La sicurezza informatica dei Dispositivi Medici sta diventando , col passare del tempo, un fattore che viene sempre più seriamente preso in considerazione a livello internazionale.

Infatti la vulnerabilità dei Dispositivi Medici in relazione agli attacchi informatici è ormai un elemento di criticità conclamata, soprattutto allorquando la corruzione o la falsificazione dei parametri clinici , in seguito ad un intervento malevolo al sistema informatico, può significare un grave danno ai pazienti che utilizzano tali dispositivi per la loro terapia.

Recenti ricerche sia in Europa che negli Stati Uniti hanno messo in evidenza che nei Sistemi Sanitari Integrati l’anello debole per quanto riguarda la Security, è quasi sempre rappresentato dai Dispositivi Medici che possono costituire il “cavallo di troia” in grado di far contaminare l’intera catena di tali  Sistemi.

Per questo motivo,  FDA (Food & Drug Administration), l’ente americano che governa la commercializzazione dei Dispositivi Medici in USA, sta diventando sempre più consapevole  dell’importanza che l’argomento “Security” sta assumendo nella filiera commerciale dei Dispositivi Medici. Questo ha quindi portato  FDA ad emettere dapprima  le linee guida sulla gestione della cybersecurity nei medical devices  per la fase di fase di “pre market”,  e successivamente ha emesso  analoghe linee guida anche per la fase di “post-market”, nell’ottica di garantire un adeguato livello di protezione dei Dispositivi Medici lungo tutto il loro ciclo di vita, dalle fasi iniziali di sviluppo e progettazione fino al supporto post vendita

In relazione a tali considerazioni la corretta via che dovrebbe essere seguita dalle aziende produttrici di Dispositivi Medici è quella di dotarsi di un  Sistema di Gestione della Sicurezza delle Informazioni allo scopo di realizzare i loro prodotti utilizzando  strutturate modalità operative che permettano di allinearsi in modo efficace alla continua evoluzione tecnologica della Cyber Security.

Vediamo quali potrebbero essere gli elementi principali di tale Sistema di gestione.

1 POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

Ogni azienda che realizza Dispositivi Medici dovrebbe  impostare una propria Politica per la Sicurezza delle Informazioni (da affiancare o eventualmente integrare nella Politica per la Qualità) che preveda ad esempio il fatto di:

  1. considerare sempre la Sicurezza Informatica come elemento fondamentale della progettazione di ogni dispositivo (Security by Design), assicurando che l’integrità dei dati sia una priorità assoluta quanto quella di un uso clinico sicuro;
  2. effettuare la mappatura del ciclo di vita dei dati in modo tale che ci sia  consapevolezza di quali siano i dati  gestiti e come vengono elaborati dal dispositivo, al fine di realizzare opportune barriere per i cyber attacchi;
  3. effettuare per ogni dispositivo un’ analisi dei rischi per la Cybersecurity, che tenga conto delle possibili minacce e delle vulnerabilità, ripetendo sistematicamente tale analisi in funzione di nuove ed emergenti minacce;
  4. educare i progettisti, soprattutto software, sull’importanza della protezione dei dati e della sicurezza informatica attraverso ad esempio la creazione di codice  affidabile (Security by Default);
  5. assicurarsi che ogni dispositivo possa essere facilmente aggiornabile e che tale aggiornamento sia effettuato al fine di  salvaguardare tale dispositivo da nuovi rischi e minacce;
  6. assicurarsi che ogni dispositivo, sia accuratamente testato simulando, ad esempio, possibili cyber attacchi per valutare se le risposte sono in linea con i requisiti e le aspettative definite;
  7. assicurarsi che chi ha l’incarico di installare i dispositivi nella loro destinazione finale, sia pienamente consapevole dei relativi rischi di sicurezza della informazione e che siano determinati specifici controlli al fine di gestirli o ridurli in modo appropriato;
  8. implementare piani di risposta ad eventuali attacchi alla Sicurezza Informatica di ogni dispositivo commercializzato, in modo che in caso di violazione dei dati, questa situazione possa essere gestita in modo efficace;
  9. garantire anche che qualsiasi infrastruttura informatica aziendale di supporto sia stata Validata in funzione dei rischi connessi alla Sicurezza delle Informazioni;
  10. tenersi continuamente aggiornati sulle novità normative e regolamentari legate alla Cybersicurezza  dei Dispositivi Medici.

2 CICLO DI VITA DI UN DISPOSITIVO MEDICO

Una corretta gestione della Security, a partire dalla Cybersecurity, implica che la realizzazione di ogni nuovo dispositivo sia gestita attraverso specifiche fasi (ciclo di vita) che permettano un efficace  controllo della progettazione, produzione, installazione e manutenzione post vendita in relazione ai rischi  connessi alla Cybersecurity.

