La medicina “connessa”: analisi e diagnosi

Con un processo lento, ma inarrestabile, i dati medici stanno ormai migrando, in maniera progressiva, dai supporti cartacei verso le infrastrutture “digitali” di cui sono dotati i complessi medico-ospedalieri. Attualmente, i dati in questione si trovano, “sparsi” qua e là, in appositi database, portali, apparecchiature mediche e via dicendo. In alcuni casi, inoltre, non vengono dedicate le necessarie attenzioni alla sicurezza delle infrastrutture di rete implementate presso gli istituti medico-sanitari. Risulta poi, per di più, che le risorse adibite ad elaborare le informazioni di natura medica sono spesso accessibili dall’esterno.

I risultati ottenuti a seguito della precedente indagine da noi condotta, di cui abbiamo riferito in un articolo pubblicato alcuni mesi fa, sono serviti come ottima base di partenza per condurre un’analisi ancor più dettagliata dei problemi, inerenti alla sicurezza informatica, che si manifestano all’interno delle istituzioni mediche e delle strutture sanitarie (ovviamente con il permesso dei rispettivi proprietari). Nella circostanza, il nostro intento è stato quello di lavorare direttamente “sugli errori e sulle mancanze” via via rilevati, per fornire poi tutta una serie di raccomandazioni agli esperti di informatica che gestiscono le infrastrutture IT di cui sono provvisti i complessi medico-sanitari.

Una diagnosi errata è il primo passo verso un esito mortale

Garantire la sicurezza dei dati in ambito medico rappresenta di sicuro un problema molto più serio di quanto potrebbe sembrare a prima vista. Lo scenario più evidente — il furto e la rivendita degli stessi sul mercato nero, — non spaventa, tuttavia, così tanto come l’effettiva possibilità, per eventuali malintenzionati, di modificare i dati della diagnostica eseguita in precedenza. Indipendentemente dagli obiettivi perseguiti dai cybercriminali (estorcere denaro ai proprietari della clinica presa di mira, o condurre un attacco mirato nei confronti di determinati pazienti), i pazienti non debbono certamente aspettarsi nulla di buono: in effetti, avendo ricevuto dati non corretti, i medici possono prescrivere una terapia sbagliata. Anche se la sostituzione dei dati sanitari viene rilevata per tempo, si può facilmente giungere ad un’interruzione forzata delle normali attività lavorative svolte nella struttura medico-ospedaliera, visto che si rivelerebbe poi indispensabile ricontrollare tutte le informazioni custodite nell’apparecchiatura compromessa.

Secondo un report stilato dai CDC (Centers for Disease Control and Prevention, Centri per il controllo e la prevenzione delle malattie), tra le cause di morte più diffuse negli Stati Uniti, troviamo, al terzo posto, gli errori medici. L’effettuazione di una corretta diagnosi, oltre che dalla qualifica del medico, dipende ugualmente dalla correttezza dei dati rilevati attraverso i dispositivi medico-sanitari, e memorizzati sui server utilizzati in campo medico. Naturalmente, le risorse inerenti alle apparecchiature e ai dispositivi di cui viene fatto uso da parte della “medicina connessa”, possono costituire motivo di elevato interesse per i potenziali malfattori.

Ma cos’è, esattamente, la medicina “connessa”?

Con questo termine si definisce un cospicuo numero di dispositivi – workstation, server ed apparecchiature mediche specializzate – collegati alla rete informatica di un complesso ospedaliero o di un istituto medico (un modello semplificato di tale infrastruttura viene illustrato nello schema posto qui di seguito).


Topologia di una rete informatica utilizzata nell’ambito della cosiddetta “medicina connessa”

I moderni dispositivi impiegati per le operazioni di diagnostica possono essere collegati alla rete locale (LAN) dell’istituto medico-sanitario, oppure possono risultare connessi a delle workstation, mediante l’utilizzo, ad esempio, di una connessione USB. Piuttosto di frequente, le attrezzature utilizzate in campo medico elaborano i dati (ad esempio, le immagini relative ai pazienti) in formato DICOM (Digital Imaging and Communications in Medicine), il quale rappresenta, ormai, lo standard del settore per quel che riguarda la creazione, l’archiviazione, la trasmissione e la visualizzazione di immagini medicali e di documenti inerenti ai pazienti esaminati. Per custodire tali dati, e garantire l’accesso ad essi dall’esterno, si ricorre all’utilizzo di appositi sistemi PACS (Picture Archiving and Communication System); anche questi ultimi, naturalmente, possono costituire motivo di particolare “interesse” per eventuali malintenzionati.

