di Massimo Capponi – CEO and Cofounder IoT S.r.l. (Italy Internet of Things)
La crescente possibilità di connettere i dispositivi medici con altri computer tramite le reti di comunicazione – sia locali che remote, sia cablate che wireless – e la convergenza delle relative tecnologie, hanno esposto i dispositivi e le applicazioni software a nuove vulnerabilità
La convergenza di reti, tecnologie informatiche e software ha comportato una crescente connessione, integrazione e interazione tra l’Hospital Enterprise Systems/Information Technology (IT), l’Ingegneria Clinica (CE: Clinical Engineering) e i Fornitori di hardware e software a scopo sanitario. Ciò sarà ancor più rivoluzionato dall’adozione dei servizi basati su Cloud e dall’utilizzo dei “Big Data” per l’inevitabile crescita della mole di informazioni circolanti e disponibili. Negli ultimi anni c’è stata inoltre una crescita esponenziale nella disponibilità di apparati medici in grado di collegarsi a dispositivi intelligenti come cellulari, tablet, PC e dispositivi indossabili che eseguono applicazioni software anche a scopo di indagine medica.
Nell’attuale realtà operativa del settore sanitario, i sistemi informatici e i dispositivi medici sono sempre più interconnessi tra loro per registrare i dati vitali dei pazienti, aggiornare le cartelle cliniche sanitarie e per migliorare il coordinamento generale dell’assistenza: nelle organizzazioni sanitarie, nelle istituzioni e nei produttori di dispositivi medici, cresce quindi la preoccupazione per il potenziale impatto di attacchi informatici sull’assistenza clinica e sulla incolumità del paziente nel caso in cui venissero compromessi il funzionamento ed il controllo dei dispositivi e dei sistemi a essi connessi. Una simile eventualità comporterebbe il rischio di gravi danni per la salute del paziente e/o del personale sanitario e per questo vengono sistematicamente adottate contromisure al fine di incrementare la sicurezza informatica dei sistemi.
SICUREZZA DELLE INFORMAZIONI E PROTEZIONE DEL PAZIENTE
Tradizionalmente, l’ingegneria dei dispositivi medici si è concentrata sui temi di protezione mirati a tutelare l’incolumità dei pazienti da rischi di tipo fisico senza affrontare in maniera altrettanto attenta la loro sicurezza informatica nella fase progettuale.
Gli incidenti informatici derivanti da potenziali attacchi ostili sono notevolmente aumentati negli ultimi anni e la sicurezza dei dispositivi medici è diventata la preoccupazione principale poiché un dispositivo infetto da malware può potenzialmente arrestare le operazioni ospedaliere, esporre a rischio di appropriazione indebita delle informazioni sensibili dei pazienti, compromettere altri dispositivi connessi fino ad arrivare al caso limite a poter nuocere ai pazienti stessi.
L’aumento della connettività, la disponibilità di tecnologie wireless e l’iper-connettività dei sistemi offrono oggi da un lato, nuove opportunità per erogare servizi evoluti, il monitoraggio e la diagnostica da remoto, ma dall’altro possono comportare anche conseguenze impreviste.
Anche se la convergenza tecnologica sta offrendo interessanti opportunità operative, le nuove modalità di attacco e l’utilizzo delle tecnologie emergenti stanno creando ulteriori rischi per la sicurezza informatica: ad esempio, una delle principali vulnerabilità è rappresentata dai dispositivi medici più datati che continuano a essere utilizzati all’interno del sistema informatico ospedaliero nonostante non siano più sicuri (dal punto di vista informatico) e soprattutto, spesso vengano mal gestiti.
Per affrontare le crescenti minacce alla cyber-sicurezza, tutte le parti coinvolte nei processi decisionali ed operativi del perimetro sanitario, devono collaborare per identificare e valutare rischi e minacce, definire piani per la loro mitigazione e dare una adeguata risposta agli incidenti, garantendo prima di tutto la sicurezza e l’incolumità dei pazienti.
All’interno dell’organizzazione, nell’ambito della sicurezza e privacy, è determinante stabilire una chiara definizione dei ruoli e delle responsabilità per il sistema interno di controllo e gestione dei rischi di cui l’ente si è dotato o intende dotarsi, nel rispetto dei princìpi di segregazione funzionale dei compiti. La gestione della sicurezza e delle conformità alla privacy necessita di competenze distintive, di leve gestionali e anche della corretta assegnazione delle funzioni agli opportuni livelli gerarchici affinché i soggetti preposti possano prendere decisioni consapevoli ed essere efficaci nelle azioni da perseguire, rispettando le prerogative assegnate, le disposizioni regolamentari e quelle interne.
I DISPOSITIVI MEDICI ATTIVI
Come dettagliato nel citato Allegato IX del D.lgs. 97/46, il dispositivo medico attivo è un:
Dispositivo medico dipendente, per il suo funzionamento, da una fonte di energia elettrica o di altro tipo di energia, diversa da quella generata direttamente dal corpo umano o dalla gravità e che agisce convertendo tale energia… Il software indipendente (stand-alone) è considerato un dispositivo medico attivo.
Quindi nell’analisi dei rischi connessi ai dispositivi medici, non dovranno essere presi in considerazione solo quelli destinati ad essere impiantati nel corpo umano (i c.d. impiantabili) ma includere nella denominazione di dispositivi attivi anche parte dei generici e dei diagnostici in vitro qualora questi, così come gli impiantabili, siano dotati di elettronica di memorizzazione e di elaborazione interna, interfacce di acquisizione, attuazione e di canali di comunicazione verso l’esterno che consentono loro di interagire fisicamente e/o trasferire informazioni con l’ambiente (informatico) in cui essi operano oltre che con il paziente e con gli operatori sanitari.
La sicurezza del software dipende prima di tutto dalla sicurezza del dispositivo su cui esso è installato e questo concetto diventa fondamentale nel caso dei dispositivi medici connessi in rete, situazione che rappresenta anche uno degli scenari tipici dell’Internet of Things attuale e ancor più di quelli futuri. Un software affetto da vulnerabilità che controlli un dispositivo connesso alla rete ma considerato a basso rischio (Classe I), potrebbe essere sottovalutato (se non ignorato) nell’analisi dei rischi e diventare così il punto di accesso per gravi azioni malevole contro l’intero sistema.
Le classi di dispositivi biomedicali connessi in rete, ormai spaziano dai prodotti consumer tipicamente connessi tramite Bluetooth o NFC (i.e. dispositivi indossabili), ai cosiddetti “wearable external device” (i.e. pompe da insulina portatili) che solitamente utilizzano protocolli di comunicazione wireless proprietari, ai dispositivi “internally embedded” (i.e. pacemaker) che utilizzano protocolli Bluetooth o proprietari, fino ai cosiddetti “stationary medical device” (i.e. postazioni di cardio-monitoraggio o di erogazione chemioterapica), che utilizzano le reti Wi-Fi delle strutture sanitarie o delle abitazioni dei pazienti stessi.
In risposta alla crescente diffusione delle minacce collegate all’IoT e alla richiesta di elaborare standard per il settore delle infrastrutture critiche, è stata sviluppata la Raccomandazione ITU-T Y.4806() “Security capabilities supporting safety of the Internet of Things”, con lo scopo di determinare quali siano le funzionalità di sicurezza specifiche che supportano l’esecuzione sicura delle applicazioni IoT.
Le vulnerabilità più comuni del sistema cyber-fisico includono:
- protezione insufficiente nelle applicazioni web (embedded web server);
- utilizzo di crittografia proprietaria di scarsa efficacia;
- credenziali “Built-In” (memorizzate nel firmware del dispositivo) che consentono l’accesso non autorizzato, nascosto, da remoto e con privilegi elevati;
- esecuzione di codice dannoso;
- modifica (escalation) dei privilegi concessi.
Anche il personale operativo, nel caso di attacchi non mirati, può inavvertitamente introdurre malware su sistemi scarsamente protetti se questi sono privi di patch o non sono in grado di eseguire strumenti anti-malware (in conformità con le istruzioni del produttore) e/o utilizzano software non aggiornato.
Per contrastare queste vulnerabilità e altre minacce alla sicurezza meno frequenti per l’IoT, si deve procedere partendo dall’analisi dei tipi di impatto sul sistema cyber-fisico fino all’analisi e alla modellizzazione delle minacce alla sicurezza funzionale per individuare quelle misure di sicurezza che consentano quanto meno di mitigarne il rischio.
Per esempio, alcuni accorgimenti utili potrebbero essere:
-
- implementare infrastrutture di comunicazione e meccanismi di monitoraggio affidabili e resistenti agli attacchi, nonché imporre la mutua autenticazione e l’autorizzazione di adeguati privilegi per la gestione e il controllo;
- effettuare periodicamente audit delle procedure di gestione e controllo e dei meccanismi di rilevamento degli attacchi;
- implementare un meccanismo per monitorare il carico su apparecchiature e canali di comunicazione, compresa la rilevazione di sovraccarichi non intenzionali e attacchi Denial of Service (DoS).
CONVERGENZA TRA PROTEZIONE E SICUREZZA
Le priorità della sicurezza informatica per i sistemi medici sono molteplici e dipendono dal contesto: la riservatezza è una priorità per i sistemi ospedalieri al fine di prevenire violazioni dei dati o ransomware (i quali possono influire anche sulla disponibilità dei sistemi se resi inutilizzabili dalla crittografia) mentre la protezione dell’individuo è una priorità quando i pazienti dipendano da dispositivi medici, inclusi i dispositivi impiantabili, come parte integrante della loro cura. In quest’ultimo caso, la vera priorità è la corretta funzionalità operativa dei dispositivi.
Le metodologie di protezione nei dispositivi medici generalmente riguardano i guasti e come questi
possono essere evitati o mitigati per renderli non dannosi (per il paziente, il sistema, la rete, ecc.); per far ciò, si valuta la probabilità che si verifichi un evento (in termini di frequenza o di durata) e la gravità dell’incidente che ne deriva. I dispositivi o i sistemi che attuano funzioni di protezione agiscono sul processo sotto controllo per evitare che si verifichino eventi pericolosi ben identificati.
L’eventualità che un errore non previsto comporti la mancata esecuzione di una funzione di protezione quando invece sarebbe richiesta, è quindi probabilistica, quantitativa e cambia raramente.
Viceversa, la sicurezza affronta scenari di attacchi intelligenti e dannosi al sistema identificando gli avversari, le loro capacità, intenzioni e risorse, i metodi e le vulnerabilità che possono essere sfruttate. Quindi si valuta la probabilità che una minaccia possa possa sfruttare una vulnerabilità che comporti un impatto/conseguenza per l’operatività (i. e. aziendale).
Il risultato è qualitativo e cambia dinamicamente in funzione dei potenziali avversari, delle loro intenzioni o dell’evoluzione delle loro capacità man mano che vengono scoperte nuove vulnerabilità e sviluppati metodi per sfruttarle.
I sistemi aziendali (IT) vengono valutati principalmente per i rischi relativi alla sicurezza della riservatezza delle informazioni che elaborano (i.e. informazioni contrattuali, dati dei pazienti, proprietà intellettuale, ecc.). I rischi relativi all’integrità delle informazioni (correttezza e veridicità) e quelli relativi alla loro disponibilità (accessibilità) potrebbero quindi non essere una priorità.
Viceversa, per i dispositivi medici e i sistemi (embedded) con funzionalità di controllo fisico, le priorità sono il funzionamento affidabile, evitare lesioni o decesso del paziente, la disponibilità del sistema o del dispositivo (si pensi ai dispositivi di Classe III come i pacemaker o le pompe per infusione), la protezione del dispositivo stesso dai guasti, le caratteristiche di funzionamento e la sua reattività in condizioni operative critiche (i.e. sistemi di controllo in tempo reale).
I dispositivi medici automatizzati (i.e. robot chirurgici) sono dispositivi di controllo che hanno il maggior impatto possibile nel caso di errore/perdita del controllo.
