La sicurezza nell’ambito sanitario torna protagonista delle cronache di cyber security grazie a una ricerca della Unit 42 di Palo Alto networks, che ha analizzato i dati raccolti da oltre 200.000 pompe medicali per infusione collegate in rete e utilizzate negli ospedali e in generale in ambito sanitario. Il risultato è che il 75% di questi dispositivi medici contiene vulnerabilità di sicurezza note, che potrebbero essere sfruttate dagli attaccanti.

La falla di gravità critica più diffusa è la CVE-2019-12255, che ha un punteggio CVSS di 9.8. Si tratta di un bug di corruzione della memoria nel sistema operativo real time (RTOS) VxWorks utilizzato per i dispositivi embedded, comprese le pompe per infusione. Secondo i dati editi da Palo Alto Networks, la falla sarebbe presente nel 52% delle pompe di infusione analizzate, ossia in oltre 104.000 dispositivi.

La seconda falla che desta preoccupazioni è quella monitorata con la sigla CVE-2019-12255. Non è critica, ma è parte di una serie di 11 vulnerabilità di VxWorks indicate come "URGENT/11", scoperte e segnalate nel 2019 dai ricercatori di Armis.

Il caso qui è singolare, perché l’azienda Wind River, a cui fa capo la gestione dell’RTOS VxWorks, ha risolto tutti i problemi del pacchetto urgent/11 con una serie di patch pubblicate il 19 luglio 2019. Come spesso accade, tuttavia, enormi ritardi nell'applicazione degli aggiornamenti o addirittura la loro mancata installazione hanno lasciato esposti i dispositivi embedded.

Unit 42 ha poi identificato altri cinque bug di gravità critica che affliggono i prodotti dell’azienda sanitaria americana Baxter International e hanno punteggi CSSV di 9.8. Furono segnalati nel giugno 2020 e fra questi figura anche più d’una delle circa 40 vulnerabilità di sicurezza informatica note, e più di un altro degli altri 70 problemi di security dei dispositivi IoT che sono stati oggetto di alert.

Lo sfruttamento efficace di anche solo una delle vulnerabilità segnalate potrebbe comportare la perdita di informazioni sensibili relative ai pazienti, oltre che consentire a un attaccante di ottenere l'accesso non autorizzato ai dispositivi.

Purtroppo la situazione di sicurezza in cui versano di dispositivi medicali non è una scoperta, e le falle non riguardano solo le pompe a infusione. Lo scorso anno la CISA emise un avviso sulla sicurezza dei defibrillatori e McAfee aveva allertato circa alcune vulnerabilità di sicurezza di pome a infusione di altri produttori.

È evidente la necessità di aumentare la sicurezza del settore sanitario, alla luce anche degli attacchi di cui è stato vittima in concomitanza con la crisi pandemica. A questo proposito vale la pena ricordare che a fine 2019 il Medical Device Coordination Group pubblicò un nuovo regolamento sui dispositivi medici soprannominato "Guidance on Cybersecurity for medical devices": dovrebbe rimpiazzare le attuali direttive UE entro maggio 2022.