La sicurezza dei pazienti è sempre stata una priorità fondamentale nei dispositivi medici. Eppure, la crescente connettività e interoperabilità senza adeguate misure di protezione a cui tale interconnessione espone, sta erodendo in maniera sempre più significativa il livello di sicurezza non solo dei dati sanitari, ma anche della tutela della salute che quei dati dovrebbero garantire.
Ancora oggi, infatti, nonostante i notevoli progressi nel campo della sicurezza informatica, troppi processi produttivi legati ai dispositivi elettromedicali siano indietro rispetto alle indicazioni in materia di cybersecurity.
Il vaso di Pandora della cybersecurity dei dispositivi elettromedicali
A contribuire ad aprire il vaso di Pandora è stata la dottoressa Marie Elisabeth Gaup Moe, una ricercatrice universitaria specializzata nella sicurezza informatica. Collabora anche come Senior Consultant presso società del settore e sussidiarie di colossi come Google.
È anche una persona che, per vivere, ha bisogno che ogni battito del suo cuore sia supportato da un dispositivo elettromedicale, un pacemaker, uno degli oltre 1.25 milioni di esemplari impiantati in tutto il mondo (1).
Superata l’emergenza che l’ha condotta all’impianto del dispositivo salvavita, era inevitabile che la sua formazione universitaria, la sua esperienza professionale e la sua intelligenza la portassero a farsi domande sull’affidabilità del pacemaker, non tanto dal punto di vista del suo meccanismo di funzionamento elettromeccanico, ma soprattutto a riguardo della sicurezza informatica dei dati gestiti dal dispositivo, i dati generati dal suo cuore e per il suo cuore.
Con grande stupore dei suoi medici, ha cominciato a fare domande sui criteri con cui i software del pacemaker gestissero in sicurezza i dati di funzionamento e quali fossero le possibilità che fossero attaccati. Le risposte, molto vaghe e insoddisfacenti, l’hanno indotta ad organizzare dei progetti di ricerca estremamente efficaci ed interessanti con cui ha dimostrato come fosse possibile hackerare pacemaker come il suo e inviare informazioni totalmente errate sullo stato della batteria o dirottare le informazioni generate dalla macchina verso indirizzi potenzialmente malevoli! (2)
Tutto è collegato, tutto è in pericolo
Sempre più dispositivi elettromedicali ormai, soprattutto quelli impiantabili, dispongono di almeno due interfacce di comunicazione, due antenne.
Una comunica via wireless, fino ad una distanza di circa 10 metri (a seconda dei protocolli utilizzati) i segnali prodotti ad una centrale domestica di monitoraggio (HMU – Home Monitoring Unit): si tratta di un gateway di comunicazione, fisico o virtuale, che riceve i segnali dai sensori del dispositivo, effettua le opportune elaborazioni e li trasmette al server dell’azienda fabbricante mediante rete di connettività.
Da qui è anche possibile accedere da parte dello specialista o del MMG alla piattaforma web-based per l’archiviazione dei dati raccolti e per la consultazione degli stessi o magari, nel caso di applicazioni di telemedicina, per la schedulazione e gestione da remoto delle visite programmate.
La seconda antenna invia costantemente i segnali e i log per configurazione e monitoraggio al servizio di assistenza e manutenzione dove figure specializzate, tipicamente con formazione medica, oltre che tecnico-ingegneristica, verificano la correttezza dei parametri acquisiti e forniscono supporto in caso di anomalie.
Sicurezza dei pazienti e sicurezza dei dati
La sicurezza dei pazienti è sempre stata una priorità fondamentale nei dispositivi medici. I pacemaker, ad esempio, sono costruiti con modalità “failsafe”, a cui passano nel caso in cui il software abbia un malfunzionamento per un qualunque motivo, anche il meno probabile. Lo scopo è garantire che il pacemaker continui a generare un impulso costante finché il paziente non viene visto da un tecnico che proceda alla riprogrammazione del dispositivo.
Eppure, come si è detto, i rischi sono numerosi. Prova ne sono i risultati citati in premessa degli studi condotti dalla dott.ssa Moe e dal suo team di ricerca.
Ulteriore conferma è la nota emessa dall’FBI il 12 settembre 2022, che avverte di aver identificato un “numero crescente di vulnerabilità poste da dispositivi medici senza patch, che funzionano su software obsoleti e dispositivi privi di adeguate funzionalità di sicurezza” (5).
In Italia non risulta ancora nessuno studio condotto specificamente per i dispositivi elettromedicali, ma data l’escalation di attacchi registrati agli ospedali italiani nel biennio 2021-22, tra cui proprio l’ospedale in cui lavoro (6), la vetustà del parco elettromedicale installato, soprattutto le macchine per immagini diagnostiche (7) e la caratteristiche delle infrastrutture di rete Internet di travalicare i confini geografici, non c’è motivo di ritenere che il rischio debba considerarsi meno grave.
Ma allora come ci si difende?
Un fronte unico contro le vulnerabilità informatiche degli elettromedicali
Le linee guida internazionali di riferimento (7) (8) identificano raccomandazioni operative per la gestione degli aspetti di cybersecurity ed efficientamento dell’operatività ICT dei dispositivi elettromedicali durante il loro intero ciclo di vita, tra cui la protezione degli endpoint, la gestione delle identità e degli accessi, la gestione degli asset, la gestione delle vulnerabilità. Tuttavia, ben pochi operatori economici si stanno adeguando a queste indicazioni: una recente ricerca dell’Harvard Business School Technology and Operations Management ha dimostrato che solo il 5% dei dispositivi elettromedicali dispone di un antivirus installato a bordo macchina, sebbene sia una tendenza in aumento (9).
Inoltre, poiché nella pratica clinica ospedaliera è frequente che l’utilità clinica di un dispositivo superi il suo periodo di supporto garantito, fondamentale diventa anche una corretta e diffusa formazione per i manutentori, gli operatori e i pazienti stessi, in modo da circoscrivere i rischi legati alla mancanza di aggiornamenti disponibili.
Il progetto dell’Azienda ospedaliera di Alessandria
Alla luce di tutte queste considerazioni e anche del recente attacco informatico subito, l’Azienda ospedaliera di Alessandria ha avviato un progetto di sostanziale ridefinizione della gestione del perimetro di sicurezza dei dispositivi elettromedicali installati.
Il progetto, concepito nel 2022, ma consolidatosi dopo l’attacco nel 2023, adotta il modello del Framework Nazionale per la Cybersecurity e la Data Protection e identifica le azioni di miglioramento su tre ambiti: upgrade tecnologico, cambiamenti organizzativi, acquisizione di competenze.
Sul fronte tecnologico, due sono i contributi fondamentali introdotti:
- una piattaforma di sicurezza per la gestione dei dispositivi medici MDSP (Device Security Platform) che gestisca, classifichi e cataloghi passivamente tutti i dettagli degli apparati elettromedicali presenti sulla rete, fornendo non solo marca, modello e IP, ma versione del firmware, numeri di serie, stato della rete, stato di sicurezza, informazioni sulla posizione e mappatura delle comunicazioni. La soluzione, in una logica di strategia unica di Cyber defence, si integra nativamente con le tecnologie di sicurezza (Firewall, SIEM, ecc.) già disponibili, permettendo quindi di valutarne i rischi, ma, soprattutto, di automatizzare l’installazione delle CVE (Common Vulnerabilities and Exposures), automaticamente acquisite dalla piattaforma tramite collegamenti con i database dei fabbricanti
- la segmentazione a livello capillare e gerarchicamente strutturato della rete aziendale tramite VLAN. In particolare, è stata rivista completamente l’infrastruttura di segmentazione, realizzando VLAN per ogni armadio di piano, una VLAN per i biomedicali di radiologia, una per i medicali di laboratorio, una per le workstation di radiologia, una per i medicali generici e VLAN dedicate per servizi che in qualche modo possano mettere a rischio la sicurezza aziendale a causa delle uscite dirette sulla Internet, ad esempio per i servizi di assistenza da remoto da parte dei fornitori. È in fase di realizzazione la creazione di VLAN per ogni server e almeno una per ogni fornitore, impostando appositi filtri ACL per il controllo del traffico dati.
