Seleziona una pagina

Il vostro pacemaker è a rischio di hacking? Sembra proprio di sì. Secondo un comunicato della FDA (US Food and Drug Administration), alcuni trasmettitori potrebbero essere modificati da remoto per mandare istruzioni ‘mortali’ ai pacemaker e agli dispositivi che regolano le funzioni cardiache. Sono anni che si ipotizza la vulnerabilità dei dispositivi medici agli attacchi hacker, ma questa è la prima volta che il governo degli Stati Uniti ammette pubblicamente quanto questa minaccia sia reale.

I pacemaker sono a rischio di hacking. Gli esperti di cybersicurezza della FDA (US Food and Drug Administration) hanno pubblicato questo lunedì un avviso alla pubblica sicurezza. Nel comunicato viene confermata una spaventosa minaccia: è possibile per gli hacker violare alcuni dispositivi medici, compresi i pacemaker. La falla è stata individuata nei dispositivi Merlin@home Transmitters, realizzati dal St. Jude Medical.

Pacemaker, defibrillatori e dispositivi di risincronizzazione sono stati tutti indicati come vulnerabili. Il trasmettitore utilizzato per i dispositivi del St. Jude Medical, quello incriminato, utilizza un sistema particolare. Si avvale infatti dell’utilizzo di un monitor per leggere le radiofrequenze che monitorano il funzionamento del dispositivo cardiaco impiantato nel paziente. E’ possibile quindi monitorare i dati di un pacemaker e modificarne il funzionamento sfruttando semplicemente la modalità wireless. Proprio qui sorge il problema.

L’avviso di sicurezza della FDA sottolinea che ‘Dal momento che i dispositivi medici diventano sempre più interconnessi via Internet alle reti ospedaliere, agli altri dispositivi medici e agli smartphone, aumenta il rischio di  violazioni informatiche alla sicurezza dei dispositivi, che potrebbero compromettere il funzionamento di un dispositivo medico in opera’.

I dispositivi cardiaci vengono impiantati sotto la pelle nella zona superiore del torace con cavi di collegamento isolati che vanno al cuore. I pazienti che utilizzano questi dispositivi cardiaci solitamente soffrono di bradicardia – battito cardiaco troppo lento –  oppure tachicardia – troppo veloce. I dispositivi del St. Jude Madical curano i malati fornendo stimolazione per ritmi cardiaci lenti e scosse elettriche per fermare i ritmi cardiaci pericolosamente rapidi.

Secondo quanto dichiarato dalla FDA un estraneo potrebbe potenzialmente riuscire ad accedere a questi sistemi, così da ‘modificare i comandi che vengono inviati al dispositivo impiantato, provocando l’esaurimento rapido della batteria o dando comandi di stimolazione o shock inappropriati’. Un hacker potrebbe quindi modificare da remoto il comportamento dei dispositivi cardiaci senza troppe difficoltà, arrivando addirittura a provocare la morte dei pazienti.

Gli esperti in cybersecurity della FDA assicurano che nessun paziente è stato vittima di hackeraggio. Il problema verrà risolto oggi stesso apportando una modifica al software dei dispositivi cardiaci. I pazienti dovranno solo accertarsi che i loro dispositivi siano online per ricevere l’upgrade.

La notizia spaventa. I dispositivi medici interconnessi sono ormai tantissimi, e la vita di molte persone dipende da questi. Possibile che ci si accorga di questi rischi sempre all’ultimo minuto, oppure quando ormai è troppo tardi? Come possiamo difenderci? Lo abbiamo chiesto a Simone Malcangi, Ethical Hacker e Security Evangelist di Betacom. Ecco quello che ci ha raccontato.

Come sempre accade per ogni tipologia di notizia ‘scandalo’, anche in ambiti lontani dal tema della cybersecurity, si corre al rimedio ‘recinto sfondato e greggi disperse‘. Questo succede egualmente quando gli ambiti riguardano l’ information security.

In scenari ormai attuali e non più futuristici l’unica via è quella della prevenzione. Che si chiami pure protezione della vita delle persone che sono a bordo di un auto (connessa), piuttosto che passanti per strada (strade presto connesse), piuttosto che pedoni bersaglio di droni (connessi) o utilizzatori di wearable devices (connessi) come Smart Watch o peacemaker. I target degli attacchi possono essere dati sensibili oppure persone sensibili.
Ogni oggetto che potenzialmente connesso è un oggetto sicuramente ‘infettabile’ e quindi poi controllabile per gli scopi più bizzarri o impensati. Talvolta, anzi sempre più spesso siamo spettatori quotidiani, di azioni impensate che evidenziano gli scopi e sopratutto le facilità di raggiungimento degli obiettivi preposti. Questo dimostra inequivocabilmente che se non è ancora successo, non è perché non accadrà, ma è solo una questione di tempo.
Parlando di medicina funziona allo stesso modo, la parola d’ordine è prevenzione. Occorre awareness, consapevolezza, quindi uso più “cosciente” della tecnologia.  In secondo luogo è necessaria una maggior protezione nella progettazione o ingegnerizzazione del prodotto, che ormai, by design, sarà connesso, quindi intrinsecamente insicuro (se non è a monte pensato secondo logiche e dettami di maggior tutela sicurezza e protezione) e alla mercé di troppi utenti che, malintenzionati, ne avranno potenziale superficie di attacco.