Cybersecurity nei dispositivi biomedicali: linee di azione e ambiti di intervento

A cura di:Fabio Bonanni Ore

Un’indagine condotta da Deloitte nel 2016 in 24 strutture pubbliche e private dislocate in 9 Paesi nell’area EMEA, inclusa l’Italia, ha confermato che il tema della cybersecurity nei dispositivi biomedicali connessi in rete è quanto mai attuale.

Le segnalazioni di problemi di sicurezza su tali dispositivi, con potenziali rischi per la salute dei pazienti, sono aumentate negli ultimi anni, come è possibile desumere dal sito della Food & Drug Administration (FDA), l’ente governativo statunitense che si occupa della regolamentazione e della sicurezza dei prodotti alimentari, farmaceutici, biologici e biomedicali. Anche il Ministero della Salute italiano ha reso disponibile già da qualche tempo sul proprio sito web un sistema di segnalazione di incidenti di sicurezza sui dispositivi medici.

A confermare l’attenzione dell’ente americano sul tema, e dopo aver emesso ad ottobre 2014 le linee guida sulla gestione della cybersecurity nei medical devices prima della loro commercializzazione (fase di “pre market”), sono state pubblicate a dicembre 2016 analoghe linee guida anche per la fase di “post-market”, nell’ottica di garantire un adeguato livello di protezione dei dispositivi biomedicali lungo tutto il loro ciclo di vita, dalle fasi iniziali di sviluppo e progettazione fino al supporto post vendita.

In tale solco anche il recente Regolamento Generale Europeo sulla Protezione dei Dati Personali (General Data Protection Regulation – GDPR), che diverrà applicabile in tutti i Paesi UE a partire da maggio 2018, enunciando il principio-chiave della “privacy by design”, sancisce la necessità di garantire la protezione dei dati – ivi inclusi ovviamente i dati sanitari – fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, richiedendo agli enti di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti degli interessati.

Il GDPR e le Linee Guida FDA dimostrano l’attenzione del regolatore nei confronti delle misure di sicurezza da adottare a protezione dei dispositivi biomedicali, dovuta anche alla crescente digitalizzazione del settore, che, se da un lato comporta un miglioramento della qualità dei servizi offerti dagli operatori sanitari, anche in ragione dell’affermazione di nuovi modelli di care-delivery (e.g. virtual care, mobile health, wearable and implantable patient monitoring devices), espone di converso gli operatori stessi ad attacchi cyber sempre più frequenti e sofisticati, il cui obiettivo principale è il furto di proprietà intellettuale e di dati personali. Le classi di dispositivi biomedicali connessi in rete spaziano ormai dai prodotti consumer (e.g. FitBit), tipicamente connessi tramite bluetooth, ai cosiddetti “wearable external device” (e.g. pompe da insulina portatili), che solitamente utilizzano protocolli wireless di comunicazione proprietari, ai dispositivi “internally embedded” (e.g. pacemaker) che utilizzano protocolli bluetooth o proprietari, fino ad arrivare ai cosiddetti “stationary medical device” (e.g. cardio-monitoring o chemotherapy dispensing station), che utilizzano le reti WiFi delle strutture sanitarie o delle abitazioni dei pazienti stessi.

I settori pubblico e privato sono pertanto chiamati a definire e attuare programmi di cybersecurity volti ad innalzare il livello di protezione e sicurezza dei dispositivi e dei dati da essi trattati, agendo a livello organizzativo, di processo e tecnologico.

Risulta pertanto in primis determinante stabilire una chiara definizione dei ruoli e delle responsabilità in ambito sicurezza e privacy all’interno dell’articolazione organizzativa e con riferimento al sistema di controllo interno e di gestione dei rischi di cui l’ente si è dotato o intende dotarsi, nel rispetto dei princìpi di segregazione funzionale dei compiti. La gestione della sicurezza e della compliance privacy necessitano infatti di competenze distintive e di leve gestionali – determinate necessariamente anche dalla collocazione delle relative funzioni agli opportuni livelli gerarchici dell’organizzazione – che consentano ai soggetti preposti di prendere decisioni consapevoli e di essere conseguenti nelle relative azioni da perseguire, nel rispetto delle prerogative assegnate e delle disposizioni regolamentari cogenti e interne.