A) Valutazione iniziale del Dispositivo

La prima considerazione da fare, una volta definiti i Requisiti Funzionali del Dispositivo Medico, è quella di stabilire il grado di rischiosità del Dispositivo Medico rispetto alla Cybersecurity

Generalmente vengono definiti due livelli all’interno dei quali classificare il Dispositivo Medico:

  1. Livello 1 / Tier 1 (rischio più elevato) in cui rientrano i dispositivi in grado di connettersi ad un altro prodotto medico o non-medico, ad una rete e/o ad Internet  i quali potrebbero causare danni diretti al paziente;
  2. Livello 2 / Tier 2 (rischio standard) per i dispositivi rimanenti che operano generalmente in modalità Stand alone;

Sulla base del livello di appartenenza, dovranno essere attuati interventi di prevenzione e contrasto che potranno coinvolgere non solo il singolo dispositivo, ma anche l’ambiente circostante in cui sarà inserito

La seconda considerazione riguarda quella di individuare ed elencare, analizzando nel dettaglio i requisiti funzionali e costruttivi del dispositivo, quali possono essere gli elementi sia Hardware sia Software che possono essere coinvolti in problemi collegati alla Cybersecurity o che, a loro volta possono essere veicolo di interventi malevoli in un Sistema Sanitario Integrato

B) Analisi dei Rischi

In questa fase fondamentale, che potrà essere integrata nella più generale Analisi dei Rischi del Dispositivo (richiesta sia dalla ISO 13485:2016 sia dalle direttive FDA), si dovranno fare specifiche valutazioni sulle possibili minacce e vulnerabilità che direttamente o indirettamente possono evidenziarsi nei punti critici individuati e che possono riguardare :

  1. l’impatto che tali minacce e vulnerabilità possono avere sulla funzionalità del dispositivo, per gli utilizzatori e per i pazienti. In particolare i produttori dovrebbero individuare un criterio per valutare e classificare la gravità dei possibili danni dei pazienti
  2. la probabilità che una cyber minaccia si evidenzi oppure che una vulnerabilità sia sfruttata da entità malevoli;
  3. la determinazione del grado di rischio e delle adeguate strategie di mitigazione;
  4. i criteri di accettazione dei rischi residui e delle azioni di controllo di tali rischi.
C) Progettazione

La progettazione del dispositivo dovrà quindi necessariamente tener conto delle azioni emerse che permettono una corretta gestione della Sicurezza delle Informazioni, a partire dalla integrazione dei Requisiti Funzionali del Dispositivo Medico con requisiti specifici connessi alla Cybersecurity

La progettazione  dovrebbe cercare di creare i presupposti per  rilevare e rispondere in modo appropriato a quelli che potrebbero essere i rischi dinamici della Cybersecurity.

E’ quindi fondamentale  realizzare una architettura progettuale che faciliti l’implementazione  di quegli aggiornamenti che permettono una corretta gestione della Sicurezza delle Informazioni incluse le eventuali soluzioni alternative di emergenza. Ad esempio:

  • implementare funzionalità di progettazione che consentano di rilevare e riconoscere le situazioni che possono compromettere la Sicurezza delle Informazioni durante il normale utilizzo;
  • consentire la gestione di “routine” e la scansione antivirus in modo tale da non compromettere le prestazioni essenziali del dispositivo;
  • consentire la registrazione degli eventi avversi allo scopo di poter effettuare successive analisi anche in modalità automatizzata ( es. IDS Intrusion Detection System oppure NIDS Network intrusion detection systems )
  • inserire diagnostiche che consentano di informare gli utenti sul fatto che una potenziale minaccia alla sicurezza è stata rilevata
D) Acquisti

La qualità degli approvvigionamenti e la relazione con i fornitori è un  aspetto molto importante perché  la realizzazione di Dispositivi Medici non può generalmente prescindere dalla acquisizione esterna di componenti hardware, software, e di servizi  connessa alla Security

Il primo aspetto riguarda naturalmente la scelta di fornitori idonei sulla base di ben definiti criteri ( da inserire nei parametri di qualifica del proprio Sistema Qualità) che devono generalmente riguardare non solo la competenza e la specifica esperienza, ma anche loro capacità di adeguamento alla innovazione che la cybersecurity impone.

Ogni acquisto dovrà essere poi governato da un corretto ordine che identifichi tutti gli aspetti correlati al bene o al servizio di cui si vuole l’approvvigionamento e soprattutto si identifichino le tipologie di controllo in accettazione che dovranno essere effettuate  soprattutto quando tali controlli sono fattibili solo a dispositivo completato e magari già installato.

E) Produzione e Controlli

In questa fase vanno implementate le soluzioni individuate in fase progettuale ed è necessario descrivere ed effettuare test che in modo efficace mettano in rilievo ad esempio:

  • le prove sul grado di sicurezza dei componenti esterni integrati nel dispositivo
  • test di vulnerabilità e robustezza
  • test sulle possibili penetrazioni di elementi malevoli
F) Rilascio ed installazione

Questa fase riguarda in particolare la definizione, implementazione ed effettuazione dei test successivi alla installazione presso l’utente finale e che permettano (soprattutto per i dispositivi di Livello 1), di simulare le situazioni malevoli che potrebbero verificarsi dopo la loro integrazione nel Sistema Sanitario Integrato

Inoltre in questa fase è necessario individuare e trasmettere al cliente /utente  le indicazioni necessarie per garantire un costante ed efficace livello di Sicurezza delle Informazioni anche attraverso periodiche operazioni di salvaguardia (es back up) ed eventuali procedure per interventi di emergenza.

3 GESTIONE DEL POST VENDITA

Poiché i rischi di sicurezza informatica per i Dispositivi Medici sono in continua evoluzione, non è possibile attenuarne completamente gli effetti solo attraverso azioni preventive attuate prima della commercializzazione del Dispositivo Medico.

Pertanto, è essenziale che i produttori implementino processi e programmi di intervento che garantiscano un certo grado di affidabilità, nel contrasto alle eventuali situazioni malevoli, anche successivamente alla consegna ed installazione del dispositivo

Questo significa che pur tenendo conto che, una volta installato il Dispositivo Medico, la sua Sicurezza Informatica è una responsabilità che deve essere condivisa tra le parti interessate quali ad esempio le strutture di assistenza medica, i pazienti, i fornitori ed i produttori di Dispositivi Medici, é su questi ultimi che comunque si accentra maggiormente tale responsabilità.

Quindi è necessario che i produttori di tali dispositivi effettuino attività di sorveglianza che garantisca una continua affidabilità del dispositivo per quanto riguarda soprattutto la Cyber Security .

Tali interventi potrebbero tradursi in:

A) Monitoraggio del dispositivo

Che consiste in un sistema di controllo, generalmente effettuato da remoto e che deve ad esempio:

  • monitorare le fonti che forniscono le informazioni da e verso il Dispositivo Medico al fine di identificare e di rilevare vulnerabilità e rischi;
  • individuare e gestire le situazioni di emergenza;
  • valutare il rischio di vulnerabilità soprattutto in relazione al potenziale danno per il paziente;
  • effettuare sistematici interventi di “igiene” della Sicurezza Informatica in modo da ridurre il grado di rischio, anche quando tale rischio è ritenuto essere accettabile.

Tali interventi devono essere registrati attraverso Report periodici

B) Interventi Correttivi

A fronte di segnalazioni dal campo sia da parte dell’utente/cliente sia da parte dei sistemi di monitoraggio devono essere effettuati :

  • interventi di modifica progettuale del dispositivo;
  • convalide degli aggiornamenti introdotti per la riduzione delle vulnerabilità;
  • sistematiche analisi dei rischi collegati alla Cyber Sicurezza sulla base, oltre che delle informazioni provenienti dal campo, anche delle informazioni provenienti da altre fonti (es. Centri Specialistici, FDA ecc.)
  • Identificazioni ed implementazioni di azioni e controlli compensativi per mitigare adeguatamente il rischio di vulnerabilità alla cyber sicurezza, allorquando i nuovi interventi di progettazione potrebbero non essere fattibili o immediatamente praticabili.

4 PRINCIPALI NORMATIVE E LINEE GUIDA

Chiudiamo questo contributo indicando che, per i produttori di Dispositivi Medici, esistono diversi documenti che possono essere utilizzati come modelli di riferimento per una corretta gestione della Sicurezza dell’Informazione con particolare riguardo alla Cyber Security.

  1. EN 62304: 2006 : standard per i processi del ciclo di vita del software che fornisce indicazioni per la realizzazione di un software robusto ed affidabile anche dal punto di vista della Security
  2. FDA Management Security in Medical Device: guida che identifica i problemi di Cyber Security  e come tali problemi dovrebbero essere trattati sia  nelle varie fasi di pre-vendita sia nella fase di post vendita
  3. IEC TR 80001-2-2 Edition 1.0 2012-07 Applicazione della gestione dei rischi per le reti informatiche che incorporano dispositivi medici
  4. IEC 62443:2012– Reti di comunicazione industriale – Rete e sicurezza del sistema
  5. IEC ISO 29147 Tecnologia dell’informazione – Tecniche di sicurezza – Divulgazione delle vulnerabilità
  6. ISO 30111 Tecnologia dell’informazione – Tecniche di sicurezza -Processi di gestione delle vulnerabilità.
De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Negli ultimi tempi mi sto occupando soprattutto di Sistemi Integrati, di Marcature CE e di Dispositivi Medici su tematiche che riguardano la Validazione del Software per ISO13485, Regolamenti FDA, MDR , ANNEX 11 e GAMP Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply