Quanto è importante la sicurezza dell'IoMT

L'IoMT (Internet of Medical Things), ovvero Internet delle cose in ambito medico, consiste in una rete di dispositivi e sistemi connessi a Internet che raccolgono, trasmettono e analizzano dati sanitari. Abilitando il monitoraggio remoto e altre nuove metodologie di assistenza, aiutano gli operatori sanitari a fornire un'assistenza più efficace e tempestiva ai pazienti.

Alcuni dispositivi IoMT chiave includono:

• I dispositivi indossabili, quali fitness tracker, misuratori dell'ossigeno nel sangue e misuratori del glucosio, che raccolgono e trasmettono informazioni sulla salute del paziente
• I sistemi di imaging intelligenti, come gli scanner RM e TC, che memorizzano e condividono immagini mediche con gli specialisti per consentire diagnosi più rapide
• Gli strumenti chirurgici connessi, come i sistemi di chirurgia robotica e altri strumenti da utilizzare in procedure che richiedono estrema precisione
• I sistemi di monitoraggio dei pazienti, come i cardiofrequenzimetri e altri dispositivi IoMT utilizzati in terapia intensiva per fornire aggiornamenti in tempo reale sui parametri vitali dei pazienti
• Le pompe per infusione, ventilatori e altri dispositivi che somministrano farmaci o supportano le funzioni vitali, mentre sono collegati a reti ospedaliere più ampie

Sebbene i dispositivi IoMT offrano vantaggi incredibili, ognuno di essi rappresenta anche un potenziale punto di ingresso per gli attacchi. Il settore sanitario è già di per sé un bersaglio allettante, soprattutto per i ransomware. I dati medici raggiungono prezzi molto elevati sul mercato nero e la natura delicata e spesso urgente dell'erogazione dell'assistenza sanitaria fa sì che gli operatori sanitari non possano permettersi tempi di fermo.

Molti sistemi IoMT risultano vulnerabili semplicemente perché non sono stati progettati tenendo conto della sicurezza. I problemi più comuni includono:

• Meccanismi di autenticazione troppo deboli: dato che il furto delle credenziali rappresenta ancora il principale vettore di attacco a livello mondiale, il semplice accesso con nome utente e password non è sufficiente a bloccare gli accessi non autorizzati.
• Crittografia limitata: molti dispositivi IoMT, in particolare quelli con risorse limitate come i dispositivi indossabili, non cifrano i dati sensibili dei pazienti in transito o inattivi, esponendoli così alle minacce.
• Software e firmware obsoleti: dato che gli elevati requisiti di uptime rendono alcuni sistemi difficili o addirittura impossibili da aggiornare, molti dispositivi IoMT presentano lacune non corrette nella sicurezza.
• Reti piatte tradizionali: in una rete priva di una microsegmentazione efficace e di controlli dell'accesso con privilegi minimi, un dispositivo compromesso può rapidamente infettare l'intero ambiente.

Gli attacchi ransomware diretti all'assistenza sanitaria sono aumentati di quasi il 1.200% dal 2022 al 2024, collocando questo settore tra i tre principali obiettivi dei ransomware. La sanità risulta particolarmente interessante perché la posta in gioco è altissima, e gli aggressori lo sanno molto bene.

Cosa ci guadagnano gli aggressori?

Il principale movente degli aggressori che prendono di mira il settore sanitario è il profitto. Una singola cartella clinica può essere venduta sul dark web per 250 dollari e, secondo alcune stime, arrivare fino a 1.000 dollari. Gli acquirenti possono utilizzare i numerosi dati personali contenuti al suo interno per perpetrare furti di identità, frodi assicurative e molto altro ancora.

A confronto, le informazioni di una carta di credito possono valere tra i 10 e i 240 dollari, secondo Experian. Va detto inoltre che siccome il settore finanziario ha generalmente budget più consistenti, è soggetto a normative sulla privacy dei dati più severe e dispone di misure di sicurezza più moderne, rispetto al settore sanitario, è meno probabile che gli attacchi che lo prendono di mira abbiano successo.

Cosa rischiano di perdere le vittime?

Gli operatori sanitari che subiscono delle violazioni, non perdono solamente i dati. Nel 2024, il costo medio globale di una violazione dei dati sanitari era pari a 9,77 milioni di dollari, circa il doppio della media di tutti gli altri settori. Le sanzioni normative, i risarcimenti legali, i pagamenti dei riscatti e la perdita di fiducia da parte dei pazienti sono tutti elementi che contribuiscono a incrementare ulteriormente il danno economico, che tende a crescere nel tempo. Per fare un esempio, la violazione di Change Healthcare del 2024, che si stima sia costata 2,5 miliardi di dollari a ottobre del 2024, era già salita a 3,1 miliardi di dollari entro gennaio del 2025.