Raccomandazione № 1: tutti i nodi preposti ad elaborare i dati di natura medica non debbono essere in alcun modo pubblicamente accessibili

È del tutto evidente che le informazioni inerenti al settore medico debbono rimanere esclusivamente entro il perimetro della rete informatica locale di cui dispone il complesso sanitario-ospedaliero. Tuttavia, al momento attuale, più di mille dispositivi DICOM risultano pubblicamente accessibili; questo è quanto emerge dalle statistiche raccolte attraverso il noto search engine Shodan.


Quadro relativo alla distribuzione geografica dei dispositivi DICOM

(dati ottenuti tramite il motore di ricerca Shodan)

In genere, risultano “pubblicamente accessibili” tutte le possibili tipologie di server PACS, i quali custodiscono, al loro interno, informazioni particolarmente “preziose” ed “appetibili” per gli eventuali malintenzionati. Si rivela pertanto indispensabile collocare i sistemi PACS all’interno del perimetro della rete aziendale, ed isolare gli stessi da possibili utilizzi, non autorizzati, da parte di terzi; occorre poi, allo stesso modo, eseguire regolarmente il backup dei loro contenuti.

Raccomandazione № 2: assegnate nomi non palesi ed evidenti alle risorse di cui disponete


Dati riguardanti le risorse informatiche che si trovano all’interno della rete locale dell’istituto medico, ottenuti attraverso l’utilizzo di fonti pubblicamente accessibili

In qualità di esempio, per ciò che riguarda tali “interessanti” risorse, possiamo citare i server adibiti ad ospitare i database, così come altri “luoghi di accumulo” delle informazioni di natura medica. L’attaccante, inoltre, avvalendosi delle denominazioni esplicite assegnate alle suddette risorse informatiche, può facilmente riconoscere le workstation che presentano apparecchiature mediche ad esse connesse.


Esempio di denominazione inappropriata per determinate risorse interne che si trovano nella rete locale del complesso medico-ospedaliero; in tal modo si suggerisce immediatamente all’attacker dove vengono custoditi i “preziosi” dati di cui quest’ultimo è in cerca

Per cercare di rendere più difficile la vita ai possibili malintenzionati in agguato, bisogna quindi evitare di utilizzare nomi che risultino palesi e bene evidenti. Addirittura esistono, a tal proposito, raccomandazioni specifiche emesse da autorevoli enti ed organizzazioni, riguardanti proprio la denominazione da conferire a workstation e server. Vi consigliamo di prenderne al più presto visione.

Raccomandazione № 3: aggiornate regolarmente il software installato e rimuovete quello superfluo, non occorrente

Semplicemente analizzando il software installato sui vari nodi della rete preposti ad elaborare informazioni di particolare rilevanza, un malintenzionato potrebbe individuare numerosi entry point potenziali. Si può vedere, nell’esempio qui sotto riportato, come nella workstation risulti installata una serie di applicazioni che non hanno proprio nulla a che vedere con la medicina (il worm W32.Mydoom ed il server di gioco Half-LifeEngine). All’interno dello stesso elenco spicca poi la presenza di una serie di programmi contenenti vulnerabilità critiche, per le quali sono stati già “confezionati”, dai virus writer, appositi exploit resi di pubblico dominio.


Esempio relativo al software installato su una workstation alla quale risultano connesse apparecchiature mediche

Un ulteriore esempio di un simile approccio, che si potrebbe quasi definire “irresponsabile”, è rappresentato dall’installazione di software di terze parti sul server che garantisce il corretto funzionamento del portale web adibito a fornire, sia al personale medico che ai pazienti, le funzioni di accesso remoto ai dati sanitari.


