Nel 2023, il settore sanitario ha registrato 624 cyber attacchi a livello mondiale, oltre il doppio di quanto accaduto nel 2022 (304), con un trend in forte crescita che si rispecchia in modo analogo nella fattispecie italiana e che mostra quanto il settore sia sempre più esposto alle minacce informatiche.
Indice degli argomenti
Il valore strategico dei dati per le aziende ospedaliere
In un settore come quello della Sanità, gli effetti degli attacchi informatici non si limitano ai risvolti negativi in termini economici o di tutela della privacy, ma impattano direttamente sulla salute dei pazienti.
Gli hacker sono ben consci dell’importanza e del valore strategico che i dati sanitari hanno per le aziende ospedaliere e della centralità che essi hanno ai fini della somministrazione delle cure. Un’indisponibilità degli stessi potrebbe causare rallentamenti o blocchi dell’operatività delle strutture sanitarie che potrebbero, in ultima istanza, causare gravi danni alla salute dei pazienti nonché avere impatti significativi per la società.
La cybersecurity dei dispositivi medici
Parte degli attacchi è dovuta all’utilizzo di dispositivi medici sufficientemente obsoleti e privi di requisiti di sicurezza, che costituiscono un vettore d’attacco preferenziale per i criminali informatici (Rapporto Clusit 2024: Cybersecurity in Sanità: tra aumento degli attacchi e innovazioni normative e tecnologiche).
Infatti, i dispositivi medici sono destinati a essere sempre più connessi e si prevede che, entro il 2026, gli ospedali ne impiegheranno circa 7 milioni, contribuendo ad aumentare la superfice di attacco delle strutture sanitarie. Questi dispositivi, se da un lato contribuiscono a migliorare l’assistenza ai pazienti, dall’altro rendono il settore sempre più vulnerabile a potenziali rischi informatici.
Una gestione corretta e sicura dei dispositivi medici, dunque, non può prescindere dall’integrazione delle attività dell’Ingegneria clinica e le attività del reparto Sistemi Informativi e dall’adozione di presidi sia tecnici che organizzativi, durante tutto il ciclo di vita del dispositivo, dalla progettazione fino alla sua dismissione.
Come mettere in sicurezza i dispositivi medici: fasi e attività
Di seguito, una panoramica generale delle fasi da considerare e delle attività da effettuare per assicurare un livello di sicurezza complessivo adeguato, considerando il punto di vista dell’azienda sanitaria che li utilizza, di chi produce i dispositivi e di chi offre servizi sugli stessi.
Per descrivere il ciclo di vita del dispositivo medico, occorrerà dividere l’intero processo in sottofasi, rispettivamente imputabili al produttore e all’azienda ospedaliera.
La fase di progettazione, sviluppo e produzione sarà indirizzata al produttore del dispositivo, mentre le fasi di acquisizione e di gestione del ciclo di vita del dispositivo saranno riferite all’azienda ospedaliera. Nello specifico:
- Progettazione, Sviluppo e Produzione: il produttore di dispositivi definisce e implementa le caratteristiche di sicurezza per la produzione dei dispositivi medici in accordo con i regolamenti e le normative di settore;
- Acquisizione: il produttore si interfaccia con l’azienda ospedaliera al fine di definire e verificare l’implementazione dei requisiti specifici per la fornitura – sia essa di prodotti che di servizi (manutenzione) – la valutazione dei fornitori e l’integrazione di questi aspetti all’interno del framework di sicurezza definito dall’azienda ospedaliera;
- Ciclo di vita del dispositivo: in questa macrofase sono compresi i singoli aspetti di gestione del dispositivo durante tutto il suo ciclo di vita all’interno dell’azienda ospedaliera, che comprendono le fasi di installazione, integrazione e verifica dei requisiti, mantenimento del dispositivo, monitoraggio e decommissioning.
Cybersecurity e dispositivi medici: Progettazione, Sviluppo e Produzione
L’owner di questa fase è il produttore che, nella fase di Progettazione, Sviluppo e Produzione dovrà tenere conto della sicurezza informatica del dispositivo medico in base a una serie di fattori, tra cui, ma non solo, la capacità del dispositivo di fornire e implementare gli obiettivi di sicurezza indicati di seguito nell’ottica di ottemperare al principio di security by design, ai requisiti previsti dal Regolamento UE sui Dispositivi Medici (MDR) , del Regolamento UE sui Dispositivi Diagnostici In Vitro (IVDR) e ai requisiti stabiliti dalla direttiva NIS 2.
Il produttore, in fase di produzione del dispositivo, dovrà svolgere gli opportuni test per garantire che il dispositivo soddisfi determinati elementi e caratteristiche:
- Effettuare test funzionali e di sicurezza;
- Garantire la riservatezza, integrità e disponibilità dei dati;
- Applicare i principi di sicurezza nel ciclo di vita del software;
- Implementare meccanismi di autorizzazione e autenticazione sicuri;
- Verificare l’assenza di vulnerabilità;
- Permettere l’installazione di patch e aggiornamenti sicure e tempestive;
- Introdurre una funzione di logging;
- Effettuare hardening del prodotto.
Il produttore dovrà garantire che il dispositivo medico sia costruito correttamente, che soddisfi l’uso previsto e che sia sicuro e protetto. La verifica di questi requisiti è effettuata tramite attività di test sistematiche svolte dal produttore, che non si esauriscono nelle prime fasi del ciclo di vita del prodotto, ma devono continuare nel momento in cui sono rilasciati aggiornamenti e fino alla fase di dismissione del prodotto. Questo perché le minacce informatiche cambiano continuamente nel tempo e possono essere scoperte nuove vulnerabilità.
La fase di Acquisizione del prodotto
In questa fase, l’azienda ospedaliera si interfaccerà con il produttore e/o fornitore verificando due aspetti differenti in ambito cybersicurezza.
Il primo aspetto è la valutazione della criticità del fornitore/produttore in base ai requisiti di sicurezza definiti dall’azienda ospedaliera in relazione alle attività che dovranno essere svolte o ai prodotti che saranno forniti e nel rispetto delle policy e procedure operative aziendali.
In quest’ottica, l’azienda ospedaliera dovrà valutare:
- La presenza di un sistema di gestione della sicurezza delle informazioni o, quantomeno, l’aderenza a standard internazionali;
- La presenza di controlli di sicurezza mirati alla gestione delle proprie attività verso le strutture ospedaliere che, come noto, trattano dati particolari;
- La definizione di ruoli e responsabilità in termini di sicurezza delle informazioni;
- Il rispetto di clausole contrattuali;
- Le modalità di segnalazioni tempestive di eventuali vulnerabilità rilevate a posteriori;
- La corretta gestione di eventuali sub-fornitori e la conformità di questi ultimi agli standard di sicurezza del fornitore;
- La conformità alle norme quali direttiva NIS2, Regolamento Generale sulla Protezione dei Dati (GDRPR) e via dicendo.
Il secondo aspetto è la valutazione dei requisiti di sicurezza utilizzati nella produzione del prodotto e/o nell’erogazione dei servizi. L’azienda ospedaliera può quindi richiedere al fornitore di prodotti/software le prove, in base all’analisi dei rischi effettuata, per comprendere quali requisiti di sicurezza siano implementati. Tra questi:
- Penetration test e scansione delle vulnerabilità durante lo sviluppo e la produzione;
- Requisiti di integrazione con l’ambiente operativo ospedaliero;
- Processi di code review;
- Profilazione degli utenti in base ai ruoli aziendali;
- Modalità di accesso sicuro;
- Requisiti per il fine vita e il fine supporto (end-of-life ed end-of-support);
- La conformità di norme quali direttiva NIS2, Regolamento Generale sulla Protezione dei Dati (GDPR) e via dicendo;
- Eventuali ulteriori requisiti.
Il fornitore, in questa fase, è tenuto a fornire tutta la documentazione inerente alla fase di Progettazione, Sviluppo e Produzione che attesti che il prodotto risponda ai requisiti di security by design e ai principi di gestione del rischio dell’azienda ospedaliera.
Per ciò che concerne la fornitura di servizi, invece, l’azienda ospedaliera può richiedere le prove riguardanti:
- Analisi e gestione dei rischi;
- Procedure di gestione e risposta agli incidenti;
- Requisiti di integrazione con l’ambiente operativo ospedaliero;
- Modalità di accesso sicuro (ad esempio, requisiti per la connessione da remoto, utilizzo di PC sicuri);
- Requisiti di integrazione con l’ambiente operativo ospedaliero;
- Installazione di patch e aggiornamenti in maniera tempestiva;
- Registrazione e monitoraggio delle attività di manutenzione.
L’azienda sanitaria che utilizza i prodotti e/o usufruisce di servizi di terze parti deve riservarsi la possibilità di effettuare attività di audit o assessment in modo che possa verificare la presenza di controlli di sicurezza che non inficino il proprio livello di cybersecurity.
Cybersecurity e dispositivi medici: ciclo di vita del dispositivo
INSTALLAZIONE
Dopo l’Acquisizione, si effettueranno le attività di installazione.
Durante questa fase, l’azienda ospedaliera provvede a verificare la conformità di quanto acquisito in base a quanto descritto. Se tutti i requisiti risultano soddisfatti, si procederà all’installazione del dispositivo medico all’interno della propria infrastruttura.
In questa fase sono comprese la verifica del perfetto funzionamento del dispositivo, la revisione e la verifica dei requisiti di sicurezza definiti dall’azienda ospedaliera a cui il fornitore dovrà adeguarsi.
Durante la fase di installazione e integrazione, l’azienda ospedaliera, dopo aver confermato la sussistenza dei requisiti di sicurezza, procede a registrare il dispositivo e le informazioni definite in fase di realizzazione del registro con tutte le parti interessate (ad esempio, Ingegneria clinica), effettua la relativa configurazione in un sistema di gestione dell’inventario (ad esempio, CMDB) e provvede ad integrarlo con la rete ospedaliera e con i sistemi di gestione della sicurezza informatica (ad esempio, sistema di scansione delle vulnerabilità, SIEM, SOC, Active Directory e via dicendo).
INTEGRAZIONE E VERIFICA
In questa fase si provvede ad implementare i requisiti di sicurezza definiti in fase di Acquisizione.
La verifica dei controlli di sicurezza deve essere applicata all’intera architettura del sistema sulla base della valutazione del rischio effettuata in fase iniziale. Questo permetterà una corretta integrazione all’interno del framework di cybersicurezza dell’azienda ospedaliera. I requisiti da verificare saranno ovviamente di natura organizzativa, procedurale, tecnica e operativa.
MANTENIMENTO
In questa fase, il fornitore o l’azienda ospedaliera effettua le attività di gestione complessiva del dispositivo medico. Il fornitore che effettua le attività di manutenzione deve attenersi ai requisiti di sicurezza definiti dall’azienda durante la fase di Acquisizione.
Indipendentemente da chi effettua la manutenzione, per garantire un processo di manutenzione efficace, occorre pianificare, tracciare, autorizzare, monitorare e controllare le attività e garantire che i registri di manutenzione o le modifiche siano adeguatamente documentati.
In secondo luogo, durante le attività di manutenzione, lo stato di protezione del dispositivo deve essere mantenuto indipendentemente dall’attività eseguita, perciò, chi la effettua dovrà testare la corretta esecuzione e che questa non abbia modificato la configurazione del dispositivo.
Se l’azienda ospedaliera intende utilizzare dispositivi in fase di end-of-support, deve aggiornare la sua valutazione del rischio e implementare modalità di mitigazione della sicurezza aggiuntiva (ad esempio, segmentazione della rete, firewall) in quanto il dispositivo non sarà più in grado di ricevere aggiornamenti e patch, non garantendo più un adeguato livello di sicurezza e costituendo un pericolo per l’Organizzazione.
MONITORAGGIO
Una fase importante è quella di monitoraggio dei dispositivi medici atta a verificare se ci sia la presenza di accessi anomali o flussi dati non standard in quanto, in tanti casi di incidenti informatici, è proprio una connessione poco sicura dall’esterno a consentire all’attaccante di accedere alla rete.
Inoltre, il monitoraggio deve essere effettuato anche nella verifica di nuove vulnerabilità che possano impattare il dispositivo, ma anche la rete aziendale.
È consigliabile utilizzare sonde specifiche che non impattino sull’operatività dei dispositivi medicali, ma che verifichino quanto descritto all’interno di questa fase.
DECOMMISSIONING
La fase di decommissioning è l’ultima fase nel ciclo di vita del dispositivo medico ma, non per questo, meno importante rispetto alle altre.
I dispositivi medici moderni in fase di dismissione richiedono una gestione più complessa dei dati contenuti in essi, anche alla luce delle nuove normative e regolamenti entrati in vigore.
Indipendentemente dal luogo di archiviazione, i tipi di dati che dovrebbero essere rimossi dal dispositivo end-of-life o end-of-support includono dati clinici e dati personali, dati di ricerca, proprietà intellettuale, dati di sperimentazione clinica e credenziali utente.
Esistono implicazioni significative per la sicurezza informatica dei dispositivi medici end-of-support ed end-of-life che contengono dati sanitari dei pazienti.
Per evitare una violazione della privacy delle cartelle cliniche conservate nei dispositivi medici da dismettere, si raccomanda di fare riferimento alle linee guida di settore inerenti alla sanificazione dei dispositivi (ad esempio, NIST SP 800-88).
Note bibliografiche
- Rapporto 2024 sulla Sicurezza ICT in Italia
- Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023
- MDCG 2019-16 Rev.1 Guidance on Cybersecurity for medical devices
- Health-ISAC – Medical Device Cybersecurity Lifecycle Management
- Medical Device Coordination Group – Guidance on Cybersecurity for medical devices
- IMDRF – Principles and Practices for Medical Device Cybersecurity