Archivio dell'autore: Pierfrancesco Ghedini

Cyber security e dispositivi medici

CyberSecurity

Cyber Security

È apparso di recente su MSN News un preoccupante articolo intitolato “U.S. government probes medical devices for possible cyber flaws“.

Per la verità il tema della vulnerabilità dei dispositivi medici ad attacchi di tipo informatico – Cyber attacchi – è all’attenzione degli addetti ai lavori ormai da tempo, ma per la prima volta viene documentata una vera e propria indagine svolta dall’Industrial Control Systems Cyber Emergency Response Team, o ICS-CERT, su alcuni dispositivi fra cui pompe di infusione e dispositivi cardiaci impiantatili. I membri dell’ICS-CERT hanno teso a precisare di non essere a conoscenza di attacchi che abbiano coinvolto i dispositivi sotto indagine, ma hanno affermato che l’indagine verte sulla possibilità che malintenzionati possano acquisire il controllo da remoto dei dispositivi e provocare problemi, ad esempio per sovradosaggio di farmaci nel caso l’attacco avvenga su pompe da infusione o altri effetti altrettanto nocivi nel caso l’attacco sia rivolto a dispositivi cardiaci impiantabili.

Al di là dei dispositivi specifici sotto indagine, la presenza di medical devices sulle reti delle nostre strutture sanitarie rappresenta un’oggettiva criticità che pone seri problemi di progettazione della infrastruttura e complessi vincoli di gestione.

Nonostante nel tempo siano stati proposti approcci teorici più o meno convincenti – ad esempio, di recente, il NIST ha proposto il modello Framework for improving Critical Infrastrutture Cybersecurity – è ormai accezione comune che ciò non basti e che vi sia un’evidente carenza che occorrerà colmare al più presto. Molti, infatti, pensano che non sia più differibile l’identificazione di una serie di buone pratiche tese a minimizzare il rischio di attacchi a reti miste – caratterizzate dalla presenza contemporanea di dispositivi medici e sistemi non medicali -. L’individuazione di scenari tecnici di riferimento, pur senza negare o contraddire la necessità di una metodologia di gestione della sicurezza, favorirebbe la rapida messa in campo di misure capaci di garantire una maggiore sicurezza degli impianti oggi in servizio.

Se da un lato infatti il citato modello del NIST rappresenta il necessario riferimento metodologico per la gestione di una qualsiasi infrastrutture tecnica critica, non fornisce tuttavia riferimenti implementabili che possano essere direttamente impiegati nelle diverse realtà sanitarie. Ciò che occorre fare è definire una serie di architetture di riferimento capaci di contrastare le principali minacce ipotizzabili, pur garantendo la necessaria usabilità complessiva e una sufficiente gestibilità.

E, probabilmente, occorrerà farlo il prima possibile.

PG.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.