marzo | 2018 | Privacy 4.0 e Data Protection

Sicurezza IoT: e chi se ne frega 4.0!

Non sarà sfuggito agli amici del Blog, informatici, managers, imprenditori, Titolari del Trattamento ma anche folle di Interessati, che dal 2017, tutto ciò che accade è diventato “Qualcosa 4.0″
Nulla di cui scandalizzarsi per chi da decenni segue l’evoluzioni tecnologiche nei processi aziendali. Quello che è singolare che pochi fanno rilevare di come si sia passati dall’era 2.0 a quella 4.0. Dove e quando abbiamo maturato l’epoca del “tutto 3.0“?

L’internet degli oggetti (IoT), o meglio ancora “di ogni oggetto” (IoE) si impossesserà della vita umana che popola il globo. E ‘, e sarà, ovunque: controllo dell’illuminazione, distributori automatici, parcheggi, semafori, telemedicina, sicurezza domestica, bancario, contatori intelligenti, ecc, ecc Chiedersi quali rischi comporta questo tzunami tecnologico è illusorio perché la maggior parte dei rischi ancora non sono neppure congetturabili.
Altrettanto ridicolo è chiedersi se o meno siamo pronti per un malfunzionamenti, violazioni della Privacy o arresti di sistemi e infrastrutture. La risposta è già conosciuta: assolutamente no!

Siamo disposti ad affrontare un paradigma fantascientifico con cacciaviti e martelli?
In Italia navighiamo nella palude di una “Cyber Ignorance” il cui approccio è quello del “e chi se ne frega?”
A parte le discussioni in circoli e convegni di esperti (o presunti tali), la consapevolezza pubblica semplicemente non esiste.

La ragione di questo è la cattiva abitudine di non studiare pro-attivamente l’evoluzione tecnologica IT mondiale, subendo il vassallaggio dei grandi players HW/SW incombenti a scapito del terzo mondo tecnologico. A questo si aggiunge che pochi “artigiani dell’ IoT”, per quanto coraggiosi e illuminati, non possono trascinare le coscienze di un popolo e di Istituzioni che prestano attenzione alle “disastri informatici” solo quando visibilmente distruttivi. Quindi, quando sono oramai irrimediabili.

Gli specialisti ICT sanno del famoso caso Stuxnet, quando le agenzie USA/Israele hanno compromesso le apparecchiature nucleari iraniane dello SCADA, incorse poi in avaria. La realtà è che quell’incidente non è l’unico. Ci sono stati molti incidenti che per motivi di controllo della politica geo-tetica, non sono stati resi noti.
Mentre scriviamo, sono già stati comprovati difetti di sicurezza IOT nei prodotti di consumo, come giocattoli per bambini, monitor per bambini, automobili e pacemaker!
Tutti pensiamo al fatto che è giustificabile questa filiera di target perché si tratta di “end consumers”. Magari!

Alla fine di Ottobre 2016, Dyn®, un grande fornitore di infrastrutture Internet, ha subito un attacco DDoS ottenuto sfruttando malware su dispositivi IoT come webcam e stampanti collegate alla rete Dyn.

In sintesi estrema: NESSUNO E’ INDENNE!

Quando vediamo progetti con l’incorporazione di piattaforme proprietarie per IoT, leggiamo opuscoli di marketing e di vendita dicevano tipo

“Il nostro internet degli oggetti è sicuro”

Parliamo di un fornitore del servizio universale del prodotto praticamente incontrollato e incontrollabile. Eppure, quando si fa un progetto reale si dovrebbero mettere in discussione le dichiarazioni di marketing e comprovare la QA con dovuta diligenza.

Cosa succederebbe se potessi rivolgere queste domande al product manager e al suo team:

Può mostrami in che modo i vostri prodotti sono sicuri?
Come vengono identificati i dispositivi?
Come vengono autenticati?
Dove sono memorizzati un ID e/o il relativo certificato?
ID e certificato sono in una locazione di memoria protetta e sicura del chip?
Quale autorità rilascia questi certificati?
Nel caso fossero proprietari, come sono coniati?
Come posso recuperare dati critici di una sessione?
Quale algoritmo di crittografia viene utilizzato?
Il generatore di numeri casuali è probabilistico, deterministico o stocastico?
Il dispositivo prevede un processo di revoca?

