Cybersecurity nei dispositivi biomedicali: linee di azione e ambiti di intervento
Un’indagine condotta da Deloitte nel 2016 in 24 strutture pubbliche e private dislocate in 9 Paesi nell’area EMEA, inclusa l’Italia, ha confermato che il tema della cybersecurity nei dispositivi biomedicali connessi in rete è quanto mai attuale.
Cybersecurity nei dispositivi biomedicali: un’emergenza crescente
Le segnalazioni di problemi di sicurezza su tali dispositivi, con potenziali rischi per la salute dei pazienti, sono aumentate negli ultimi anni, come è possibile desumere dal sito della Food & Drug Administration (FDA), l’ente governativo statunitense che si occupa della regolamentazione e della sicurezza dei prodotti alimentari, farmaceutici, biologici e biomedicali. Anche il Ministero della Salute italiano ha reso disponibile già da qualche tempo sul proprio sito web un sistema di segnalazione di incidenti di sicurezza sui dispositivi medici.
Linee guida FDA e GDPR: focus sulla sicurezza dei dispositivi medici
A confermare l’attenzione dell’ente americano sul tema, e dopo aver emesso ad ottobre 2014 le linee guida sulla gestione della cybersecurity nei medical devices prima della loro commercializzazione (fase di “pre market”), sono state pubblicate a dicembre 2016 analoghe linee guida anche per la fase di “post-market”, nell’ottica di garantire un adeguato livello di protezione dei dispositivi biomedicali lungo tutto il loro ciclo di vita, dalle fasi iniziali di sviluppo e progettazione fino al supporto post vendita.
In tale solco anche il recente Regolamento Generale Europeo sulla Protezione dei Dati Personali (General Data Protection Regulation – GDPR), che diverrà applicabile in tutti i Paesi UE a partire da maggio 2018, enunciando il principio-chiave della “privacy by design”, sancisce la necessità di garantire la protezione dei dati – ivi inclusi ovviamente i dati sanitari – fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, richiedendo agli enti di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti degli interessati.
Digitalizzazione e rischi per la cybersecurity nel settore sanitario
Il GDPR e le Linee Guida FDA dimostrano l’attenzione del regolatore nei confronti delle misure di sicurezza da adottare a protezione dei dispositivi biomedicali, dovuta anche alla crescente digitalizzazione del settore, che, se da un lato comporta un miglioramento della qualità dei servizi offerti dagli operatori sanitari, anche in ragione dell’affermazione di nuovi modelli di care-delivery (e.g. virtual care, mobile health, wearable and implantable patient monitoring devices), espone di converso gli operatori stessi ad attacchi cyber sempre più frequenti e sofisticati, il cui obiettivo principale è il furto di proprietà intellettuale e di dati personali.
Tipologie di dispositivi biomedicali connessi e loro vulnerabilità
Le classi di dispositivi biomedicali connessi in rete spaziano ormai dai prodotti consumer (e.g. FitBit), tipicamente connessi tramite bluetooth, ai cosiddetti “wearable external device” (e.g. pompe da insulina portatili), che solitamente utilizzano protocolli wireless di comunicazione proprietari, ai dispositivi “internally embedded” (e.g. pacemaker) che utilizzano protocolli bluetooth o proprietari, fino ad arrivare ai cosiddetti “stationary medical device” (e.g. cardio-monitoring o chemotherapy dispensing station), che utilizzano le reti WiFi delle strutture sanitarie o delle abitazioni dei pazienti stessi.
Strategie di cybersecurity per il settore sanitario
I settori pubblico e privato sono pertanto chiamati a definire e attuare programmi di cybersecurity volti ad innalzare il livello di protezione e sicurezza dei dispositivi e dei dati da essi trattati, agendo a livello organizzativo, di processo e tecnologico.
Risulta pertanto in primis determinante stabilire una chiara definizione dei ruoli e delle responsabilità in ambito sicurezza e privacy all’interno dell’articolazione organizzativa e con riferimento al sistema di controllo interno e di gestione dei rischi di cui l’ente si è dotato o intende dotarsi, nel rispetto dei princìpi di segregazione funzionale dei compiti. La gestione della sicurezza e della compliance privacy necessitano infatti di competenze distintive e di leve gestionali – determinate necessariamente anche dalla collocazione delle relative funzioni agli opportuni livelli gerarchici dell’organizzazione – che consentano ai soggetti preposti di prendere decisioni consapevoli e di essere conseguenti nelle relative azioni da perseguire, nel rispetto delle prerogative assegnate e delle disposizioni regolamentari cogenti e interne.
