lavoro sporco.
Ciò è dovuto a una serie di problematiche inerenti i dispositivi medici (che non sono condivisi dalle infrastrutture IT). In primo luogo, i dispositivi medici hanno una vita estremamente lunga. Nelle organizzazioni per la fornitura di servizi sanitari (HDO), un dispositivo medico di 20 anni ancora utilizzato non è raro. Eppure nessuno nell’IT o nella sicurezza di rete userebbe un firewall vecchio di 20 anni. Ovviamente, c’è una dipendenza sproporzionata dai dispositivi legacy nel settore medico rispetto ad altri e questo è un problema da superare.
In secondo luogo, gli sviluppatori di dispositivi medici non sono stati formati per incorporare la sicurezza nel ciclo di vita di sviluppo. La maggior parte non sa come includerla nel processo, come identificare o valutare le vulnerabilità in fase di progettazione, quali primitive crittografiche dovrebbero essere utilizzate nel proprio sistema per realizzare un’applicazione sicuro.
Secondo un recente rapporto (ISC) ², la carenza globale di talenti nella cybersecurity si attesta a oltre 3 milioni. L’occupazione nel settore della sicurezza informatica deve crescere del 41% negli Stati Uniti e dell’89% in tutto il mondo per colmare il divario esistente. Chiaramente c’è anche un’enorme carenza di talenti nell’area IT, ma la situazione è molto peggiore per l’arena dei dispositivi embedded. Le persone qualificate semplicemente non sono disponibili.
L’automazione offre soluzioni parziali per il consumatore finale, ma storicamente pochissimi dispositivi funzionano agganciati a dei SIEM o sistema di monitoraggio, in generale.
Questa terza sfida viene effettivamente affrontata piuttosto bene nel settore dei dispositivi medici da eccellenti organizzazioni di condivisione e di analisi delle informazioni (ISAO) come H-ISAC e MedISAO. Queste organizzazioni forniscono un meraviglioso forum per condividere gli eventi di sicurezza informatica attuali e futuri e le vulnerabilità scoperte di recente, ma forniscono anche un canale per il dialogo tra il personale addetto alla sicurezza informatica. Prima che queste organizzazioni esistessero, questo tipo di cooperazione aperta non si verificava.
La sicurezza informatica ci insegna che soddisfare le aspettative normative non dovrebbe essere il “limite” negli sforzi di sviluppo di nuovi prodotti. Sì, devi stare al passo con le normative e adottare misure per dimostrare di soddisfarle. Ma le normative sono progettate per proteggere gli utenti finali e altri dall’esposizione alla sicurezza informatica nel tuo prodotto: non sono progettate per proteggere il tuo modello di business.
Sempre più spesso, i requisiti di sicurezza informatica espressi dalle normative rappresentano il “minimo sindacale”. I consumatori e gli utenti finali, si aspettano molto di più: non solo che abbiate progettato e sviluppato il prodotto in modo sicuro, ma che sarete in grado di fornire un supporto appropriato durante un evento di sicurezza informatica.
Questo rimane un problema enorme, anche nel campo dei dispositivi medici, il che è sorprendente non solo perché la posta in gioco è così alta e così ovvia per i dispositivi medici, ma anche per il rapido aumento dell’attenzione normativa e dei media al problema nell’ultimo decennio .
Degli oltre 7.000 produttori di dispositivi medici registrati dalla FDA, si vedono sempre gli stessi rappresentanti di circa due dozzine di aziende alle conferenze e presentazioni sulla sicurezza informatica med-tech. Dove sono le altre 6.976 società?
Una o due volte al mese, abbiamo a bordo un nuovo cliente o sviluppatore di dispositivi medici che è sorpreso di sentirsi dire che deve proteggere il suo nuovo dispositivo medico. La FDA lo ha chiarito a partire dal 2014 e da allora lo ha affrontato molte, molte volte. Devi iniziare a mettere in discussione lo schema. Questa è vera ignoranza su un problema così emergente nello sviluppo dei dispositivi medici, o è solo ignoranza perché non vogliamo doverlo fare?
Molte aziende non hanno consapevolezza dei rischi che può incorrere la loro organizzazione, dal punto di vista finanziario o operativo e avere un’idea (più o meno) dei tipi di minacce che sono “là fuori”. Anche se la maggior parte delle persone ha sentito parlare di phishing, ransomware e furto di identità, non ha mai lavorato per capire i modi in cui le loro organizzazioni e i loro prodotti potrebbero essere vulnerabili.
Occorre avviare un veloce cambio di marcia su questi ambiti, prima che la criminalità informatica si sposti su queste tecnologie per poterle sfruttare. Qua si parla di “vite umane” e non di RID (Riservatezza, Integrità e Disponibilità) relativa ad un dato trattato.
Fonte
https://www.helpnetsecurity.com/2021/05/21/cybersecurity-medical-device-industry/
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia