Sempre più spesso parliamo di attacchi informatici e cyber-espionage ai danni dei Centri di Ricerca Covid-19 e delle aziende produttrici del vaccino. Ma poco si è detto del rischio Cyber-BioHacking: un fenomeno che rischia di sfuggire di mano grazie a tecniche avanzate di offuscamento e di creare potenzialmente nuovi virus artificiali.
Facciamo il punto su un rischio, purtroppo, molto concreto.
Quando il Cyber Biohacking diventa criminale
Cos’è il Cyber BioHacking? Il BioHacking è quel settore della scienza che combina la biologia, lo studio del corpo umano, l’hacking: “l’insieme dei metodi, delle tecniche e delle operazioni – si legge su Wikipedia – volte a conoscere, accedere e modificare un sistema informatico hardware o software”.
Una recente pubblicazione della rivista Nature riprende uno studio condotto da un team di ricercatori della Ben-Gurion University of the Negev, in Israele, gettando ombre sul futuro del Cyber Biohacking. Forzando le deboli procedure di sintesi del DNA, si possono infatti raggiungere risultati sorprendenti, con alterazioni del codice genetico che passerebbero sotto i radar dei controlli automatici, arrivando a generare tossine e nuovi virus.
Le università e centri di ricerca commissionano ad aziende specializzate di creare, per scopi scientifici, specifiche sequenze di DNA necessarie per sperimentazione e studi. La produzione delle sequenze di RNA o DNA a livello mondiale è affidata in larga misura ai sintetizzatori di DNA, capaci di sintetizzare miliardi di nucleotidi (DNA) per un giro d’affari di diverse centinaia di milioni di dollari. Anche in questo campo il mondo digitale sta imponendosi come elemento fondamentale del processo.
La crescita esponenziale di ordini digitali verso le società che operano e gestiscono questi “sintetizzatori” ha fatto sorgere dubbi sull’eventuale possibilità di attacchi cyber in una nicchia di mercato così nuova e delicata. Gli hacker potrebbero infatti inserirsi nella filiera di “ordinazione” e “produzione” dei nucleotidi (DNA) attaccando i punti deboli dei sistemi informatici degli operatori del settore. Potrebbero modificare le “ordinazioni”, la “miscela” o il processo produttivo inserendo sequenze maligne, capaci di eludere i controlli automatici di sicurezza delle società che operano nell’ambito della sintesi del DNA.
Un esempio pratico di cyber-attacco al DNA
Immaginiamo uno scenario realistico, formato da Tizio, Caio e Sempronio.
- Tizio lavora nella facoltà di biologia di una nota università.
- Caio è il responsabile del controllo qualità di un’azienda che sintetizza le sequenze brevi di DNA
- Sempronio è un Criminal hacker pronto a sperimentare le sue skill in un ambito ipermoderno e iperconnesso
Tizio commissiona a Caio sequenze di DNA, tramite la solita procedura. I software per l’editing genetico e i file che rappresentano digitalmente la sequenza non hanno standard di sicurezza tali da difendersi dagli attacchi di Sempronio.
Al fine di snellire le procedure, velocizzare le operazioni e aumentare la produttività, Tizio preferisce utilizzare il procedimento standard, forse ignaro dei rischi informatici. Sempronio riesce ad attaccare il sistema informatico universitario, con malware in grado di modificare la sequenza genetica ordinata. Utilizzando una tecnica cyber di “offuscamento del codice”, è in grado di mascherare la parte di DNA manomessa, rendendola del tutto indistinguibile agli occhi dei controlli automatici della società di Caio dal resto della sequenza.
Il malware potrebbe addirittura rendere inutile un eventuale controllo umano. Questi controlli, attualmente applicati nelle strutture di sintesi solo se necessario, difficilmente sono in grado di ravvisare il problema. Soprattutto qualora l’hacker sia stato così astuto da creare un malware capace di nascondere le proprie tracce.
I controlli automatici e manuali danno risultato positivo. L’ordine viene quindi elaborato e spedito alla facoltà universitaria in cui lavora Tizio. Completamente all’oscuro di tutto, Tizio o i suoi colleghi potrebbero quindi “spacchettare” il codice genetico ricevuto, con la specifica procedura denominata CRISPR/Cas9. Così facendo “libera” inconsapevolmente una sequenza maligna, potenzialmente portatrice di tossine o virus o di un nuovo Covid-19.
Un rischio tremendamente concreto
Secondo i ricercatori dell’università israeliana il rischio è tutt’altro che remoto, come dimostrato dallo studio portato avanti dal team di ricercatori guidato da Rami Puzis. Nel test parte del codice è stato “offuscato” celando un peptide dannoso. La sequenza è stata quindi fornita a una delle principali società del settore.
Il risultato? Le procedure interne automatiche non hanno rilevato problemi, inviando l’ordine alla produzione. Naturalmente l’IGSC (International Gene Synthesis Consortium, principale organismo del settore per la creazione di standard di sicurezza comuni) è stato subito notificato dell’accaduto e l’ordine è stato annullato per ragioni di biosicurezza.
Da qui l’invito, da parte della stessa università, a non abbassare la guardia sui sistemi di cybersecurity anche in campo scientifico. “Uno scenario di attacco di questo tipo – scrive Pizis – sottolinea la necessità di rafforzare la supply chain del DNA sintetico attraverso sistemi di protezione dagli attacchi cyber-biologici. Proponiamo un algoritmo di screening rafforzato che tenga conto della modifica del genoma in vivo”.
Framework di sicurezza adeguati dovranno garantire una efficace sicurezza funzionale:
- Preventiva
- Proattiva
- Predittiva
e una efficiente sicurezza operativa su:
- Tecnologie
- Processi
- Competenze
