L’innovazione tecnologica in ambito sanitario è caratterizzata da luci ed ombre: da un lato sta creando sempre nuove opportunità assistenziali, dall’altro incide significativamente sull’organizzazione dei servizi sanitari, e pone nuovi ambiti di criticità, non sempre facili da gestire. Tra gli ambiti principali coinvolti, vi sono quelli dei dispositivi medici (DM) e delle tecnologie dell’informazione e della comunicazione (ICT), che connettono sempre più frequentemente i primi con tutto il mondo del web. E così sono esposti sempre più alle mire del cybercrime: è la sfida della cyber security (sicurezza informatica) in Sanità.
I DM sono da molti anni un ausilio indispensabile nella pratica clinica. Risalgono infatti a più di cinquanta anni fa i primi impianti di valvola cardiaca protesica e di pacemaker. Nel corso degli anni, uno sforzo di ricerca nel settore dei biomateriali e della funzionalità dei dispositivi ha portato a un incremento delle classi di prodotto (svariate centinaia di migliaia) e delle prestazioni dei dispositivi. In particolare, sono sempre più comuni i DM con connessione integrata, che consente di monitorare il DM stesso o anche di selezionarne i parametri da remoto.
Convergenza fra DM e ICT: opportunità e problemi
Il settore dell’ICT è caratterizzato da un continuo progresso tecnologico, che ha come conseguenza una offerta sempre più variegata di prodotti e servizi, in particolare per volumi e velocità di trasmissione. Il settore della sanità non poteva rimanere al di fuori di tale accelerazione, per cui si sta assistendo al successo di dispositivi (anche non rigorosamente classificabili come DM in base alla legislazione europea, come ad esempio i wearables mirati all’attività fisica ricreativa) sempre più sofisticati e connessi in rete; a fronte di questi sviluppi esiste tuttavia l’esigenza di definire i requisiti minimi per l’impiego delle tecnologie ICT in sanità, affinché queste siano in grado di fornire servizi informativi, formativi, di gestione e controllo, in condizioni di sicurezza per quanti usufruiscono di tali servizi (operatori, cittadini, pazienti).
In questo quadro, l’attività del Centro Nazionale per le Tecnologie Innovative in Sanità Pubblica (TISP) dell’ISS si è incentrata da tempo sulla ricognizione ed il monitoraggio delle problematiche più rilevanti, associate all’adozione o disponibilità di nuove soluzioni poste sul mercato nonché all’impatto delle normative.
La Direttiva sui dispositivi medici
Un problema particolarmente sentito, in base ai contatti con le principali categorie di esperti di settore in sanità (ingegneri clinici, informatici, clinici con responsabilità in servizi di telemedicina), è l’adozione della Direttiva aggiornata (2007/47/CE [1] e D.lgvo 37/2010 [2]) riguardante i Dispositivi Medici. Oltre alle difficoltà gestionali intrinseche al mondo dei Dispositivi Medici, che ha visto il Ministero della salute emanare nel 2009 la “raccomandazione per la prevenzione degli eventi avversi conseguenti al malfunzionamento dei dispositivi medici/apparecchi elettromedicali“, l’aggiornamento della Direttiva sui DM ha visto specificare il ruolo del software, che può costituire in sé stesso un dispositivo medico. Il nuovo Regolamento europeo sui DM [3] mantiene questo assunto. Fin dalle prime rilevazioni di eventi avversi relativi alla connessione di DM con una rete informatica, riportate dalla FDA nel 2009, sono state emanate dal 2010 norme della serie IEC 80001 per aiutare le organizzazioni a far fronte al Risk Management necessario per limitare gli eventi avversi.
Teleservizi esterni di monitoraggio, le criticità
Un ulteriore ambito di criticità è rappresentato dall’adozione di teleservizi esterni di monitoraggio e controllo di DM quali pacemaker (PMK), pompe di infusione e misuratori di grandezze fisico-chimiche che si stanno rapidamente diffondendo, ad esempio nella domiciliazione dell’assistenza supportata dall’IoT, in alcuni casi utilizzando strutture e infrastrutture dell’ospedale pur essendo offerte e gestite da privati, con la conseguenza di una mancanza di gestione dei rischi coordinata. In tali condizioni, questi sistemi complessi possono essere altresì affetti da vulnerabilità, e conseguente possibilità di hackeraggio o comunque mancanza di integrità dei dati.
L’impatto del cybercrime sul mondo sanitario
Oggi gli attacchi alle infrastrutture e ai sistemi informatici sono diventati rapidamente un rischio importante per i governi, le organizzazioni e le imprese. Si può stimare (fonte: PwC, società di contabilità e consulenza internazionale) che si siano verificati quasi 43 milioni di incidenti di sicurezza IT nel 2014, con un aumento del 48% rispetto al 2013. Il costo per l’economia globale dovuto ai crimini informatici è attualmente stimato a più di 400 miliardi di dollari annui, con previsioni di rapido aumento nei prossimi anni.
