Allarme sicurezza, gli hacker possono manomettere le pompe di infusione degli ospedali

Le pompe di infusione presenti negli ospedali possono essere facilmente hackerate e controllate a distanza, anche per infondere una dose eccessiva di medicinali ai pazienti. La grave falla nella sicurezza è stata individuata da Wired e coinvolge diversi tipi di pompe realizzate dall'azienda Hospira. Una in particolare, la Plum A+, viene attualmente utilizzata in più di 325 mila ospedali di tutto il mondo. L'allarme segue uno simile divulgato nei primi mesi dell'anno secondo il quale gli hacker hanno la possibilità di aumentare i limiti massimi impostati sulle macchine: in questo modo la pompa non segnala al medico il superamento delle soglie massime e, di conseguenza, diventa potenzialmente dannosa per il paziente.

La falla è stata scoperta dal ricercatore Billy Rios, che inizialmente era riuscito ad introdursi all'interno del sistema responsabile del funzionamento delle pompe – i problemi riguardano cinque macchinari prodotti dalla Hospira – ed aumentare i livelli massimi entro i quali il dispositivo non invia la segnalazione al responsabile. Successivamente, il ricercatore è riuscito a modificare il firmware delle pompe di infusione e aumentare direttamente le dosi di medicinali infuse ai pazienti fino a raggiungere livelli letali. L'azienda ha confermato l'esistenza della falla, assicurando di non aver rilevato intrusioni all'interno del sistema. Hospira ha stretto una collaborazione con il Food and Drug Administration and the Department of Homeland Security per chiudere la falla nel breve termine.

Non che l'azienda sia stata collaborativa fin da subito; Rios ha dovuto lottare per far riconoscere il problema ad Hospira, obbligandola a cercare una soluzione. Il primo contatto è avvenuto più di un anno fa, con tanto di soluzione alla falla messa a punto dallo stesso ricercatore. Il problema risiede nel fatto che le pompe accettano ogni tipo di modifica al firmware, senza fare distinzione tra gli aggiornamenti ufficiali – e, di conseguenza, "firmati" a livello software dall'azienda produttrice – e quelli non ufficiali che chiunque, anche un hacker malintenzionato, può sviluppare e applicare.