Gli aggressori sfruttano le vulnerabilità aperte nell'IoMT per lanciare una serie di attacchi, quali:

• Ransomware: gli aggressori cifrano i dati sensibili dei pazienti e li trattengono per chiedere un riscatto. Negli attacchi ransomware a doppia estorsione, gli aggressori cifrano ed esfiltrano (rubano) i dati per esercitare maggiore pressione sulle vittime.
• Attacchi DDoS (Distributed Denial of Service): gli aggressori sovraccaricano l'IoMT o le reti connesse con traffico dannoso per rallentare o interrompere il servizio. Negli ambienti ospedalieri, dove il fattore tempo è cruciale, gli attacchi DDoS possono causare un'interruzione sistemica diffusa.
• Minacce avanzate persistenti (APT): gli attacchi coordinati e a lungo termine possono prendere di mira i dispositivi IoMT e le reti connesse per rubare furtivamente i dati o stabilire un accesso tramite backdoor per lanciare attacchi ripetuti e duraturi.
• Attacchi man-in-the-middle (MiTM): gli aggressori intercettano e manipolano le comunicazioni tra i dispositivi IoMT e le loro reti per raccogliere o alterare i dati sensibili o persino iniettare comandi dannosi per sfruttare i dispositivi medici.
• Acquisizione del controllo sui dispositivi: gli aggressori potrebbero sfruttare le vulnerabilità dell'IoMT per assumere il controllo e manomettere i dispositivi. I ricercatori hanno individuato vulnerabilità in dispositivi quali pacemaker, pompe per insulina e altri, che potrebbero avere conseguenze potenzialmente letali.

L'architettura zero trust offre un modo efficace per proteggere l'IoMT da minacce in continua evoluzione. Questo framework verifica costantemente ogni utente, dispositivo e connessione prima di consentire l'accesso, riducendo le vulnerabilità e mantenendo al contempo i sistemi sanitari operativi e sicuri.

L'approccio zero trust rafforza la sicurezza dell'IoMT attraverso:

• Monitoraggio dei dispositivi, per garantire che i dispositivi medici comunichino solo con i siti previsti dal fornitore. Le comunicazioni sospette o non autorizzate vengono bloccate e viene generato immediatamente un avviso di sicurezza, riducendo notevolmente la possibilità che gli aggressori utilizzino i dispositivi IoMT come punti di accesso alla rete.
• Accesso con privilegi minimi, che limita un'entità al livello di accesso minimo necessario per svolgere la propria funzione. Ad esempio, i fornitori terzi possono interagire solo con i dispositivi su cui devono intervenire, impedendo l'accesso non autorizzato ai sistemi più ampi.
• Policy sensibili al contesto, che utilizzano dati in tempo reale, come la posizione e il profilo di sicurezza del dispositivo, per adattare dinamicamente le autorizzazioni e bloccare le azioni ad alto rischio.

Le innovazioni nell'IA e nel machine learning possono rendere il modello zero trust ancora più efficace. Gli strumenti basati su IA ed ML analizzano i normali comportamenti del traffico per rilevare le anomalie e automatizzare le risposte, migliorando costantemente le policy di sicurezza. Sono inoltre in grado di applicare la segmentazione, per garantire che i dispositivi IoMT operino solo in sottodomini specifici, limitando la possibilità di incorrere nel movimento laterale.

Insieme, zero trust e IA offrono una soluzione adattiva per rendere gli ambienti IoMT più sicuri e resilienti.

Zscaler aiuta le organizzazioni sanitarie a proteggere i propri sistemi, dispositivi e dati con la piattaforma Zscaler Zero Trust Exchange™. Mantenendo gli utenti al di fuori dalla rete sanitaria e applicando una segmentazione granulare dei dispositivi, la piattaforma consente agli operatori sanitari di:

• Bloccare gli attacchi ransomware: i dispositivi e le applicazioni non risultano mai esposti a Internet, rendendoli di fatto invisibili agli aggressori.
• Migliorare la sicurezza della telemedicina e dell'IoMT: l'uso dei dispositivi IoMT per l'assistenza diretta al paziente, il monitoraggio e la telemedicina viene reso più sicuro, proteggendo i dati sensibili dei pazienti su qualsiasi connessione.
• Supportare la conformità: la conformità a normative come HIPAA, HITECH e altre ancora risulta più semplice grazie alla crittografia di tutti i dati e all'ispezione del traffico per individuare le minacce o le perdite dei dati.
• Dare la priorità alla cura dei pazienti: gli strumenti di sicurezza obsoleti vengono eliminati, in modo che il team possa concentrarsi sul miglioramento dei risultati dei pazienti, anziché preoccuparsi dei rischi informatici.