Nessun produttore risponderebbe. Anche peggio, di alcune delle domande sconoscerebbe anche il senso.

Se ripetessi l’esperimento con un Security Architect o un Pre-sales otterrei lo stesso risultato.
Sembra che nell’era dell Industry 4.0, dove tutto è “Open”, tutti, inesorabilmente ripetono lo stesso identico mantra:

il nostro prodotto è sicuro!

Tutti sanno ce le dichiarazioni di marketing sono pura finzione. Nella migliore delle ipotesi qualche caratteristica di sicurezza del prodotto è effettivamente realizzata: ad esempio hanno utilizzato un collegamento TLS.
Il problema è che l’ IoT deve essere considerato un sistema e non un prodotto sé stante. In molti casi, l’IoT si potrebbe addirittura qualificare come un sistema di sistemi!

In questo scenario, la sicurezza del sistema è forte quanto il suo anello più debole. Come instancabilmente ripetiamo nei nostri seminari: “in una catena di acciaio la resistenza è quella dell’anello di alluminio”

La metafora che sfrutto è molto meno aleatoria di quanto sembri, quando pensiamo alla catena : progettazione > implementazione > solution provider > integratore di sistemi > operatore assemblaggio > venditore > utente finale.

Ogni stakeholder dell’ IoT, tendono ad una distribuzione disoggetti interessati molto più complessa rispetto ad altri sistemi TIC.

Altra domanda da un milione di Euro:

Chi diventa responsabile della sicurezza?

NESSUNO FINCHE’ NELLA CATENA DI FORNITORI I CLIENTI FINALI NON LA ESIGONO!

Cosa? Perché ai clienti non importa? Non si preoccupano di tutti i rischi aziendali e degli aspetti legati alla privacy? Non inciderebbe sul loro reddito o sulla loro reputazione?

L’abbiamo scritto nel titolo: e chi se ne frega!

Alcune società di consulenza hanno iniziato a promuovere un controllo dello stato di salute dell’internet degli oggetti. Purtroppo, non vi sono ancora molti fornitori di questo servizio, data la diversità e le dimensioni del mercato dell’internet degli oggetti. Inoltre, è improbabile che i consumatori si rivolgano a società di consulenza specializzate.

Le società antivirus hanno iniziato a sviluppare piattaforme di sicurezza per l’internet degli oggetti. Probabilmente ci vorranno 5-10 anni prima che diventino così ampiamente usati come antivirus tradizionali. Il mercato degli antivirus ha richiesto circa 10-15 anni per maturare. Speriamo che il mondo non crolli nel frattempo

Concludo per non annoiare
Anche se la sicurezza e le attività di CyberSec realmente sostenute dalle istituzioni non sono direttamente legate in responsabilità rispetto a quanto scritto sopra, ci sono delle implicazioni pressoché identiche di responsabilità nei confronti delle persone che sono consumatori per il mercato, cittadini per lo stato, pazienti per le strutture sanitarie.
Consapevole di citare un esempio estremo, e tuttavia concretamente recepito dalle popolazioni mondiali, pensiamo alla NSA che ha creato il virus WannaCry, causando devastazione alle aziende normali e cittadini.
Ulteriori domande nascono ineludibili: ma nella guerra Cyber, dove si trova il fronte? Chi sono i nemici?

Ad oggi IoT 4.0 è possibile solo se artigianale
Ciò che sembra paradossale dovrà essere abbracciato come un paradigma. L’unico futuro possibile per un IoT “umano” sarà quello artigianale. Peraltro, la rivoluzione europea sulla protezione dei dati, nota con l’acronimo GDPR, rende mandatorio per i costruttori (di ogni ordine e dimensione), progettare la sicurezza sin dalla concezione del prodotto sviluppando intelligenza euristica di sw che formalizza la così detta “protezione per impostazione predefinita” (Art. 25 Reg.679/16 – GDPR/16/EU)

Chi scrive ha fatto una scelta di campo e crede che nel mondo IoT, una rivoluzione sia possibile se parte dal basso. Ho quindi scelto una piccola azienda di Genova dove gli IoT si pensano, si disegnano, si progettano e si fanno!

