La capacità dei terroristi di utilizzare gli hacker per attaccare i siti e le attività industriali può anche essere una minaccia per la bio-sicurezza informatica: gli attori possono utilizzare un malware per prendere di mira gli ordini di DNA sintetico per modificare la sequenza delle stringhe di DNA.
Un gruppo di ricercatori accademici dell’Università Ben-Gurion del Negev e del Centro interdisciplinare israeliano Herzliya ha identificato un nuovo tipo di attacco informatico che consente agli aggressori di colpire le lacune di sicurezza nel processo di acquisizione del DNA.
L’articolo intitolato “Maggiore sicurezza informatica per la sintesi del DNA” è stato pubblicato su Nature Biotechnology.
I ricercatori scrivono che gli autori delle minacce possono lanciare un attacco cyberbiologico end-to-end per colpire i ricercatori del DNA.
Secondo il rapporto , ciò può consentire agli aggressori di distribuire malware, indurre i biologi a creare tossine o agenti patogeni pericolosi e alterare gli ordini del DNA sintetico.
In precedenza si presumeva che un aggressore dovesse avere accesso fisico a una sostanza pericolosa per produrla e consegnarla.
Tuttavia, i ricercatori di Ben-Gurion affermano che infettando il computer di un bioingegnere con malware, è possibile sostituire una breve sottostringa del DNA, consentendo loro di generare erroneamente e involontariamente una sequenza che produce tossine.
Secondo il capo del BGU Complex Networks Analysis Lab, il dottor Rumi Puzis,
“La maggior parte dei fornitori di geni sintetici controlla gli ordini del DNA, che attualmente è la linea di difesa più efficace contro tali attacchi”.
“Tuttavia, al di fuori dello Stato, i bioterroristi possono acquistare DNA pericoloso, da società che non controllano gli ordini. Sfortunatamente, le linee guida per lo screening non sono state adattate per riflettere i recenti sviluppi nella biologia sintetica e nella guerra cibernetica “.
Puzis ha rivelato una debolezza nelle linee guida dei fornitori di DNA del Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti.
Questa debolezza consente l’elusione dei protocolli di screening utilizzando un generico processo di offuscamento. Questo processo rende difficile per il software di screening identificare il DNA che genera tossine.
I ricercatori hanno rivelato che utilizzando la stessa tecnica, hanno identificato che su 50, 16 campioni di DNA offuscati non potevano essere rilevati quando sottoposti a screening secondo le linee guida Best-Match dell’HHS.
Hanno anche scoperto che l’automazione e l’accessibilità del flusso di lavoro dell’ingegneria genetica sintetica, se combinate con una sicurezza informatica inadeguata, consentono al malware di influire sui processi biologici del laboratorio. Il ciclo verrà chiuso dopo aver scritto un exploit in una molecola di DNA.
I ricercatori hanno fatto luce su una nuova significativa minaccia utilizzando codice dannoso per modificare i processi biologici attraverso l’attacco di iniezione di DNA. Hanno dimostrato debolezze in tre fasi del flusso di lavoro di bioingegneria: software, screening della biosicurezza e protocolli biologici.
Ciò dimostra che è necessario applicare misure di sicurezza informatica nel contesto della codifica genica e della biosicurezza.
“Per affrontare queste minacce, proponiamo un algoritmo di screening migliorato che tenga conto dell’editing genico in vivo. Ci auguriamo che questo documento ponga le basi per uno screening delle sequenze di DNA robusto e resistente agli avversari e servizi di produzione di geni sintetici rafforzati dalla sicurezza informatica quando lo screening della biosicurezza sarà applicato dalle normative locali in tutto il mondo “, ha spiegato Puzis.
—————
La natura cyber-fisica della biotecnologia solleva problemi di sicurezza senza precedenti. I computer possono essere compromessi codificando malware in sequenze di DNA e le minacce biologiche possono essere sintetizzate utilizzando dati disponibili pubblicamente.
La fiducia all’interno della comunità della biotecnologia crea vulnerabilità all’interfaccia tra cyberspazio e biologia. La consapevolezza è un prerequisito per la gestione di questi rischi.
La frontiera tra biologia e cyber-spazio sta diventando sempre più sfocata. Niente illustra meglio questa tendenza del recente utilizzo del DNA come substrato per iniettare malware in un sistema informatico [1].
In questo caso, gli informatici hanno progettato un campione di DNA che, una volta sequenziato, ha prodotto un file di dati che ha consentito a un hacker di controllare il computer di sequenziamento a distanza.
Al contrario, le sequenze di DNA disponibili nelle risorse bioinformatiche possono essere utilizzate per creare minacce biologiche che non esistono in natura [2]. Nell’attuale contesto, l’industria biotecnologica ha bisogno di sviluppare una cultura della sicurezza rafforzata che consideri le intricate relazioni tra le dimensioni computazionali e sperimentali dei flussi di lavoro di sviluppo del prodotto [3].
Cyberbiosicurezza
Tradizionalmente, le politiche di sicurezza nelle scienze della vita rientrano in due diverse categorie: biosicurezza e biosicurezza. Le politiche di biosicurezza sono progettate per prevenire l’esposizione accidentale ad agenti patogeni o il rilascio accidentale di agenti biologici dai laboratori nell’ambiente.
Indumenti protettivi, procedure di sterilizzazione e sacche d’aria sono tutti esempi di misure di biosicurezza.
Le politiche di biosicurezza, tuttavia, sono generalmente associate a viaggi, catene di approvvigionamento, attività terroristiche e difesa. Queste politiche sono progettate per proteggere dalla diffusione di agenti che minacciano la salute, le scorte di cibo e altre risorse. Le violazioni della biosicurezza possono essere accidentali (come un viaggiatore che trasporta materiale contaminato dall’estero) o intenzionali (bioterrorismo).
Le politiche di biosicurezza e biosicurezza sono state progettate per gestire un numero limitato di minacce biologiche ben caratterizzate come i patogeni regolamentati, ma non proteggono dalle minacce derivanti dalle complesse relazioni tra flussi di lavoro computazionali e sperimentali.
Gli strumenti software possono ora essere utilizzati per progettare sequenze di DNA con nuove proprietà. Le tecnologie di sintesi genica potrebbero essere utilizzate concettualmente per sviluppare armi biologiche derivate dalle sequenze genomiche di patogeni regolati.
Quest’ultima osservazione ha portato il governo federale a sviluppare linee guida di screening per i fornitori di servizi di sintesi genica [4]. Più recentemente, funzionari governativi hanno espresso preoccupazione per il possibile uso nefasto delle tecnologie di modifica del genoma [5].
Oltre ai rischi intrinseci associati alla manipolazione delle sequenze di DNA nel cyberspazio o nello spazio biologico, l’industria della biotecnologia dipende sempre più da strumenti controllati dal computer che sono essi stessi vulnerabili agli attacchi informatici (Figura 1).
Compromettere l’integrità di questo rapporto crea una categoria di rischi completamente nuova. Cyberbiosecurity mira a comprendere i nuovi rischi emergenti alla frontiera tra cyberspazio e biologia al fine di sviluppare politiche per gestirli.
Gli scambi attuali nelle scienze della vita sono spesso basati su una fiducia ingenua
Non è raro che gli scienziati condividano dati e campioni senza prendere alcuna precauzione per garantire che l’uso previsto sia benigno o che il materiale condiviso sia quello previsto. Considera il seguente scenario.
Dopo aver letto un articolo in una rivista ad alto impatto, un docente contatta l’autore per richiedere i plasmidi descritti. I plasmidi arrivano per posta e uno studente inizia immediatamente a misurare l’espressione dei geni codificati sul plasmide.
Dopo 6 mesi di tentativi falliti di riprodurre i dati pubblicati, decidono di sequenziare i plasmidi. Osservano importanti discrepanze che spiegano il fallimento dei loro esperimenti.
Questi plasmidi provenivano da un rispettabile laboratorio ei dati erano stati esaminati da un rigoroso processo di revisione tra pari. Tuttavia, l’integrità della relazione tra i campioni biologici e i dati che descrivono questi campioni fisici (le sequenze pubblicate) è stata in qualche modo compromessa, determinando una perdita finanziaria corrispondente a 6 mesi di impegno da parte di uno studente laureato.
Questa perdita avrebbe potuto essere prevenuta spendendo $ 100 per sequenziare i plasmidi e aspettando alcuni giorni prima di utilizzarli. Questo scenario fin troppo comune esemplifica le carenze nella tendenza della comunità delle scienze della vita a credere ingenuamente che le sequenze fisiche corrispondano alle sequenze digitali ad esse teoricamente associate.
