H-ISAC Hacking Sanità 7-15-2020

Luglio 17, 2020

TLP Bianco:

Questa settimana, Hacking Healthcare esplora l'intera portata delle operazioni di raccolta di informazioni della Cina contro le entità sanitarie negli Stati Uniti e i suoi alleati sulla scia del COVID-19 e delinea alcuni modi pratici ed economici per aumentare la sicurezza. Successivamente, esamineremo come i singoli stati stanno adottando misure per abbracciare in modo permanente i cambiamenti della telemedicina e discuteremo cosa ci si può aspettare dalla telemedicina da un punto di vista federale. Infine, spiegheremo brevemente come uno smartwatch e un'app correlata all'assistenza sanitaria dimostrino i problemi di sicurezza derivanti dalla mancanza di una visibilità completa del codice sottostante di un prodotto. Bentornati a Hackerare l'assistenza sanitaria.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

1. FBI: le operazioni di intelligence della Cina stanno sorvolando il campo.

La minaccia rappresentata dalle minacce persistenti avanzate cinesi ("APT") sponsorizzate dal governo, dagli hacker patriottici e dalle organizzazioni criminali non affiliate è ben nota in Occidente. Tuttavia, la scorsa settimana, il direttore del Federal Bureau of Investigation ("FBI") Christopher Wray ha contribuito a mettere a fuoco la portata degli attori della minaccia cinese quando ha affermato che quasi la metà delle 5,000 indagini di controspionaggio attive aperte negli Stati Uniti sono legate alla Cina.[1] Ciò significa che ogni 10 ore viene aperta una nuova questione relativa alla lingua cinese.[2]

Sebbene non tutte queste attività di intelligence cinesi contengano componenti informatiche dannose, molte delle operazioni più importanti e delicate ne contengono. Il direttore Wray ha riconosciuto che i casi di spionaggio economico cinese, compresi quelli che prendono di mira la ricerca e conducono furti di IP, sono aumentati del 1300% nell'ultimo decennio.[3] Ha inoltre sottolineato che gli attori cinesi della minaccia utilizzano “una vasta gamma di tecniche sofisticate” che includono sottili intrusioni informatiche e attacchi mirati che utilizzano i social media per identificare gli obiettivi.[4]

Wray ha espressamente riconosciuto la minaccia all'assistenza sanitaria, affermando che il governo cinese sta attivamente cercando di compromettere l'assistenza sanitaria e le aziende farmaceutiche che conducono ricerche sul COVID-19. L'FBI ha notato che le organizzazioni sanitarie americane che fanno annunci importanti relativi alla ricerca sul COVID-19 spesso si ritrovano prese di mira entro 24 ore.[5] Ciò rispecchia le dichiarazioni di stretti alleati come il Canada.

Pur non chiamando specificamente in causa la Cina, Scott Jones, direttore del Centro canadese per la sicurezza informatica, la scorsa settimana ha segnalato al Parlamento canadese numerose violazioni di dati condotte con successo contro organizzazioni che conducono ricerche sul COVID-19.[6] Jones ha spiegato che i decisori politici spesso trascurano quante piccole e medie organizzazioni, fondamentali per l'impegno contro il COVID-19, non abbiano le risorse di sicurezza informatica per difendersi adeguatamente dai tipi di minacce che stanno vedendo. Ciò ha portato individui come Paul-Émile Cloutier, CEO di HealthcareCAN, a lamentare pubblicamente lo stato della sicurezza informatica del settore sanitario, con alcuni che chiedono l'imposizione di standard nazionali di sicurezza informatica per il settore.[7]

Azione e analisi

*È richiesta l'iscrizione all'H-ISAC*

2. Gli Stati assumono la guida nell'apportare modifiche alla telemedicina correlate al COVID-19.

Mentre il Congresso e il governo federale valutano le modifiche alle norme e ai regolamenti nazionali sulla telemedicina, diversi stati hanno iniziato a prendere l'iniziativa.

Massachusetts:Alla fine di giugno, il Massachusetts Board of Registration in Medicine ha approvato una politica permanente sulla telemedicina che afferma: "La pratica della medicina non richiederà un incontro faccia a faccia tra il medico e il paziente prima della fornitura di assistenza sanitaria tramite telemedicina". La politica afferma inoltre che "lo standard di cura applicabile al medico è lo stesso indipendentemente dal fatto che il paziente venga visitato di persona o tramite telemedicina".[8] Molti ritengono che questo sia un passo significativo per uno Stato che per decenni ha evitato di adottare politiche dettagliate in materia di telemedicina.[9]

Colorado: La scorsa settimana, il governatore del Colorado Jared Polis ha firmato la legge SB20-212. Il disegno di legge "[riguarda] il rimborso per i servizi sanitari forniti tramite telemedicina" e "impedisce ai piani sanitari di imporre requisiti o limitazioni specifiche sulle tecnologie utilizzate per fornire servizi di telemedicina, purché tali tecnologie siano conformi all'Health Insurance Portability and Accountability Act".[10]^{, [11]} Il disegno di legge è stato approvato dalla Camera e dal Senato del Colorado con un forte sostegno bipartisan, ricevendo solo un voto contrario. Il governatore Polis ha specificamente indicato il COVID-19 come la forza trainante per l'avanzamento della telemedicina.

Idaho: A fine giugno, il governatore dell'Idaho Brad Little ha firmato un ordine esecutivo che ha reso permanenti una serie di esenzioni temporanee per la telemedicina, tra cui l'allentamento delle restrizioni sulle applicazioni che gli operatori sanitari possono utilizzare per la telemedicina. L'allentamento di tali restrizioni è avvenuto come parte di un pacchetto più ampio che ha reso permanenti oltre 150 norme di emergenza relative al COVID-19. Il governatore Little ha affermato che queste modifiche "rendono l'assistenza sanitaria più accessibile e conveniente per le famiglie e le aziende dell'Idaho".[12]

Azione e analisi

*È richiesta l'iscrizione all'H-ISAC*

3. L'app Smartwatch Health ribadisce i pericoli per la sicurezza dell'assistenza sanitaria IoT.

Dal nostro "In Case You Forgot Department" notiamo che l'entusiasmo per il potenziale di smartphone, smartwatch e dispositivi IoT per espandere le opzioni e i servizi sanitari continua a crescere. Tuttavia, recenti report hanno ribadito i pericoli associati ai dispositivi sanitari connessi quando la sicurezza non è al primo posto durante lo sviluppo e quando i dispositivi con il potenziale per applicazioni sanitarie non sono prodotti e supportati da enti sanitari.

La scorsa settimana, i ricercatori di sicurezza hanno esaminato in modo approfondito un'applicazione di servizio di tracciamento e lo smartwatch di accompagnamento che sembrano progettati specificamente per gli anziani e le persone con disabilità cognitive. Tra le varie opzioni incluse nell'orologio e nell'applicazione di accompagnamento c'è una funzione di tracciamento per aiutare gli assistenti a localizzare gli indossatori disorientati e un promemoria attivato che indica che è il momento di assumere i farmaci. Come notano i ricercatori, "Se un assistente non potesse far visita per motivi di isolamento durante il CV-19, un avviso remoto per un indossatore che non fosse in grado di ricordare da solo sarebbe molto utile".[13]

In termini di utilità e intenzione, queste applicazioni del dispositivo sono tutte belle e buone. In termini di sicurezza, il dispositivo purtroppo ha posto rischi innegabili. I ricercatori hanno notato che bastavano competenze di hacking "di base" per consentire a chiunque di tracciare qualcuno che utilizzava il dispositivo, che l'audio poteva essere compromesso per consentire l'intercettazione e che la notifica dei farmaci poteva essere attivata a piacimento.[14] Una delle principali critiche sollevate dai ricercatori è che "[n]euno ha esaminato il codice sottostante. Nessuno ha esaminato quanti server sono disponibili al pubblico e cosa può essere fatto lato server per i vostri figli, parenti anziani o persino la vostra auto".[15]

Azione e analisi

*È richiesta l'iscrizione all'H-ISAC*