L’healthcare è uno dei settori più critici in termini di cybersecurity. In situazioni di crisi come quella che stiamo vivendo la sicurezza delle reti e dei sistemi informativi può risultare cruciale per garantire la continuità dei servizi nella sanità digitale. Serve focalizzarsi sulla cybersecurity dei dispositivi medici, identificando requisiti chiave e presidi attivati dal framework normativo.
Impatto dei cyber-incidenti in Sanità
Il contesto è preoccupante. Negli ultimi anni il numero di incidenti di sicurezza a livello globale è incrementato. Un incremento che riguarda anche il settore healthcare: ospedali, pazienti, dispositivi medici e dati sanitari sono diventati obiettivi strategici per gli attacchi informatici. Il settore sanitario rimane uno dei settori più a rischio. Nel 2017, il malware Wannacry ha coinvolto più di 100.000 organizzazioni in oltre 150 paesi. Tra i soggetti colpiti si annovera il National Health Service (NSH) nel Regno Unito, dove si stima che siano state coinvolte piu di 80 strutture sanitarie, per una riduzione del 6% dei ricoveri negli ospedali infetti, una cancellazione di 13.500 appuntamenti ambulatoriali, ed un impatto finanziario di circa di 5,9 milioni di sterline.
Sempre rimanendo in Europa, nel marzo 2019 l’ospedale di Montpellier è stato vittima di un attacco cibernetico; e nel novembre 2019 l’ospedale di Rouen è tornato al tradizionale sistema ‘carta e penna’ a seguito di un attacco malware. In Italia si sono registrati alcuni casi di attacchi cyber – sebbene di impatto minore – come ad esempio il ransomware CryptoLocker per l’ospedale di San Vito al Tagliamento (PN) od il ransomware TeslaCrypt per l’ospedale di Alessandria. Ora che è in atto una crisi sanitaria di considerevole natura, la cybersecurity diventa un aspetto cruciale, soprattutto per prevenire incidenti di sicurezza nelle strutture ospedaliere e dunque evitare disagi nella regolare erogazione dei servizi sanitari.
IoT e Smart Hospitals: dispositivi connessi
La necessità di assicurare un adeguato livello di sicurezza delle strutture sanitarie diventa ancora più urgente se si pensa che è incrementato esponenzialmente l’utilizzo di sistemi informativi e dispositivi connessi. Secondo l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), quando i componenti di Internet of Things (IoT) – inclusi i dispositivi connessi – supportano le funzioni principali di un ospedale, la sicurezza delle reti e dei sistemi informativi unitamente alla protezione della privacy e dei dati dei pazienti diventano questioni critiche per gli ospedali cd. intelligenti (“smart hospitals”).
I dispositivi medici ed in particolare i dispositivi medici “connessi” rivestono un ruolo ormai fondamentale nelle strutture sanitarie. Il loro uso ha portato ad loro maggiore esposizione vulnerabilità a incidenti e attacchi informatici. Si parla ad esempio di “Medical Devices Hijacking” o “Medjack” per definire gli attacchi con i quali soggetti malevoli alterano la funzionalità di dispositivi medici per varie finalità mettendo in pericolo la sicurezza e salute dei pazienti.
Cybersecurity dei dispositivi medici
La sicurezza informatica dei dispositivi medici è diventato un argomento di crescente rilevanza. A tale hype ha contribuito l’attività di ricerca condotta a livello globale da esperti in materia di cybersecurity. Ad esempio, un team di ricerca ha dimostrato che è possibile alterare le funzionalità di una pompa d’insulina sì da impedirne l’erogazione ad un paziente; o ancora, che è possibile alterare le funzionalità di un pacemaker tanto da causare uno shock mortale.
In aggiunta alla ricerca portata avanti dagli esperti in materia, è accresciuta la consapevolezza degli enti preposti alla regolamentazione e controllo sul mercato dei dispositivi medici. Negli Stati Uniti, ad esempio, la Food and Drug Administration (FDA) ha riferito di alcune vulnerabilità della cybersecurity nei dispositivi cardiaci impiantabili di Medtronic; mentre nel giugno 2019, la stessa Autorità ha avvertito dei potenziali rischi di cibersicurezza di alcuni tipi di pompe per insulina Medtronic MiniMed.
Prospettive di regolamentazione
Visti gli impatti e le potenziali criticità, vediamo se esistono e quali sono gli esempi di misure messe in campo di tipo regolamentare. Prima di dare uno sguardo all’Europa è interessante un’analisi del quadro globale.