Esatto, si fanno. Cosi come un ebanista fa un tavolino, un artista fa la scultura, un panettiere fa il pane. A costoro importa, importa molto!

Per Qxperts Srl – Dr Salvo Reina

2018: 03/22
POSTED BY: salvoreina
CATEGORY: Cloud Security and Policy
Compliance and Audit
Governance/Risk Management
Healthcare Privacy
Information Security
Monografie
Online Privacy/Big Data
Operational Privacy
Privacy e società
Pubblico contenuto
Rubriche elettroniche
Lascia un commento

Bollettino medico italiano Cyber Health: solo malesseri stagionali

Ospedali e sanità: disservizi all’ordine del giorno. Non virus piuttosto guasti e l’obsolescenza. Incognita delle macchine diagnostiche. Viaggio nella cybersicurezza delle strutture sanitarie italiane

Sanità italiana la cybersicurezza è ancora un patchwork raffazzonato, composto da interventi stratificati, coperture a macchia di leopardo e aree quali i macchinari biomedicali in cui, non si sa bene come e quanto intervenire. Una realtà che sta cercando velocemente di adeguarsi alla crescita improvvisa di attacchi informatici in generale, e in particolare contro le strutture sanitarie. Le quali, dal loro canto, sono sempre più digitalizzate e quindi esposte a possibili minacce.

Intrusione amicale: ad avercela!
È chiaro che l’aumento delle informazioni registrate nei sistemi informatici sta rendendo più appetibili i dati sanitari. Anche per questo sarebbe utile avere più strumenti, ad esempio un ente terzo che provasse a bucarci, cioè a testare le nostre difese.

Lo spettro del guasto informatico
In Italia non abbiamo vicende eclatanti come in Gran Bretagna con Wannacry ; la nostra sanità è comunque costellata da piccoli disservizi informatici. Emergono solo quando vanno in tilt pronto soccorso e accettazioni, quando le ambulanze sono mandate altrove e le prenotazioni non funzionano.
E’ sempre difficile capire cosa sia successo. Dettagli sono pochi, nebulosi e tutto ricade nella categoria universale e antica del “guasto informatico”.
In Italia nessuno sembra raccogliere o avere questi dati o statistiche certe. Il primo gruppo di studio a livello nazionale per la costruzione di un sistema di sicurezza dei dati informatici nei servizi sanitari, coordinato dall’Istituto Superiore di Sanità (Iss), è nato solo in Marzo 2018. In sintesi si procede per aneddoti ed episodi.

Italica coincidenza: Maggio 2017 i giorni della epidemia Wannacry
Strutture sanitarie di tutta Europa hanno dichiarato perdite di dati, e pagato per ripristino servizi.
In Italia registrati ufficialmente riportati molti sporadici problemi informatici negli ospedali italiani. Alcuni portavoce ufficiali di Ospedali hanno parlato di una coincidenza! Più che il Malware, in Italia sembra avere la meglio il guasto; il server che si rompe; il blackout.

Pronto soccorso, ospedale di Arzignano, Vicenza.
Prime cure d’emergenza, computer gestiscono i dati dei pazienti e le richieste di esami. In crisi anche il pronto soccorso.

Metà marzo 2018, blocco del sistema informatico dell’Asst Valle Camonica
Alcuni giorni vari disservizi agli ospedali di Esine e di Edolo (provincia di Brescia). Prenotazioni e referti.

Febbraio 2018 Osp. Galliera, Genova.
Non meglio precisato guasto al sistema informatico che gestisce gli accessi dell’ospedale Galliera, Genova, ha creato disagi, rallentando pronto soccorso con dirottamento ambulanze in altre strutture.

Febbraio 2018 Osp. Santissima Annunziata di Savigliano (Piemonte)
Problema causato da un attacco informatico, un virus individuato in un’applicazione del Centro trasfusionale e di averlo circoscritto senza perdite di dati o pericolo per gli stessi.

Febbraio 2018 Osp. di Novara
Registrati guasti, code e ritorno alla carta per alcune ore.

