Recentemente, una fuga di dati che ha coinvolto l\u2019azienda Community Health Systems ha reso evidente il rischio reale che riguarda gli apparecchi medicali connessi a Internet: alcuni hacker cinesi, infatti, sarebbero riusciti ad appropriarsi di informazioni sensibili di circa 4,5 milioni di persone.<\/p>\n
La parola Heartbleed vi dice qualcosa?<\/strong><\/p>\n All\u2019inizio di quest\u2019anno era comparsa una vulnerabilit\u00e0 molto grave di OpenSSL<\/a>, battezzata con il nome Heartbleed. Ha interessato oltre il 60% di Internet in un sol colpo e, in teoria, darebbe ai cybercriminali la possibili\u00e0 di ottenere determinate informazioni durante la connessione client-server. Il caso Community Health Systems sarebbe il primo, vero attacco che abbia sfruttato questa vulnerabilit\u00e0 (o almeno di cui si \u00e8 a conoscenza) perpetrato dai cybercriminali per guadagno personale. In particolare, gli hacker hanno sviluppato un exploit che ha consentito loro, mediante Heartbleed, di ottenere le credenziali d\u2019accesso degli utenti di Community Health Systems.<\/a><\/p>\n Chi sono le vittime? Come \u00e8 potuto accadere?<\/strong><\/p>\n Questa falla ha messo a repentaglio la sicurezza dei dati (non bancari e non riguardanti le condizioni di salute) di 4, 5 milioni di pazienti<\/a> che si sono rivolti o hanno ottenuto prestazioni da Community Health Systems negli ultimi cinque anni. Sono stati rubati i numeri della previdenza sociale dei pazienti e ovviamente si tratta di un incidente molto pericoloso. Inoltre, i cybercriminali sono riusciti ad ottenere il nome, l\u2019indirizzo e la data di nascita dei pazienti e, in alcuni casi, anche il luogo di lavoro o il numero di telefono.<\/p>\n Si pensa che, in realt\u00e0, i cybercriminali non puntassero ai dati dei pazienti ma stavano utilizzando una campagna APT per colpire l\u2019azienda. Di fatto diversi esperti, tra cui quelli della compagnia di sicurezza Crowdstrike, hanno affermato che i cybercriminali probabilmente cercavano di soffiare informazioni su alcuni apparecchi medicali \u00a0da impiegare per la cura della popolazione in graduale invecchiamento della Repubblica Popolare Cinese. Da questo punto di vista, la campagna \u201cAPT 18\u201d (conosciuta anche come \u201cDynamite Panda\u201d) non ha dato i risultati sperati. E ora non sappiamo che cosa faranno di tutti questi dati sensibili.<\/p>\n Un problema pi\u00f9 vasto<\/strong><\/p>\n Il problema della fuga di dati dei pazienti \u00e8 presente gi\u00e0 da qualche tempo e la situazione di certo non migliorer\u00e0. <\/strong>Ecco perch\u00e9.<\/p>\n Quando parliamo di sicurezza nella gestione dei dati in ambito sanitario, spesso propendiamo per storie estreme che sconfinano nei film di spionaggio: possibilit\u00e0 di hackerare microinfusori di insulina e pacemaker<\/a>, serial killer che fanno il loro mestiere con computer alla mano. Per fortuna di coloro che hanno impiantati questi dispositivi, la possibilit\u00e0 che ci\u00f2 avvenga (come abbiamo potuto apprendere durante la conferenza Black Hat<\/a>) \u00e8 praticamente nulla. Jay Radcliffe, esperto di sicurezza di Rapid7, ha dichiarato che gli apparacchi medicali di questo tipo fanno del bene e il pericolo che la tecnologia si rivolti contro \u00e8 molto, molto bassa<\/a>.<\/p>\n Il problema, al giorno d\u2019oggi, \u00e8 a livello organizzativo, e lo sar\u00e0 sempre di pi\u00f9. Come ha sottolineato anche Radcliffe, lo scenario pi\u00f9 probabile che interessa gli apparecchi medicali riguarda la possibilit\u00e0 per il paziente di non ricevere le cure adeguate o dosaggi di medicinali sbagliati se dovessero essere modificate dall\u2019esterno le cartelle cliniche (a proposito o accidentalmente).<\/p>\n