La revisione dei processi ha comportato un cambiamento organizzativo significativo, sia verso i fornitori che all’interno dell’organizzazione:
- partendo da quest’ultimo aspetto, è stato rivisto l’Atto Aziendale che regolamenta le funzioni e le relazioni gerarchiche tra esse dell’Azienda ospedaliera ed è stata posta l’Area dell’Ingegneria Clinica funzionalmente dipendente dall’Area ICT, che ha cambiato nome in “ICT e Innovazione tecnologica”. L’intento è proprio quello di dare enfasi all’integrazione dei dispositivi elettromedicali all’interno dell’ecosistema di connettività e applicativa ospedaliero, dando priorità alla sicurezza informatica dei dati gestiti utilizzando in maniera standard i dati provenienti dalla piattaforma MDSP utilizzata.
- sono state elaborate raccomandazioni operative per la gestione degli aspetti di cybersecurity ed efficientamento dell’operatività ICT dei dispositivi elettromedicali durante il loro intero ciclo di vita. A titolo di esempio:
- accessi utente tramite policy di accesso utente e credenziali
- installazione di antivirus o anti-malware
- collocazione del dispositivo dietro un firewall fisico o virtuale
- configurazione delle porte strettamente necessarie al traffico dati definito dai casi d’uso
- inibizione dell’uso di dispositivi rimovibili quali memorie flash drive USB.
Inoltre, è stato predisposto l’elenco delle raccomandazioni per l’operatore economico in merito ai controlli compensativi dopo la fine del supporto. Questi documenti costituiranno da ora in poi allegati alle documentazioni di gara e saranno avviate negoziazioni per l’inserimento di addendum contrattuali delle forniture in essere.
Per quanto riguarda il gap di competenze, attraverso un progetto finanziato tramite la missione 6 del PNRR, sono state predisposte due attività:
- la misura della postura di sicurezza dell’azienda sanitaria rispetto al parco degli elettromedicali installato, partendo dalle macchine per la diagnostica per immagini e per il Laboratorio Analisi e, di conseguenza, individuare le misure tecniche e organizzative adeguate rispetto al profilo di rischio applicabile;
- Web Application Security Testing (OWASP Vulnerability Assessment), per conoscere nel dettaglio il profilo di esposizione al rischio del perimetro applicativo considerato e avere una conoscenza dettagliata di tutte le CVE (vulnerabilità) di cui soffrono le applicazioni Medical Device per la gestione dei rischi post commercializzazione.
Chi deve fare cosa: un approccio integrato per la cybersecurity degli elettromedicali
Negli ultimi anni l’industria dei dispositivi medici, che sviluppa dispositivi come pompe per insulina e pacemaker, ha vissuto una rivoluzione digitale. Molti dispositivi medici ora si connettono a Internet, ai telefoni, alle reti ospedaliere e ad altri software, creando un ecosistema digitale complesso e multivariato. Con una maggiore connettività, tuttavia, possono derivare rischi maggiori. I dispositivi medici connessi a Internet sono vulnerabili agli attacchi informatici.
A questo si aggiungono debolezze di progettazione strutturali quali software scritti in modalità legacy e quindi ormai obsoleta, sistemi di messagistica proprietari, e non tramite standard internazionali che consentano una gestione sicura dei flussi trasmessi e un processo di analisi e revisione delle vulnerabilità spesso solo focalizzato sui sistemi elettro-meccanici piuttosto che sulla componente di cybersecurity da parte dei fabbricanti.
Tutto queste permette ad eventuali malintenzionati di manipolare i dispositivi per produrre letture o dosaggi imprecisi, mettendo in pericolo la salute dei pazienti e persino la vita.
Si è parlato di come Servizi informativi e Ingegneria Clinica debbano essere coordinati per sviluppare azioni di controllo delle forniture e protezione delle reti di connettività e applicative a cui i dispositivi elettromedicali hanno accesso.
Anche i fabbricanti e i fornitori dei servizi di assistenza e manutenzione però devono essere parte del processo di protezione e sicurezza proattiva dei dati gestiti dalle macchine.
Conclusioni
La prima cosa che gli operatori economici dovrebbero fare è avviare al proprio interno il processo di CVD (Coordinated Vulnerability Disclosure – divulgazione coordinata delle vulnerabilità), come indicato nella ISO/IEC 29147 che prevede una fase di analisi delle più recenti indicazioni di sicurezza informatica e ricerca sistematica di vulnerabilità, un processo di comunicazione per l’assunzione e la gestione delle vulnerabilità e l’implementazione di contromisure risolutive o di mitigazione delle vulnerabilità che portino poi alla pubblicazione delle CVE.
Fondamentale è anche sostenere ed incentivare il coinvolgimento con le autorità di regolamentazione (ACN, AgID) e la comunicazione con le parti interessate (Assobiomedica, le associazioni degli ospedali, dei medici, dei pazienti) per la revisione delle valutazioni dell’ambito, dell’impatto e del rischio e dell’efficacia delle risoluzioni proposte.
Solo in questo modo è possibile garantire outcome clinici sicuri. Solo in questo modo coloro la cui vita e il cui sostentamento dipendono dall’affidabilità del dispositivo medico sarebbero in grado di valutare da soli la misura in cui la sicurezza è garantita – o trascurata – nella sua progettazione e sviluppo. Una maggiore maturità e coerenza nella progettazione, nello sviluppo, nei test e nella manutenzione del software porta a una sicurezza più elevata e a risultati migliori per i pazienti: la dott.ssa Moe e il suo team di ricerca non possono fare tutto da soli.
Bibliografia
1. Decade of Information on the Use of Cardiac Implantable Electronic Devices and Interventional Electrophysiological Procedures in the European Society of Cardiology Countries: 2017 Report from the European Heart Rhythm Association. Raatikainen M.J.P., Arnar D.O., Merkely B., Nielsen J.C., Hindricks G., Heidbuchel H., Camm J.A. s.l. : EP Europace. 2017;19:ii1–ii90. doi: 10.1093/europace/eux258.
2. A Man-in-the-Middle of my Heart Attack | CONNECT University. Youtube. [Online] https://www.youtube.com/watch?v=8YuyUM8ilRI.
3. Experimental Security Analysis of Connected Pacemakers. Guillaume Bour, Marie Elisabeth Gaup Moe, Ravishankar Borgaonkar. Volume 1, s.l. : SciTePress, 2022, Vol. Proceedings of the 15th International Joint Conference on Biomedical Engineering Systems and Technologies (BIOSTEC 2022). 978-989-758-552-4.
4. FBI. FBI PIN TLP White Unpatched and Outdated Medical Devices Provide Cyber Attack Opportunities Sept. 12, 2022. [Online] https://www.aha.org/cybersecurity-government-intelligence-reports/2022-09-12-fbi-pin-tlp-white-unpatched-and-outdated.
5. Ricci, Dario. PA nel mirino degli hacker: il caso dell’Ospedale di Alessandria. Agenda Digitale. [Online] https://www.agendadigitale.eu/sicurezza/pa-nel-mirino-degli-hacker-il-caso-emblematico-dellospedale-di-alessandria/.
6. Parco installato – dati 2019. Confindustriadm.it. [Online] https://www.confindustriadm.it/parco-installato-delle-apparecchiature-diagnostiche-2019/.
7. Regolamento Dispositivi Medici (UE) 2017/745 (MDR), Allegato I.
8. MDCG 2019-16 “Guidance on Cybersecurity for medical devices”.
9. Cybersecurity features of digital medical devices: an analysis of FDA product summaries. Ariel Dora Stern, William J Gordon, Adam B Landman, Daniel B Kramer. 2019.
10. Security analysis of the pacemaker. Bour, G. N. 2019.