Dati più recenti, relativi agli USA, indicano che circa 1.13 milioni di cartelle cliniche sono state spiate in 110 attacchi ai dati sanitari nel solo primo trimestre del 2018. (fonte: Protenus Breach Barometer). La stessa fonte calcola che occorrono alle organizzazioni sanitarie 244 giorni in media per accorgersi di un cyberincidente, dopo che è avvenuto.
Data la convergenza in atto fra tecnologie ICT (rete Internet, sistemi Big Data e l’uso del Cloud) e DM, l’ambito sanitario è particolarmente vulnerabile ai cyberattacchi. Il mercato dei sistemi sanitari interconnessi e dei cosiddetti dispositivi medici intelligenti dovrebbe avvicinarsi ai 60 miliardi di dollari l’anno nel 2023. Evidentemente, l’incorporazione di sistemi informatici e tecnologie wireless rendono potenzialmente vulnerabili tali DM.
Secondo la Food and Drug Administration (FDA) USA [4], le vulnerabilità specifiche che possono avere un impatto diretto sui sistemi sanitari e sui dispositivi medici includono:
- dispositivi medici collegati/configurati in rete che sono stati infettati o disattivati da malware;
- malware nei dispositivi (computer, smartphone o tablet) ospedalieri che si rivolgono a dispositivi mobili wireless per accedere ai dati del paziente, ai sistemi di monitoraggio o ai dispositivi medici impiantati;
- mancato aggiornamento del software di sicurezza per dispositivi e reti mediche;
- vulnerabilità di sicurezza nel software “off-the-shelf”;
- distribuzione non controllata di password destinate all’accesso privilegiato dei dispositivi.
Violazioni di informazioni sanitarie protette in crescita
Queste e altre vulnerabilità hanno portato ad un numero significativo e crescente di attacchi informatici contro i sistemi sanitari. Le statistiche riportate dal Dipartimento di Salute e Servizi Umani (HHS) statunitense rivelano che dal 2009 sono state segnalate più di 1400 violazioni di informazioni sanitarie protette, riguardando globalmente 150 milioni di pazienti. Più di recente, un sondaggio del 2016 fra i dirigenti sanitari statunitensi ha rilevato che gli attacchi riferiti ai sistemi operativi sanitari e ai dispositivi medici incorporati sono quadruplicati dal 2014 al 2015, mentre gli attacchi alle tecnologie mediche dei consumatori sono quasi raddoppiate [5].
Ciò è da mettere in relazione con l’appetibilità per i criminali delle informazioni relative allo stato di salute del cittadino: mentre i dati associati a carte di credito o tessere identificative, ad esempio, sono sostituibili, i dati personali associati alla salute non possono essere “resettati”, per cui hanno un grande valore.
Per quanto riguarda i rischi associati all’uso di DM in rete, si può ricordare quanto accaduto nel 2010 quando, ad un convegno internazionale, è stata dimostrata la possibilità di hackeraggio di una pompa di infusione [6] manifestando pertanto la non completezza del Risk Management, non solo del produttore del dispositivo, ma anche del fornitore del servizio stesso; nel caso in cui il servizio dipenda da una azienda ospedaliera si comprende come l’adozione di misure di gestione del rischio dipenda dall’accordo delle azioni del fabbricante del DM e del responsabile dell’azienda stessa.
Strumenti per un’efficace strategia difensiva
Nel rispetto della rispondenza ai Requisiti Essenziali che un DM deve soddisfare, la direttiva comunitaria di riferimento (93/42/CEE e successivi aggiornamenti), suggerisce ai fabbricanti di usare norme tecniche armonizzate per verificare la conformità dei dispositivi stessi. In particolare al fine di minimizzare i rischi associati con l’utilizzo di tali dispositivi, la normativa armonizzata UNI CEI EN ISO 14971:2012 [7], richiede al fabbricante, sia in fase di progettazione del dispositivo, che nel post-produzione, di identificare i pericoli associati ai dispositivi, di classificare gli eventi indesiderati e di ridurre o mitigare i rischi.
Quando il DM deve essere integrato in una rete sanitaria che connetta più sistemi e DM, si deve prevedere una estensione dell’analisi dei rischi, che comprenda il contesto e la infrastruttura stessa, per comprendere quali rischi suppletivi debbano essere analizzati prima dell’inserimento del DM. In tale situazione, la responsabilità non è più a carico del solo fabbricante del DM ma, come riconosciuto dalle normative tecniche a livello internazionale (serie IEC 80001), quando ICT e DM convivono e/o cooperano nello stesso ambiente, utilizzati da attori differenti, è necessario identificare le responsabilità di tutti gli attori che possono essere in grado di contribuire all’uso sicuro del dispositivo stesso.
Un approccio comune alle esigenze di sicurezza, già riscontrato nel caso di reti di telemonitoraggio di DM impiantabili attivi, vede il fabbricante di tali DM implementare la struttura ICT per la raccolta e la gestione da remoto delle informazioni diagnostiche del DM stesso. Chiaramente, tale responsabilità implica che il fabbricante limiti l’interfacciamento del DM a casi ben selezionati, per i quali disponga di prove di validazione della sicurezza del sistema. Oltre alla responsabilità sugli aspetti progettuali del sistema, in questo caso il fabbricante si assume anche l’onere della gestione del sistema di telemonitoraggio del DM. Restano le responsabilità del gestore della rete all’interno ad esempio delle aziende ospedaliere, che ha la responsabilità dell’allaccio alla rete di altri dispositivi la cui compatibilità deve essere verificata, o dell’aggiornamento dei sistemi operativi e di difesa da virus informatici e così via.
Le norme IEC 80001
Nel caso generale, quindi, di DM inserito in una rete ospedaliera, un solido riferimento normativo è rappresentato dalla serie di norme IEC 80001, la prima delle quali, emanata nel 2010 e recepita dal CEI nel 2012, definisce i ruoli, le responsabilità e le attività necessarie ad una organizzazione (ad es una azienda sanitaria o una clinica) per gestire il rischio legato all’uso di DM connessi alla rete ospedaliera; tale norma è focalizzata su aspetti legati alla sicurezza (safety), efficacia e alla data and system security [8]. Secondo tale norma è compito dell’Organizzazione Responsabile dotarsi di una struttura organizzativa adeguata e di un Risk Management in grado di tenere conto sia dell’impatto nella gestione dei DM conseguente all’evoluzione e della rete, sia dell’incorporazione di altri DM nella rete stessa. E’ pertanto opportuno evidenziare come l’aumento dell’offerta diagnostico-terapeutica resa possibile, ad esempio, dal monitoraggio remoto dei DM, richieda, in generale, la creazione di un’infrastruttura organizzativa in grado di gestire con continuità i rischi connessi alla gestione del sistema. A questo impianto di riferimento fanno da contraltare, per supportare i produttori, le norme della serie ISO/IEC 27000 (norme SGSI, “Sistemi di Gestione per la Sicurezza delle Informazioni”) che parlano di progettazione del software che contemperi la cybersecurity lungo tutto il ciclo di vita.
Conclusioni
L’adozione delle tecnologie ICT sta rapidamente trasformando la società e, in particolare, gli ambiti sanitari. L’offerta diagnostica e terapeutica viene così a dipendere in misura sempre maggiore da sistemi di crescente complessità, che possono presentare punti deboli, agli occhi dei cybercriminali. E’ necessaria una consapevolezza di tali problematiche da parte di tutti i portatori di interesse, e in particolare da parte dei responsabili delle organizzazioni sanitarie, che sono in ogni caso coadiuvati nella loro soluzione dalla disponibilità di riferimenti normativi internazionali.
__________________________________________
Bibliografia
- Direttiva 2007/47/CE del Parlamento europeo e del Consiglio del 5 settembre 2007
- D. lgs. 25.01.2010, n.37, Attuazione della direttiva 2007/47/CE che modifica le direttive 90/385/CEE per il ravvicinamento delle legislazioni degli stati membri relative ai dispositivi medici impiantabili attivi, 93/42/CE concernente i dispositivi medici e 98/8/CE relativa all’immissione sul mercato dei biocidi.
- Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio.
- “Cybersecurity for Medical Devices and Hospital Networks: FDA Safety Communication,” U.S. Food and Drug Administration, June 13, 2013. Web. 15 April 2016. http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm356423.htm
- “Transformation and turnaround in cybersecurity: Healthcare payers and providers—Key findings from The Global State of Information Security Survey 2016,” Pricewaterhouse Coopers LLP. http://www.pwc.com/gx/en/consulting-services/information-security-survey/assets/pwc-gsiss-2016-healthcare-providers.pdf
- Goodin D. Insulin pump hack delivers fatal dosage over the air. Register. 2011. http://www.theregister.co.uk/2011/10/27/fatal_insulin_pump_attack/
- UNI CEI EN ISO 14971. Dispositivi Medici: Applicazione della gestione del rischio ai dispositivi medici. Milano: Ente Nazionale Italiano di Unificazione; 2012.
- IEC 80001-1—Application of risk management for IT-networks incorporating medical devices–Part 1: Roles responsibilities and activities