Febbraio 2018 Osp.li Torino, Martini, Maria Vittoria e San Giovanni Bosco
Uno o due giorni rallentamento registrazioni amministrative degli utenti causate da un non meglio definito guasto informatico; forse, derivato dalle attività di unificazione delle procedure delle aziende sanitarie.

Dicembre 2017 blocco server Insiel (Ict in-house) regione Friuli Venezia Giulia
Ripercussioni sul sistema informatico delle strutture ospedaliere, sanitarie e perfino sui medici di medicina generale. Personale ricorso a carta e penna.

Il 17 maggio 2017, in piena fase Wannacry, va in tilt il punto prelievo hub OSp. Rovigo.
Un guasto tecnico informatico, comunicherà poi una nota della Ulss 5 Polesana

13 maggio all’ospedale di San Bonifacio (Verona),
Il pronto soccorso, il laboratorio di analisi, cardiologia e radiologia colpiti da una serie di disservizi, con il blocco delle accettazioni, rallentamenti e disguidi dovuti «alla necessità di sostituire l’attività informatica con una modalità cartacea». La causa è un blocco dei sistemi informatici. “No Wannacry», riferisce comunicazione Ulss 20 Verona. Problema di server, per accorpamento tre aziende sanitarie in una“.

17 maggio, disagi presidi sanitari province di Siena e Grosseto,
Al policlinico Santa Maria alle Scotte, ai punti prelievo dell’AOU senese, degli ospedali e di tutti i presidi territoriali della provincia di Siena. La causa sono forti rallentamenti nella procedura informatica che gestisce prenotazioni, accettazioni e pagamenti per un guasto a un componente del server. “… problema di malfunzionamento di un software in comune con l’azienda sanitaria“, commento di Infrastrutture Sud Est di Estar, l’ente di supporto tecnico-amministrativo regionale della Toscana.

Non solo virus, ma obsolescenza e incompatibilità

Fine Cennaio 2018, a Foligno, all’ospedale San Giovanni Battista
Per una sera è andato in crisi il sistema informatico, con difficoltà per il personale sanitario. «È stato un guasto elettrico nel nostro centro elaborazione dati”, comenta dirigente del servizio informatico Usl Umbria 2. “… scattato un interruttore che non doveva saltare, si sono spenti i server, si è bruciato qualche componente e siamo ripartiti. Non abbiamo avuto perdite di dati, inoltre è successo di notte. Ma ora stiamo rafforzando la parte elettrica per avere più ridondanza”.
Il problema della sicurezza informatica è molto sentita da noi anche per la delicatezza dei dati che trattiamo», prosegue. «Ma è un settore che richiede ingenti investimenti e tempi rapidi, mentre i tempi di approvvigionamento della Pubblica amministrazione non sono velocissimi. In generale le risorse sono meno delle esigenze crescenti».

Agosto 2017 Osp. San Martino, Genova
Per diverse ore, un guasto al sistema informatico dell’ospedale San Martino ha causato disagi nella gestione di accettazioni, ricoveri e dimissioni; e il personale è tornato a compilare a mano moduli e referti. «È stato un guasto del server per obsolescenza tecnica ma ci siamo mossi subito», commenta direttore sistemi informativi e ingegneria clinica all’azienda ospedaliera universitaria San Martino di Genova. “C’è un tema più generale della mancanza di fondi rispetto alle necessità, per cui a volte bisogna tenersi due anni di più sistemi vecchi che per loro stessa natura non sono aggiornati. Noi ci siamo mossi in anticipo e 5-6 anni fa abbiamo fatto una gara europea per cambiare tutte le macchine periferiche (tranne i server), in modo da avere un parco omogeneo di dispositivi. E questo ha alzato l’asticella di sicurezza dell’ospedale; ad esempio non abbiamo avuto problemi di ransomware. Prima infatti tutti i computer aziendali erano diversi e il processo di manutenzione era poco efficiente. Inoltre prima ognuno poteva installarsi il software che voleva, ora abbiamo chiuso tutte le porte, le porticine e i portoni. Spesso Il problema non sono solo i guasti dell’hardware. Molti blocchi nel funzionamento in realtà nascono da conflitti di software, e da errori di configurazione”.