Si possono considerare diverse ipotesi per spiegare la situazione. È possibile che i plasmidi siano stati etichettati in modo errato in un database elettronico, quindi sono stati inviati i plasmidi sbagliati. Un’altra possibilità è che le sequenze pubblicate siano state fabbricate.
Oppure, potrebbe anche essere possibile che qualcuno nel laboratorio di origine abbia inviato deliberatamente plasmidi difettosi per ritardare gli sforzi di un potenziale concorrente. In ogni caso, la situazione avrebbe potuto essere evitata se il laboratorio che riceveva i plasmidi fosse stato più cauto.
L’impatto di questo ipotetico scenario è minimo, ma non è difficile immaginare scenari più drammatici. Invece di ottenere un plasmide benigno difettoso, ad esempio, il ricevente potrebbe aver ricevuto un campione contenente un gene progettato per produrre un prodotto dannoso.
Coltivare una nuova cultura della consapevolezza della cyberbiosicurezza
Esiste un ampio spettro di rischi potenziali, che vanno da scenari apocalittici a bassa probabilità con implicazioni per la sicurezza nazionale a rischi ad alta probabilità con un impatto da moderato a basso.
Ci sono rischi in ogni fase del flusso di lavoro della biotecnologia, come descritto nella Figura 1 e nel Riquadro 1.
Nonostante i numerosi rischi potenziali, esiste un sorprendente livello di ingenuità tra i partner nella catena di approvvigionamento delle biotecnologie. Questa fiducia naturale è in parte associata alla reputazione percepita delle istituzioni accademiche o delle aziende biotecnologiche. Tuttavia, l’esposizione limitata agli incidenti di cyberbiosicurezza determina anche la percezione di questi rischi [6].
Considera come sono cambiati gli atteggiamenti verso la sicurezza informatica man mano che le incidenze di hacking sono diventate più diffuse. Alcuni decenni fa, era possibile utilizzare molti sistemi informatici senza dover digitare una password. Non era raro che diversi dipendenti di un’azienda condividessero un computer. La sicurezza del computer era riservata agli specialisti che gestivano i sistemi informativi aziendali o governativi.
Oggi, la maggior parte delle persone ha almeno qualche nozione di sicurezza informatica: password, autenticazione a due fattori, firewall e sensori biometrici sono ora incorporati in molti prodotti di consumo.
Abbiamo anche adottato misure di sicurezza per mitigare i rischi nelle nostre vite personali. Il costo che le persone sono disposte a sostenere dipende dal valore dei beni che vogliono proteggere e dalla loro percezione del rischio.
Ad esempio, la maggior parte delle persone tende a bloccare la propria auto per proteggere questo bene dal furto. L’inconveniente di portare le chiavi e premere il telecomando è piccolo rispetto alla probabilità di avere un’auto sbloccata.
Allo stesso modo, le persone che apprezzano la loro privacy, proteggono il proprio smartphone con una passphrase piuttosto che un codice di quattro cifre che è più facile da memorizzare per terzi. La disponibilità dell’autenticazione biometrica limita l’inconveniente del criterio perché è necessario digitare l’intera passphrase solo dopo aver riavviato il telefono.
Le politiche e le pratiche di cyberbiosicurezza avranno anche costi finanziari e di convenienza che evolvono con lo sviluppo di nuove tecnologie per la gestione della cyberbiosicurezza. Aumentare la consapevolezza delle minacce e delle vulnerabilità aiuterà a mettere questi costi in prospettiva.
È possibile costruire organizzazioni e processi nel settore delle scienze della vita più sicuri e resilienti in tre fasi. In primo luogo, la formazione dei dipendenti può aumentare notevolmente la consapevolezza generale di un’organizzazione di questi nuovi rischi. Così come la formazione dei dipendenti è una componente chiave delle politiche di biosicurezza, dovrebbero essere sviluppati programmi di formazione per sensibilizzare i dipendenti sui rischi cyberbiologici.
La consapevolezza della cyberbiosicurezza si estende a una serie di vulnerabilità che esistono all’interno delle dimensioni cyber, cyber-fisiche e infrastrutturali e alle interfacce con il processo biologico e i componenti della catena di fornitura.