Dal punto di vista dei processi operativi, si rende necessario dotarsi di un corpus di policy e protocolli di sicurezza allineato ai requisiti normativi di riferimento e alle migliori pratiche di sicurezza delle informazioni, improntando la stesura della documentazione ai princìpi di chiarezza ed esaustività e facendo leva sugli standard di riferimento universalmente accettati – quali a titolo esemplificativo e non esaustivo ISO27001:2013, NIST Cyber Security Framework (CSF), NIST SP 800-53 – e di settore (e.g. Health Insurance Portability and Accountability Act, Health IT for Economic & Clinical Health Act, Linee Guida FDA, etc.).

Le politiche e i protocolli da adottare devono indirizzare le tematiche di sicurezza e protezione degli asset (sistemi, dispositivi o dati) lungo tutto il loro ciclo di vita, secondo il paradigma delle 5 “Function” del NIST CSF – Identify, Protect, Detect, Respond, Recover – che forniscono una vista strategica della cybersecurity all’interno dell’organizzazione.

Le principali aree da considerare riguardano la gestione del ciclo di vita delle utenze e dei profili di accesso ai sistemi/dispositivi, la gestione degli incidenti di sicurezza, i piani di salvataggio e ripristino dei dati, lo sviluppo sicuro del codice, l’encryption dei dati “critici” (i.e. dati sensibili), il processo di aggiornamento/patching e di gestione delle vulnerabilità dei sistemi, la disponibilità di sistemi antivirus/antimalware, la segregazione degli ambienti di elaborazione, la gestione sicura del ciclo di vita del dato, dalla sua classificazione a tutte le fasi di handling.

La tecnologia, intesa come fattore abilitante per la sicurezza, è chiamata a facilitare l’adozione delle politiche e delle procedure di sicurezza definite. A tal fine gli enti devono dotarsi di architetture ICT resilienti e in grado di supportare la segregazione dei dati e dei diversi ambienti di elaborazione (sviluppo, test, quality, produzione), in modo ad esempio da garantire che i dispositivi biomedicali connessi in rete siano attestati su reti diverse e protette da quelle generali dell’ente; i processi di aggiornamento dei sistemi e delle configurazioni e di gestione delle vulnerabilità devono essere supportati da tecnologie aggiornate e automatizzate, così come sistematicamente aggiornati devono essere i sistemi antivirus/antimalware; le procedure di identificazione, autenticazione e autorizzazione degli utenti devono preservare la confidenzialità dei dati ed essere basate sui princìpi del need-to-know e least privilege.

Nel caso di dispositivi biomedicali costituiti da una componente software, è fondamentale che lo sviluppo e l’aggiornamento del relativo codice sorgente sia improntato ai paradigmi SSDLC – Secure Software Development Life Cycle.

L’evoluzione tecnologica del settore, che certamente costituisce un validissimo e ormai imprescindibile ausilio in fase di diagnosi e per la somministrazione di terapie farmacologiche, richiede parimenti una grande attenzione sul tema della cybersecurity da parte di tutti i soggetti interessati del settore pubblico e privato, finalizzata a preservare la centralità della salute e sicurezza del paziente, che dimostra una sempre maggiore consapevolezza e partecipazione nelle fasi di definizione e somministrazione delle cure mediche, determinate anche dalla facilità di accesso a dati e informazioni ormai pubblicamente disponibili (“open data”).

Suggerimenti Bibliografici:

 

A cura di: Fabio Bonanni

Profilo Autore
Fabio Bonanni

Partner di Deloitte Risk Advisory con esperienza ultradecennale nella gestione e nel deployment di programmi di operational risk management e cybersecurity per grandi gruppi industriali nazionali e internazionali. Laurea in Ingegneria Elettronica conseguita presso il Politecnico di Milano, Master in Tecnologie dell’Informazione conseguito presso il Cefriel-Politecnico di Milano, Certificato CISSP, CISA, ITIL. Referente per il network Deloitte Italia dei Cyber Risk Services nel settore Life Sciences & Health Care.

Condividi sui Social Network:

Articoli simili

Reti Mobili Ad Hoc (Parte I): Architettura

Reti Mobili Ad Hoc (Parte I): Architettura

A cura di:Crescenzio Gallo, Michele Perilli e Michelangelo De Bonis Ore Pubblicato il

Sommario Le reti di comunicazione mobili wireless sono diventate parte integrante della nostra società, migliorando notevolmente le capacità di comunicazione, estendendola a qualsiasi ora e luogo, e fornendo connettività senza bisogno di un’infrastruttura sottostante. In questa prima parte dell’articolo indaghiamo sul recente settore delle Reti Mobili Ad Hoc (MANET — Mobile Ad Hoc Network), concentrandoci…

Tecnologie di Data Analytics per effettuare real-time security

Tecnologie di Data Analytics per effettuare real-time security

A cura di:Redazione Ore Pubblicato il

La sicurezza IT è sempre di più una priorità per le aziende e lo sarà sempre di più in vista della prossima applicazione del GDPR (General Data Protection Regulation). Il volume e la complessità delle minacce, non solo malware, sta crescendo in maniera esponenziale attraverso attacchi mirati e persistenti. In aggiunta, la battaglia contro minacce…

Uno strumento di supporto alle decisioni per migliorare la gestione del Rischio nelle Infrastrutture Critiche

Uno strumento di supporto alle decisioni per migliorare la gestione del Rischio nelle Infrastrutture Critiche

A cura di:Redazione Ore Pubblicato il

La previsione di un evento di crisi che coinvolga le infrastrutture critiche presenti in un determinato territorio, dei suoi impatti sui Servizi e delle sue possibili conseguenze sulla società rappresentano un obiettivo in grado di consentire il contenimento delle conseguenze per la popolazione e favorire un rapido, efficace ed efficiente ritorno alla normalità. La realizzazione…

Come prepararsi al futuro del lavoro da remoto

Come prepararsi al futuro del lavoro da remoto

A cura di:Redazione Ore Pubblicato il

È passato ormai un anno da quando la maggior parte del mondo è ricorsa al lockdown in risposta alla pandemia di COVID-19. Durante questo lasso di tempo, il modo in cui le persone si connettono, comunicano tra loro e gestiscono il business è cambiato radicalmente. Per i dipendenti di quasi tutto il mondo, questo cambiamento…

Syrian Electronic Army: l’hacker Peter Romar si dichiara colpevole d’appartenenza al gruppo che fece tremare gli Stati Uniti

Syrian Electronic Army: l’hacker Peter Romar si dichiara colpevole d’appartenenza al gruppo che fece tremare gli Stati Uniti

A cura di:Redazione Ore Pubblicato il

All’inizio di quest’anno uno degli hacker più ricercati dall’FBI è stato arrestato in Germania, arriva ora la confessione di Peter Romar. Peter Romar, 37 anni, si è dichiarato colpevole Mercoledì in una corte federale di Alessandria delle accuse di estorsione ed hackeraggio in quanto membro del celeberrimo gruppo di hacking “Syrian Electronic Army” (SEA). SEA…

Ecco perché nessuno può definirsi Manager della Resilienza, ma anche perché ogni Organizzazione dovrebbe averne uno

Ecco perché nessuno può definirsi Manager della Resilienza, ma anche perché ogni Organizzazione dovrebbe averne uno

A cura di:Gianna Detoni Ore Pubblicato il

Fino a pochi anni fa era raro incontrare qualcuno in grado di rispondere a questa semplice domanda: “cosa significa resilienza?” Il termine era già ben noto nel contesto scientifico, in particolare nell’ingegneria (la resilienza dei materiali) e in psicologia. Alcune aziende all’avanguardia hanno iniziato ad utilizzarlo già 12-13 anni fa, ma si trattava solo di…