Implementazione di processi e politiche di sicurezza
Dal punto di vista dei processi operativi, si rende necessario dotarsi di un corpus di policy e protocolli di sicurezza allineato ai requisiti normativi di riferimento e alle migliori pratiche di sicurezza delle informazioni, improntando la stesura della documentazione ai princìpi di chiarezza ed esaustività e facendo leva sugli standard di riferimento universalmente accettati – quali a titolo esemplificativo e non esaustivo ISO27001:2013, NIST Cyber Security Framework (CSF), NIST SP 800-53 – e di settore (e.g. Health Insurance Portability and Accountability Act, Health IT for Economic & Clinical Health Act, Linee Guida FDA, etc.).
Le politiche e i protocolli da adottare devono indirizzare le tematiche di sicurezza e protezione degli asset (sistemi, dispositivi o dati) lungo tutto il loro ciclo di vita, secondo il paradigma delle 5 “Function” del NIST CSF – Identify, Protect, Detect, Respond, Recover – che forniscono una vista strategica della cybersecurity all’interno dell’organizzazione.
Le principali aree da considerare riguardano la gestione del ciclo di vita delle utenze e dei profili di accesso ai sistemi/dispositivi, la gestione degli incidenti di sicurezza, i piani di salvataggio e ripristino dei dati, lo sviluppo sicuro del codice, l’encryption dei dati “critici” (i.e. dati sensibili), il processo di aggiornamento/patching e di gestione delle vulnerabilità dei sistemi, la disponibilità di sistemi antivirus/antimalware, la segregazione degli ambienti di elaborazione, la gestione sicura del ciclo di vita del dato, dalla sua classificazione a tutte le fasi di handling.
Soluzioni tecnologiche per la cybersecurity in ambito sanitario
La tecnologia, intesa come fattore abilitante per la sicurezza, è chiamata a facilitare l’adozione delle politiche e delle procedure di sicurezza definite.
A tal fine gli enti devono dotarsi di architetture ICT resilienti e in grado di supportare la segregazione dei dati e dei diversi ambienti di elaborazione (sviluppo, test, quality, produzione), in modo ad esempio da garantire che i dispositivi biomedicali connessi in rete siano attestati su reti diverse e protette da quelle generali dell’ente; i processi di aggiornamento dei sistemi e delle configurazioni e di gestione delle vulnerabilità devono essere supportati da tecnologie aggiornate e automatizzate, così come sistematicamente aggiornati devono essere i sistemi antivirus/antimalware; le procedure di identificazione, autenticazione e autorizzazione degli utenti devono preservare la confidenzialità dei dati ed essere basate sui princìpi del need-to-know e least privilege.
Nel caso di dispositivi biomedicali costituiti da una componente software, è fondamentale che lo sviluppo e l’aggiornamento del relativo codice sorgente sia improntato ai paradigmi SSDLC – Secure Software Development Life Cycle.
Conclusioni: l’importanza della cybersecurity per la salute dei pazienti
L’evoluzione tecnologica del settore, che certamente costituisce un validissimo e ormai imprescindibile ausilio in fase di diagnosi e per la somministrazione di terapie farmacologiche, richiede parimenti una grande attenzione sul tema della cybersecurity da parte di tutti i soggetti interessati del settore pubblico e privato, finalizzata a preservare la centralità della salute e sicurezza del paziente, che dimostra una sempre maggiore consapevolezza e partecipazione nelle fasi di definizione e somministrazione delle cure mediche, determinate anche dalla facilità di accesso a dati e informazioni ormai pubblicamente disponibili (“open data”).
Suggerimenti Bibliografici:
- Content of Premarket Submissions for Management of Cybersecurity in Medical Devices – Guidance for Industry and Food and Drug Administration Staff
http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM356190.pdf - Postmarket Management of Cybersecurity in Medical Devices – Guidance for Industry and Food and Drug Administration Staff http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM482022.pdf
A cura di: Fabio Bonanni
Partner di Deloitte Risk Advisory con esperienza ultradecennale nella gestione e nel deployment di programmi di operational risk management e cybersecurity per grandi gruppi industriali nazionali e internazionali. Laurea in Ingegneria Elettronica conseguita presso il Politecnico di Milano, Master in Tecnologie dell’Informazione conseguito presso il Cefriel-Politecnico di Milano, Certificato CISSP, CISA, ITIL. Referente per il network Deloitte Italia dei Cyber Risk Services nel settore Life Sciences & Health Care.