Questa maggiore consapevolezza prepara i dipendenti anche alla seconda fase del processo, in cui un’organizzazione esegue un’analisi sistematica della propria esposizione ai rischi di cyberbiosicurezza non coperti dalle politiche esistenti in materia di biosicurezza e biosicurezza.
Questo esercizio di “pensiero a cielo blu” incoraggia i partecipanti a rivedere i propri flussi di lavoro e identificare le proprie vulnerabilità. In questa fase dovrebbe essere considerata un’ampia gamma di scenari, indipendentemente dalla loro probabilità e impatto.
Dopo che i rischi sono stati identificati, è possibile stabilire le priorità valutandone l’impatto potenziale e la probabilità di accadimento.
Infine, il terzo passo sarebbe lo sviluppo di nuove politiche volte a prevenire e rilevare incidenti di sicurezza che possono compromettere le risorse delle scienze della vita. Le linee guida federali sulle società mirate al DNA sintetico che forniscono servizi di sintesi del DNA.
Pertanto, un’organizzazione delle scienze della vita potrebbe decidere di analizzare gli ordini di DNA sintetico effettuati dai propri dipendenti per aumentare la propria capacità di rilevare attività che potrebbero richiedere ulteriori indagini.
Allo stesso modo, un’organizzazione può attuare politiche per sequenziare il materiale genetico che riceve da fornitori e collaboratori. Ciò includerebbe lo sviluppo di un database di sequenze di riferimento [7] e la distribuzione di software per semplificare il confronto delle sequenze fisiche e teoriche di un campione [8,9].
In definitiva, lo sviluppo di una politica di sicurezza è una decisione economica che privilegia i rischi in base alla loro probabilità e al potenziale impatto [10].
Riquadro 1. Esempi di rischi per la sicurezza informatica
I database bioinformatici potrebbero essere danneggiati alterando sequenze o annotazioni. Questi cambiamenti potrebbero ritardare un programma di ricerca o provocare la produzione incontrollata di prodotti tossici o agenti infettivi.
La manomissione degli ordini elettronici o l’intercettazione delle spedizioni potrebbe comportare l’iniezione di prodotti dannosi che compromettono il funzionamento di una struttura.
I processi controllati dal computer sono vulnerabili alle discrepanze tra i parametri fisici del processo e i dati comunicati all’operatore.
Le discrepanze tra le caratteristiche fisiche del prodotto e i dati dei test potrebbero ritardare un programma di ricerca o l’approvazione normativa.
Osservazioni conclusive
La comunità delle scienze della vita ha tradizionalmente operato con un sistema insicuro che si aspetta che i partecipanti si autoregolgano e spesso non monitora le minacce alla sicurezza. Ora che il sequenziamento, la sintesi, la manipolazione e l’archiviazione del DNA sono sempre più digitalizzati, ci sono più modi che mai per gli agenti malvagi sia all’interno che all’esterno della comunità per compromettere la sicurezza.
Per mitigare questi rischi, la cultura della comunità delle scienze della vita deve passare da una cultura di cieca fiducia a una di maggiore consapevolezza. Quelli focalizzati sui processi biologici e sulla produzione devono sviluppare una prospettiva più ampia, che includa una comprensione dettagliata delle minacce cyber-fisiche.
Una volta che le persone all’interno della comunità sono consapevoli dei rischi per la sicurezza informatica, possono iniziare a implementare misure di salvaguardia all’interno del proprio ambiente di lavoro e collaborare con le autorità di regolamentazione per sviluppare politiche per prevenire violazioni della sicurezza informatica.
Riferimento
- Dipartimento di ingegneria chimica e biologica, Colorado State University, Fort Collins, CO 80523, USA
- Team di ricerca e sviluppo, National Capital Region, Virginia Tech, Blacksburg, VA 24061, USA
- Struttura per lo sviluppo dei processi biologici, Università del Nebraska – Lincoln, Lincoln, NE 68588, USA
- Dipartimento di ingegneria elettrica e informatica e ufficio del vicepresidente, regione della capitale nazionale, Virginia Tech, Blacksburg, VA 24061, USA
- Sito web del gruppo: www.peccoud.org
- https://www.peccoud.org
- https://escapingthebench.wordpress.com/
- https://ncr.vt.edu/discovery/research_development_team.html
- https://engineering.unl.edu/bpdf/ @Twitters: @peccoud , @foodbeerscience
