I vaccini COVID-19 non sono stati violati: questa task force è uno dei motivi per cui

Lo scorso autunno, una piccola azienda di cui nessuno aveva mai sentito parlare stava tenendo Josh Corman sveglio la notte. È stato uno dei pochi gruppi al mondo a produrre un ingrediente di cui aziende farmaceutiche come Moderna e Pfizer / BioNTech avevano bisogno per realizzare i vaccini mRNA COVID-19. E non ha impiegato un solo esperto di sicurezza informatica.

Corman è un consulente senior della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti e nell’ultimo anno ha lavorato a una task force all’interno dell’agenzia incentrata sulla protezione della catena di fornitura del vaccino COVID-19 dalle minacce informatiche. Le organizzazioni sanitarie sono state alcune delle maggiori vittime delle crescenti ondate di attacchi informatici negli ultimi anni e durante la pandemia sono state un obiettivo ancora più grande.

Ciò che preoccupava Corman non erano posti come Pfizer e Moderna. Quelle grandi aziende di marca impiegano tutte esperti di sicurezza informatica interni. Era preoccupato per le aziende come quella che produce un ingrediente per l’mRNA: piccoli gruppi anonimi che hanno reso i pezzi fondamentali per i vaccini, ma che potrebbero non aver mai pensato di aver bisogno di proteggersi da una campagna di hacking.

“Potresti starnutire su quell’unica azienda e verrebbero interrotte. E se fossero interrotti, vivremmo in un mondo molto diverso in questo momento perché erano così critici per quei candidati mRNA”, dice Corman.

Nell’ultimo anno, la task force ha rintracciato centinaia di aziende simili fondamentali per lo sviluppo, la produzione e la distribuzione di vaccini COVID-19 negli Stati Uniti. Si è offerto di aiutarli a verificare eventuali lacune nelle loro reti digitali, fornire loro risorse per aumentare la loro preparazione e aiutarli a rispondere a eventuali incidenti. Un attacco informatico a uno di loro avrebbe potuto rallentare gli sforzi per il vaccino, mantenendo i colpi fuori portata più a lungo, con un grande costo per la salute del paese, afferma Corman. “Volevamo assicurarci di non avere ritardi a causa della sicurezza informatica”.

Ricreare la filiera

L’approccio degli Stati Uniti allo sviluppo del vaccino COVID-19 è passato attraverso l’Operazione Warp Speed, un progetto da 10 miliardi di dollari che ha coinvolto partnership tra aziende biomediche e varie agenzie all’interno del governo federale, tra cui la Food and Drug Administration, il Dipartimento della Difesa e il Dipartimento della Salute e Servizi Umani. Ha finanziato lo sviluppo di vaccini candidati in aziende come Moderna e Johnson & Johnson ed è stato in stretto contatto con altre persone coinvolte nella produzione e nella distribuzione.

“L’operazione Warp Speed ​​è generalmente descritta come circa le 30 più grandi aziende legate ai vaccini: ricerca, consegna e fino alla spedizione negli stati”, afferma Beau Woods, consulente senior della CISA che lavora alla task force COVID-19 .

La CISA era una delle altre agenzie federali coinvolte nell’operazione Warp Speed. Fa parte del Department of Homeland Security ed è responsabile dell’assistenza sia al governo che al settore privato sulle questioni di sicurezza informatica. Insieme alla risposta al COVID-19, ha trascorso il 2020 lavorando su sicurezza per le elezioni presidenziali.

Durante l’Operazione Warp Speed, alla CISA è stato chiesto di aiutare con la sicurezza dei 30 giocatori principali. “CISA ha la capacità di fornire servizi di protezione, prevenzione e risposta a infrastrutture critiche designate. Chiunque in quella lista aveva ovviamente la priorità”, dice Corman.

Ma c’erano più aziende coinvolte nello sviluppo, nella produzione e nel processo di distribuzione del vaccino rispetto a quelle in quella lista. Ognuna di queste circa 30 aziende ha le proprie catene di approvvigionamento, afferma Woods. Anche i gruppi che componevano quelle catene di approvvigionamento avrebbero avuto bisogno di protezione.

Quando Corman ha iniziato a lavorare sugli sforzi di risposta al COVID-19 come parte della task force all’interno della CISA, quelle società non erano ancora state identificate. Nessuno sapeva chi fossero. “Ho chiesto, cosa sono quei giocatori più piccoli e meno ovvi che, se vengono interrotti, significa che non c’è vaccino? E nessuno aveva una risposta”, dice Corman.

Corman ha lavorato con colleghi come Michelle Holko, un membro dell’innovazione presidenziale che ha lavorato con la task force, e Reuven Pasternak, un altro consulente senior della CISA che è anche un medico, per sviluppare una rubrica che li avrebbe aiutati a identificare quei giocatori. Hanno cercato aziende che producevano prodotti che scarseggiavano o non potevano essere facilmente sostituiti e aziende che producevano prodotti da cui i gruppi che producevano i vaccini dipendevano fortemente. Il gruppo ha chiesto ai partner internazionali di inviare loro i nomi di eventuali gruppi che potrebbero essere importanti anche per il processo di sviluppo del vaccino.

“Abbiamo identificato persone che non sono mai state nominate, ma sono arrivate fino in cima. Questi erano alcuni degli anelli deboli più importanti della catena”, afferma Corman.