Candida posizione di Claudio Telmon, direttivo Clusit
“I sistemi informativi della sanità, sia pubblica che privata, sono sistemi complessi che si sono stratificati nel tempo, con situazioni difficili da sanare. E anche se la situazione sta migliorando, negli anni c’è stato poca attenzione su questo aspetto da parte delle strutture sanitarie. Molti incidenti, notano gli analisti dell’azienda, si sono verificati perché spesso le aziende sanitarie non sono in linea con le migliori pratiche di sicurezza e non pongono rimedio alle vulnerabilità note nel software medicale.”

Il rischio biomedicale? La sindrome da Silos
Come gestire le macchine biomedicali, che fanno esami, raggi, analisi?
La cybersicurezza in sanità è ancora affrontata in modo settoriale. I macchinari diagnostici, gestiti dall’ingegneria clinica: tac, risonanze, ecografi, apparecchi elettromedicali negli ultimi anni si sono evoluti in sistemi informativi che memorizzano i dati clinici dei pazienti, che si collegano alla rete aziendale, ma che rischiano di avere un livello di protezione più basso. E spesso fanno capo a responsabili diversi rispetto a chi protegge i sistemi dell’ospedale.
Problema simile quello emerso con l’industria 4.0. I Sistemi di fabbrica isolati che a un certo punto si ritrovano in rete senza adeguate misure di sicurezza; il produttore non è mai stato messo sotto pressione per evoluzione», aggiunge.
Poche aziende a livello mondiale, per cui è anche difficile per una struttura sanitaria rimettere in discussione una fornitura sulla base di un aspetto (la cybersicurezza) ritenuto marginale.

La vera battaglia è quindi quella della contrattualità di PLA e dei problemi di budget, sostituzione di macchine e di server, funzionamento dei data center, unificazioni di procedure, software e applicativi diversi. E quando scatta l’emergenza, si ricorre alla vecchia carta.

Aggiungiamo alla fine, soprattutto il paziente non sa mai di chi è la colpa anche quando tutte le responsabilità formali sono assegnate in organigramma.

Quotato dall’Autrice dell’articolo originale

“La gestione dei sistemi informativi degli ospedali e quella dell’ingegneria clinica sono ancora mondi separati, che fino a poco tempo fa si ignoravano cordialmente” commenta Padrone (San Martino, di Genova). “… una Tac non è più solo hardware come una volta, ma anche software. Tutte le tecnologie biomedicali si stanno informatizzando, e c’è l’esigenza di collegarle in rete, per cui diventano delle porte. E anche quando non sono collegate, sono infarcite di software, e quindi potenzialmente possono avere dei bachi. Infatti non a caso negli ultimi anni gli avvisi di sicurezza di tipo informatico inviati dai produttori di queste macchine sono aumentati; prima erano quasi nulli“.

Riferimenti e fonti primarie: le informazioni riportate in estratto sono derivate dall’articolo di Carola Frediani da “La Stampa” sotto Creative Commons con alcuni diritti riservati: GNN — GEDI Gruppo Editoriale S.p.A. – P.Iva 00906801006 — Società soggetta all’attività di direzione e coordinamento di CIR SpA

2018: 03/22
POSTED BY: salvoreina
CATEGORY: Cloud Security and Policy
Governance/Risk Management
Healthcare Privacy
Information Security
Normative
Privacy Law and Security
public health
Rubriche elettroniche
Lascia un commento

L	M	M	G	V	S	D
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Quello che nessuno dice: se non vi occupate di Privacy, lei si occuperà di voi

Sicurezza IoT: e chi se ne frega 4.0!

Per Qxperts Srl – Dr Salvo Reina

Bollettino medico italiano Cyber Health: solo malesseri stagionali

INFORMATIVA DI GARANZIA

Appena usciti : Omnia Cloud

Se chi ha paura dell’ IoT sono gli utenti, questo è un bel problema

Cosa è lo EasS e a chi serve

Quasi tutte le App su Cloud trasgrediscono la Privacy europea !

Big Data, bello de papà… dove ti sei nascosto?

Bring your own “Qualcosa”. Perchè le aziende devono sapere !

Categorie

Segui il blog via email