Il tradizionale approccio di sicurezza delle informazioni, riservatezza/integrità/disponibilità (Confidentiality–Integrity–Availability, CIA) rispetto all’ambiente operativo clinico, non enfatizza questi fattori. Per i dispositivi medici, in particolare i Sistemi Cyber Physical (CPS), è necessario considerare anche la salvaguardia/affidabilità/disponibilità (Safety–Reliability–Availability, SRA) dei processi, della rete di comunicazione, dei dispositivi stessi e dei sistemi a loro connessi.
Il nuovo approccio deve inoltre includere tutte le funzioni di protezione e valutare le conseguenze di guasti e/o malfunzionamenti con impatto sulle persone, apparecchiature e ambiente operativo, consapevole della responsabilità legale dei produttori, degli integratori, dei fornitori ICT e delle organizzazioni sanitarie per tutto il ciclo di vita del sistema.
Questa diversità di visione del dominio operativo, evidenzia come le medesime parole possano essere usate riferendosi ad obiettivi differenti; quando il team di sicurezza IT considera i rischi (i.e. della disponibilità), generalmente si riferisce alle informazioni da una prospettiva di sicurezza informatica o di sicurezza ICT mentre per l’ingegneria clinica e per la funzionalità dei dispositivi medici, la disponibilità si riferirà ai sistemi/dispositivi medici, ai processi e alle funzioni di protezione potenzialmente utilizzate per prevenire operazioni pericolose e controllare i rischi che comportino danni fisici.
Partendo da quanto definito in ambito legislativo (D.Lgs. 196/03 (i), UE 679/2016(ii) e normativo (ISO/IEC 27001(iii), ISO/IEC 80001(iv) e ISO 31000(v)), si dovrebbe attribuire ad ogni apparecchiatura o dispositivo medico, una valutazione del relativo livello di sicurezza nelle condizioni d’uso tipiche (IVR: Indice di Valutazione del Rischio) tenendo conto sia dei temi tipici dell’ingegneria clinica (i.e. documentazione e manutenzione delle apparecchiature, rischi collegati al paziente, ecc.) sia degli aspetti informatici solitamente trascurati nell’analisi del rischio delle tecnologie biomediche.
Questo parametro, ottenuto attraverso metodi statistici e la stima oggettiva dei pesi che renda il modello consistente e ripetibile, potrebbe essere poi inserito nel contesto più ampio di valutazione del livello di sicurezza dell’intera struttura sanitaria.
L’ulteriore estensione del suo utilizzo a livello territoriale permetterebbe di centralizzare l’archiviazione dei dati relativi ai dispositivi medici delle strutture ospedaliere e, tramite l’aggregazione di una grande quantità di questi dati, consentirebbe di applicare il modello al dominio dei Big Data ottenendo risultati dell’IVR sempre più attendibili e un sensibile miglioramento nell’attività decisionale.
Attraverso lo studio di una adeguata mole di dati si potrebbero poi analizzare le variazioni dell’IVR e individuare quei fattori che permettano di prevenire i guasti, garantendo un ciclo di vita più lungo delle macchine e/o inviare avvisi alle ASL interessate prima che la criticità diventi rilevante.
Tutto ciò consentirebbe anche di ottenere notevoli benefici dal punto di vista economico (costi legali, risarcimento danni, protezione degli investimenti, manutenzione preventiva ecc.).
Un metodo per l’analisi approfondita delle caratteristiche di cyber sicurezza che combina buone tecniche ingegneristiche con metodologie di sicurezza delle informazioni, è rappresentato dal modello Parkerian Hexad modificato che estende gli obiettivi di cyber-security per i sistemi fisici cibernetici oltre la tradizionale CIA per la sicurezza delle informazioni, include i requisiti di protezione e di resilienza e sottolinea come la disponibilità includa l’affidabilità.
Il modello è costituito da otto aspetti caratterizzanti che indirizzano i temi relativi alla sicurezza e alla protezione da tre punti di vista.