L’elenco era dinamico: all’inizio del processo, si concentrava sui gruppi coinvolti nella ricerca e nello sviluppo di vaccini. Poi si è passati alle aziende che si occupavano della produzione e distribuzione delle inquadrature. Nel complesso, il gruppo ha identificato centinaia di aziende coinvolte nel processo che avrebbero potuto essere dei rischi.

“Molti di loro sono più piccoli. In alcuni casi, avrebbero meno di 100 persone e potrebbero non aver considerato tradizionalmente le minacce alla sicurezza informatica”, afferma Woods. Poiché erano coinvolti nel processo di vaccinazione, erano bersagli per gli hacker, ma non avevano il know-how per proteggersi dalle minacce. “Ecco dove ci siamo concentrati”, dice.

Sforzi di sensibilizzazione

Dopo aver fatto quell’elenco di aziende che potrebbero essere potenziali bersagli per attacchi informatici, la task force ha iniziato a contattare ognuna per offrire i propri servizi. Una grande parte di quelle prime conversazioni riguardava l’assicurarsi che le aziende capissero che il gruppo non era un organismo di regolamentazione ma stava solo arrivando per offrire un servizio, afferma Steve Luczynski, a capo della task force CISA COVID-19. “Tutti sono preoccupati quando il governo chiama”, dice.

Ma dopo aver sentito cosa stava offrendo il gruppo – aiuto per comprendere eventuali vulnerabilità, avvisi su possibili minacce e altre indicazioni – molte aziende erano ansiose di usare le loro risorse, dice Woods. “In alcuni casi, le organizzazioni sono tornate e hanno detto: ‘Ehi, abbiamo visto qualcosa, pensiamo di essere arrivati ​​in tempo, ma ci piacerebbe che voi ragazzi verificaste solo due volte'”, dice.

La società di informatica sanitaria e cartelle cliniche elettroniche Cerner è stato uno dei gruppi che hanno lavorato con la CISA e la task force. Cerner assistito con la programmazione, l’inventario e il monitoraggio della dose per le organizzazioni che somministrano i vaccini e le sue cartelle cliniche elettroniche contenevano dati sulle persone che ricevevano i colpi. Kevin Hutchinson, responsabile delle operazioni di sicurezza informatica di Cerner, aveva inizialmente firmato la società per gli avvisi di sicurezza con CISA. La task force della CISA si è quindi messa in contatto per partecipare ad altri loro programmi. “Data l’impronta di Cerner, erano davvero entusiasti di averci a bordo”, ha detto Hutchinson Il Verge.

Il team della CISA ha dato un’occhiata ai protocolli di sicurezza esistenti di Cerner, che erano già validi. “È stata una bella pacca sulla spalla il fatto che stavamo facendo le cose che avremmo dovuto fare”, dice Hutchinson.

Cerner incontra regolarmente anche una dozzina dei più grandi sistemi ospedalieri che utilizzano i suoi servizi per parlare di sicurezza, e anche una manciata di questi gruppi utilizzava i servizi della CISA. Molti ospedali non hanno i fondi per un team di sicurezza dedicato. “Avevano menzionato quanto fosse stato prezioso per loro”, dice Hutchinson.

La task force è stata in grado di offrire servizi come la scansione dei sistemi aziendali per le vulnerabilità della sicurezza informatica e strumenti di intelligence informatica personalizzati, afferma Woods. Ma una delle parti più importanti della divulgazione è stata proprio la creazione di una relazione con l’azienda in modo che CISA fosse in grado di trasmettere rapidamente qualsiasi informazione importante. “Parte di questo è solo lavorare su quella fiducia, in modo che quando prendono il telefono, sappiano chi sei”, dice.

Attraverso queste relazioni, la task force e CISA hanno aiutato le aziende a rispondere alle minacce informatiche nel corso dell’ultimo anno. Minacce incluse a campagna di phishing mirato al sistema di trasporto dei vaccini della catena del freddo e all’hack di SolarWinds, che ha preso di mira le agenzie governative degli Stati Uniti. Nessuno ha avuto impatti importanti sul processo di sviluppo e distribuzione del vaccino. “Avevamo questi buoni collegamenti. Sapevamo che questa è la persona da chiamare, ed ecco l’e-mail a cui inviare quando si verificano questi eventi”, afferma Luczynski.

Tali connessioni potrebbero portare avanti nel futuro e aiutare le organizzazioni sanitarie a gestire le minacce alla sicurezza informatica. “Sono felice di vedere un maggiore impegno tra CISA e l’assistenza sanitaria, e spero vivamente che continui”, afferma Woods.

Il lavoro svolto dalla task force sulla catena di fornitura dei vaccini potrebbe anche essere un modello per altri progetti in futuro, afferma. “Molte volte, quando il governo lavora con il settore privato, è più impegnato con le organizzazioni più grandi perché non hanno connessioni con quelle più piccole”, afferma Woods. Questo lavoro ha dimostrato che, molte volte, le aree più rischiose sono in realtà quelle organizzazioni più piccole.

Finora, il processo di sviluppo e distribuzione del vaccino COVID-19 non è stato ritardato da alcun attacco informatico. Luczynski afferma che la task force non può prendersi tutto il merito: è difficile dire con certezza se il suo lavoro sia stato il motivo per cui non ci sono stati grossi problemi. Ma pensa che abbia fatto la differenza. “Sono fiducioso che abbiamo contribuito a migliorare le cose”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.