Lo scorso ottobre, il Medical Devices Regulators Forum (IMDRF) ha emanato la “Medical Devices Cybersecurity Guide”. Si tratta di passo molto rilevante, poiché le autorità nazionali potranno in futuro ispirarvisi per eventuali linee guida nel loro territorio. Oltre a questa iniziativa, vale la pena di segnalare casi di rilievo in Stati Uniti, Canada, e Giappone, i quali hanno già pubblicato guidance in materia. Il primato spetta alla statunitense FDA, autorità che ha già emanato delle guidelines da almeno dieci anni: la prima guidance nel 2005, seguita da due importanti nel 2014 e 2016 – riguardanti la sorveglianza pre- e post-mercato della sicurezza informatica nei dispositivi medici.
Iniziative di alcuni Stati europei
La regolamentazione europea in materia di “medical devices cybersecurity” è arrivata in ritardo rispetto al contesto globale. Prima del gennaio 2020, solo una netta minoranza di agenzie negli Stati membri aveva elaborato linee guida in materia: in particolare, Francia e Germania. L’autorità francese ANSM (Agence nationale de sécurité du médicament et des produits de santé) ha emanato nel settembre 2019 delle linee guida in materia di “medical devices cybersecurity”; mentre l’Autorità tedesca BSI (Bundesamt für Sicherheit in der Informationstechnik) ha pubblicato delle raccomandazioni sotto forma di “requisiti di cybersecurity per dispositivi connessi”.
Linee Guida del Medical Device Coordination Group
Nel Gennaio 2020, il gruppo europeo di coordinamento per i dispositivi medici (Medical Device Coordination Group, MDCG) ha finalmente pubblicato le Linee guida in materia di Medical Device Cybersecurity. Non si tratta di uno strumento vincolante, ma in ogni caso offre un quadro interpretativo in chiave cybersecurity delle nuove disposizioni europee in materia di dispositivi medici (Medical Devices Regulation e In Vitro Medical Devices Regulation (IVMR). Oggetto del documento sono i dispositivi medici, inclusi i software che si qualifichino come tali. Di seguito sono illustrati alcuni passaggi di rilievo.
Le Linee Guida evidenziano l’importanza fondamentale del risk management. Affinché il rischio associato al funzionamento dei dispositivi medici sia accettabile, dev’essere garantito un livello accettabile di protezione della salute e della sicurezza. Safety da una parte e security dall’altra sono fondamentali e devono essere prese in considerazione per tutto il ciclo di vita del medical device. Viene offerta inoltre una panoramica delle disposizioni MDR/IVDR relative alla cybersecurity, in relazione ad ogni ciclo di vita dello sviluppo del prodotto. Sono evidenziati e calati nell’ambito medical device concetti come IT Security, Information Security ed Operation Security (avendo riguardo ai riferimenti chiave di Confidentiality, Integrity, Availability). Un altro dato interessante è il security by design estrinsecato in termini pratici – e correlato alla defence in-depth strategy del prodotto. Infine, viene sottolineato che la cybersecurity dei medical devices è una responsabilità congiunta di una pluralità di attori coinvolti, tra cui intervengono strutture ospedaliere, operatori, manutentori, utenti finali.
Cybersecurity: GDPR, NIS e altre normative
E’ importante effettuare anche uno ‘zoom out’ dal framework MDR/IMDV, per evidenziare che esistono anche altri testi legislativi a livello UE trattano in maniera trasversale l’argomento della cybersecurity. L’argomento è complesso e meriterebbe una trattazione separata, tuttavia si possono menzionare il Cybersecurity Act e la Radio Equipment Directive (RED) entrambi applicabili ai fabbricanti di dispositivi medici. Rileva anche la Direttiva NIS, applicabile alle strutture sanitarie quando ricoprano il ruolo di Operatori di Servizi Essenziali.
Infine, è d’obbligo il riferimento al Regolamento Generale sulla Protezione dei Dati (GDPR), essendo i dispositivi medici delle tecnologie con le quali è possibile trattare dati personali e relativi alla salute. Agli obblighi previsti dal GDPR, in particolare sulla sicurezza del trattamento, debbono allinearsi non solo i fabbricanti di dispositivi medici, ma anche tutte le strutture sanitarie, gli operatori e professionisti sanitari – in dipendenza del ruolo che rivestono nel trattamento dei dati personali.