Su un server nel quale risulta installato uno strumento di visualizzazione di immagini DICOM si trova ugualmente del software di terze parti

Per escludere la possibilità di accedere ai dati tramite software di terze parti, occorre effettuare regolarmente l’inventario dei programmi installati, ed aggiornare gli stessi. Sulle workstation alle quali sono collegate apparecchiature mediche, ad esempio, non deve in alcun modo trovarsi nulla di superfluo.


Esempio di portale web vulnerabile utilizzato in ambito medico; esso contiene vulnerabilità critiche, che possono consentire di giungere ai dati medico-sanitari

Raccomandazione № 4: astenetevi dal collegare apparecchiature costose alla LAN principale della struttura medico-ospedaliera

I dispositivi medici utilizzati per eseguire le procedure diagnostiche e condurre le operazioni sono, spesso, apparecchiature particolarmente costose, la cui gestione e manutenzione (la calibratura, ad esempio) richiedono significativi investimenti finanziari da parte del proprietario.

Un eventuale malintenzionato, nel caso in cui ottenesse l’accesso a tali attrezzature, o alla workstation che presenta un dispositivo ad essa collegato, potrebbe:

  • realizzare l’estrazione (esfiltrazione) dei dati medico-sanitari direttamente dal dispositivo stesso;
  • effettuare la sostituzione o la manipolazione (spoofing) di informazioni relative a diagnosi fatte in precedenza;
  • manomettere o alterare le impostazioni dell’apparecchiatura; questo farà sì che la stessa fornirà, poi, informazioni non attendibili, oppure potrà mettere temporaneamente fuori servizio l’attrezzatura medica presa di mira.

Per poter ottenere l’accesso ai dati provenienti dal dispositivo, sarà sufficiente, per il malintenzionato, effettuare una semplice ricerca, relativa a software ben specifico.


Attraverso l’elenco del software installato sulla workstation, un eventuale malintenzionato potrà individuare le applicazioni utilizzate in ambito medico e modificare, di conseguenza, i parametri che regolano il funzionamento dell’apparecchiatura

Per impedire l’accesso non autorizzato alle apparecchiature, tutti i dispositivi medici e le workstation ad essi collegate dovranno essere necessariamente assegnati ad un segmento separato della rete locale; dovranno inoltre essere monitorati attentamente tutti gli eventi che si producono all’interno di tale segmento (vedi ugualmente la raccomandazione № 5).

Raccomandazione № 5: assicuratevi che venga tempestivamente rilevata ogni attività dannosa all’interno della vostra rete locale (LAN)

Quando non si rivela possibile installare la soluzione di sicurezza direttamente sul dispositivo stesso (a volte, le condizioni espresse nel documento di garanzia rilasciato dal produttore vietano qualsiasi manipolazione a livello di sistema operativo), è necessario ricercare delle alternative per ciò che riguarda il rilevamento delle attività nocive svolte dall’eventuale malfattore, e/o trarre in inganno quest’ultimo, rendendolo di fatto innocuo. Una di tali varianti è stata da noi descritta nel seguente post: “Deceive in order to detect” (Ingannare per poi rilevare), pubblicato all’inizio dell’anno in corso.

La parte che implementa la difesa può quindi allestire una serie di trappole specifiche, ovvero dei nodi, all’interno della rete locale, preposti a simulare la presenza dell’apparecchiatura medica. In tal modo, qualsiasi accesso non autorizzato a questi ultimi potrà essere, di fatto, il segnale che qualcuno ha cercato di compromettere la rete, e pertanto il servizio IT del complesso medico-ospedaliero dovrà intervenire, adottando, nella circostanza, tutte le misure necessarie.

Esistono molteplici metodi, per rilevare le attività nocive; non ha quindi molto senso elencare gli stessi sotto forma di raccomandazioni specifiche: ogni team di esperti informatici, in effetti, sceglie le tecnologie, i prodotti e le strategie, atti a garantire la protezione IT più adeguata, sulla base di tutta una serie di fattori (dimensioni della rete, criticità delle risorse in essa presenti, budget disponibile, etc.). Occorre ad ogni caso tener sempre ben presente l’elemento di maggiore importanza: la mancanza di un’efficace protezione all’interno dell’infrastruttura IT utilizzata in ambito medico-sanitario, può veramente costare la vita ai pazienti.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *