Come la ricerca e i fondi di investimento influenzano la sicurezza dei dispositivi medici interconnessiSebbene il titolo abbia un che di romantico, il contesto è davvero inquietante: da un recente comunicato dell’agenzia americana per il controllo di alimenti e farmaci (FDA) una specifica linea di pacemaker risulta presentare vulnerabilità che li rendono accessibili a distanza. Il produttore ha rilasciato un aggiornamento del firmware che dovrebbe chiudere tale falla.
La connettività dei dispositivi medici presenta indubbiamente una serie di indiscutibili vantaggi sia per i pazienti sia per il personale medico e paramedico. Anziché presentarsi personalmente presso lo studio medico, cosa che, a dipendenza della gravità della malattia è già di per sé una sfida, i pazienti possono sottoporsi a controlli di routine da remoto, senza dover metter piede fuori dalla propria abitazione. Il monitoraggio a distanza di particolari parametri vitali corrisponde per tutti i soggetti interessati ad un enorme risparmio di tempo e risorse, in grado di entusiasmare i più, se solo non vi fossero i moniti dei ricercatori sulle potenziali minacce costituite da sistemi violabili.
Un esempio interessante è il recente caso del produttore leader di pacemaker, la St. Jude Medical: una ricerca condotta da MedSec e Muddy Waters Capital ha evidenziato che il trasmettitore radio collegato a Internet per il monitoraggio in remoto dei valori cardiaci e del funzionamento del dispositivo impiantato era potenzialmente accessibile a terzi che avrebbero potuto riconfigurarlo cagionando un più rapido esaurimento della batteria, un forte disagio fisiologico al paziente e una compromissione dell’effettiva funzionalità del dispositivo in caso di necessità. L’unico requisito per procurarsi accesso al dispositivo impiantato era la vicinanza del paziente all’apparecchio per la trasmissione dei dati.
Questo è solo uno dei numerosi casi segnalati dal 2015 ad oggi in cui si riscontra un livello di sicurezza lontano anni luce dagli attuali standard. Uno dei motivi è che il processo di certificazione dei dispositivi medici, dalle pompe di insulina ai sistemi per la narcosi in sala operatoria, fino ai dispositivi per l’erogazione intravenosa automatica di medicinali, richiede anni, oltre ad un enorme investimento da parte dei produttori. Nel caso di dispositivi il cui malfunzionamento pregiudica l’incolumità dei pazienti, i requisiti sono estremamente complessi e talmente limitanti da rendere impossibile qualsiasi aggiornamento, anche nel caso di patch necessarie per chiudere eventuali falle: qualsiasi modifica richiederebbe una nuova certificazione.
E se un giorno..
Se pensiamo al fenomeno dei ransomware, ci vuole ben poco per ipotizzare che dei malintenzionati possano un giorno estorcere denaro ai pazienti, ospedali o studi medici minacciando di disattivare i sistemi di supporto vitale in caso di mancato pagamento del riscatto. Per affrontare questa sfida non vi sono alternative alla stretta collaborazione tra ricercatori e produttori, una collaborazione che non dovrebbe essere limitata ai soli dispositivi ma estesa anche alle piattaforme online cui molti di questi sono oggi collegati. Le ricerche degli ultimi anni hanno evidenziato quanto si sia lontani da un’integrazione della sicurezza sin dalle prime fasi della produzione. Va da sé che anche il processo di certificazione dovrebbe essere accelerato. Lo sviluppo nell’ambito della sicurezza IT ha raggiunto un grado di evoluzione notevole, procedure prolungate rappresentano un chiaro ostacolo al progresso e alla tutela efficace dei fruitori di questi dispositivi.
Vulnerabilità che arrichiscono gli insider
Il caso della St. Jude Medical conferma quanto sia essenziale il ruolo della sicurezza informatica nello sviluppo di tali apparecchi. La posta in gioco per gli attori è molto alta: la reputazione di un produttore può subire ingenti danni se la sicurezza dei propri dispositivi è compromessa. Gli interessi finanziari viaggiano di pari passo: danni alla reputazione di un produttore avranno un riscontro diretto sulla redditività delle sue azioni. La St. Jude Medical stava per essere acquisita dalla Abbot Laboratories per 25 miliardi di dollari proprio al momento della pubblicazione dei risultati dell’analisi sulle vulnerabilità dei dispositivi ad opera di MedSec e Muddy Waters Capital. Entrambe hanno attuato vendite allo scoperto e acquisti a termine antecedenti alla pubblicazione dei risultati della ricerca, anticipando le eventuali cadute del valore azionario dovute alla pubblicazione. La St. Jude Medical ha presentato una denuncia formale contro entrambe le aziende, il processo è in corso.
Questo caso lascia adito a scenari di stretta collaborazione tra esperti di alta finanza e ricercatori nel settore della sicurezza IT. Insieme possono sfruttare le proprie conoscenze da insider realizzando enormi profitti attraverso operazioni di borsa preventive alla pubblicazione dei risultati delle ricerche. Ovviamente i produttori hanno tutto l’interesse a prevenire questa evenienza migliorando efficacemente la sicurezza dei loro prodotti. Dall’altro lato però ci troviamo di fronte ad un dilemma etico di dimensioni epocali: si genera volutamente un profitto sulla base di conoscenze e informazioni che non solo possono mettere in pericolo la vita dei pazienti ma che, come in questo caso, non vengono neanche fornite ai produttori. I cosidetti “Bug Bounties” sono una vera manna per i ricercatori di sicurezza informatica che segnalano al produttore eventuali falle di sicurezza consentendo loro di porvi rimedio prima della pubblicazione della ricerca. A seconda della gravità di una determinata vulnerabilità un Bug Report può assicurare al ricercatore introiti a sei cifre. Se fosse dimostrato che l’approccio seguito da MedSec e Muddy Waters Capital frutti guadagni ancora maggiori (la sentenza non è stata ancora emessa), ciò potrebbe influenzare il modo in cui i ricercatori utilizzano le conoscenze che acquisiscono.