Milano, 13 Marzo 2013 Sanità (pubblica e privata) ed Information Security: un matrimonio difficile. Raoul Nobody Chiesa Comitato Direttivo CLUSIT Founder, Partner, Security Brokers ScpA Principal, Cyberdefcon Ltd. 1
AGENDA Presentazioni Lo scenario La problematica I vendor, le strutture e l offerta del mondo sanità Esperienze vissute, casi noti e non Conclusioni 2
Raoul Chiesa Socio fondatore, Presidente, Security Brokers ScpA Principal, CyberDefcon Ltd. (UK) Senior Advisor sul Cybercrime @ UNICRI (United Nations Interregional Crime & Justice Research Institute) Membro del PSG @ ENISA (Permanent Stakeholders Group, European Network & Information Security Agency) 2010-2012 e 2012-2015 Socio fondatore, membro del Comitato Direttivo e Comitato Tecnico-Scientifico @ CLUSIT, Associazione Italiana per la Sicurezza Informatica) Steering Committee, AIP/OPSI, Osservatorio Sicurezza e Privacy Board of Directors, ISECOM Board of Directors, OWASP Italian Chapter 3
LO SCENARIO Il mondo della sanità diventa digitale : Naturale evoluzione (siamo nel XXI secolo!), Digital Life & e- health Leggi e decreti Ottimizzazione di costi e tempi E-government Piani e Direttive EU 4
LA PROBLEMATICA I vendor di hardware e software per il mondo della sanità vendono piattaforme, software e sistemi tipicamente insicuri. O quantomeno, l aspetto della sicurezza delle informazioni non è in cima alla loro lista Gli operatori del mondo sanitario non hanno (tipicamente e salvo rarissime eccezioni) una visione e comprensione sufficiente delle nuove sfide legate all ICT Security. Osservando i trend degli ultimi 2-3 anni provenienti dal mondo dell ethical hacking e del cybercrime, il mondo sanitario è certamente uno dei prossimi target a (forte) rischio. Ricercatori noti hanno individuato problematiche da brivido in dispositivi medici di una certa importanza 5
6
7
From implantable devices like pacemakers, to insulin pumps, to electronic health records, to home health monitoring and mobile health apps -- the security of medical devices and patient information are a growing concern in healthcare environments. The industry is still in the early stages of identifying risks and threats to medical devices and personal health information, and we've a long road ahead. With a holistic overview of the current state. 8
Travis Goodspeed. One of the best reverse-engineers in the whole world Shawn Merdinger. Network Security Engineer at University of Florida & Shands Hospital Academic Health Center, founder of the MedSec group on LinkedIN 9
E-health security Esposizione alle minacce non note Information Warfare SCADA Security Telco Security ICT Security Finance Security Contesto puntuale 10
I VENDOR DEL MONDO SANITA La situazione vendors VS ICT security nel mondo della sanità è molto simile a quello dei vendor di soluzioni TLC (cit. da TSTF Telecom Security Task Force, Emmanuel Gadaix e Philippe Langlois, 2007): Some vendors have decided to take an active stance in security (e.g. Nokia), however such initiatives are isolated and do not address most telcos security problems. Most vendors sell antiquated software full of bugs, running on old and unpatched version of operating systems and daemons. Operators cannot fix the identified security weaknesses because it would void their warranty. Vendors keep on the motto Security through Obscurity ; Operators act as well, even if transparency is a recent, urgent and pushing request. The result of this head in the sand approach is an increase in the threat: national and international critical infrastructures are at risk. 11
SUCCESSIVAMENTE, NEL 2012 12
LE STRUTTURE SANITARIE Le strutture sanitarie (esattamente come gli operatori di fonia fissa e mobile!) si affidano ai vendor per soluzioni sicure. Gli operatori delle strutture sanitarie sono principalmente focalizzati ed impegnati nelle operazioni tipiche del mondo della sanità, con un occhio di riguardo verso gli upgrade software, le performance di rete e degli apparati medici ed altri task di routine e time-consuming Questi operatori (molto) raramente dispongono di conoscenza inhouse sulle tematiche di ICT security. E tipicamente esiste una divisione molto forte tra la divisione IT (Sistemi Informativi) ed il resto del mondo nelle struttura sanitarie, creando di fatto due distinti security domain. Il risultato di questo approccio è che la maggior parte di queste struttura sanitarie sono aperte ad attacchi esterni ed interni. 13
LE STRUTTURE SANITARIE ED IL MONDO IT The rest of the hospital I.T. Department 14
L OFFERTA Traditional security shops : no knowledge of modern ICT frauds, poor understanding of hospital procedures, zero knowledge of most-recent security discoveries in e-health products. Traditional hospital vendors: very poor knowledge of modern security issues, they rely on physical security (and somehow on recent privacy laws and health records management s standards, especially in North America) Big 5 audit firms: focused on policies, no real expertise (they outsource their jobs to us). In-house resources: very dangerous. Internal fraud is overlooked; interdepartmental ego problems; good security and bad security looks the same. (da ricerca Security Brokers 2011/2012) 15
ESPERIENZE VISSUTE, CASI NOTI E NON Nel 2005 con una delle mie società fui contattato da un importante ospedale del Nord Italia per attività di Penetration Testing. Non erano mai state eseguite. Il driver fu la normativa sulla privacy dei dati (196/2003!). La situazione rilevata era allucinante, peggio del livello di security presente nelle Università italiane (e ce ne va.) Dopo 3 anni di attività cicliche ed inserimento di processi puntuali, quella struttura è un piccolo gioiello di ICT security nel suo settore. Successivamente abbiamo acquisito altre realtà (ASL, strutture ospedaliere private), per attività di: Digital Forensics (dipendenti infedeli, abuso delle risorse IT, etc ) Fughe di informazioni mediche (rivendute da insider) Compliance a standard e norme puntuali (specialmente all estero). 16
ESPERIENZE VISSUTE, CASI NOTI E NON/2 Luglio 2012: una ASL del Nord Italia va on-line. Tutte le cartelle mediche dei pazienti accessibili da remoto (rete Internet) per problematiche di SQL Injection (vulnerabilità web-based: mancata sanitizzazione dell input dal front-end Web). 2011 e 2012: I casi di black-box security testing e reverse engineering verso prodotti in campo medico vedono un improvvisa crescita. Il mondo dell underground digitale ha scoperto nuovi giocattoli con cui giocare. 2009-2012: le risposte (quantomeno pubbliche) dei vendor del mond e- health sono pari a zero. Nessun disclosure delle falle, nessuna comunicazione di security patch, nessun confronto con gli esperti del mondo InfoSec. Il classico approccio security throught obscurity, secondo loro, funziona 17
CONCLUSIONI Il dominio dell Information Security applicato al mondo dell e-health è alla preistoria. Vi è un estremo ed immediato bisogno di: ricerca applicata, security testing di apparati (Ethernet, WiFi, Bluetooth, ZigBee ), software security testing, (magari, prima che vengano acquistati!), sensibilizzazione, cultura ed awareness, del personale operante e del management. Il problema è però (molto) differente dall ICT Security nel mondo finance, TLC o quant altro. Qui si parla (anche) di vite umane. 18
PUO ACCADERE IN ITALIA? In un capitolo del libro viene violata la rete WiFi di un ospedale e sostituito nella cartella medica di una persona il suo gruppo sanguigno. 19
CONTATTI, Q&A Raoul «nobody» Chiesa rc@security-brokers.com GPG Key: http://raoul.eu.org/raoulchiesa.asc 20