Dispositivi medici sotto attacco

A cura de Il Pensiero Scientifico Editore

 

Nel 2013, l’ex vicepresidente statunitense Dick Cheney ha fatto disabilitare la connessione wireless del suo pacemaker: si era scoperto che, attraverso di essa, qualche hacker avrebbe potuto entrare nel sistema di controllo del dispositivo e alterarne il funzionamento (1).

Nel 2017, la Food and Drug Administration (FDA) statunitense ha lanciato un avviso di sicurezza che riguardava quasi mezzo milione di statunitensi: alcuni pacemaker prodotti dalla Abbott avevano una falla di sicurezza, che avrebbe permesso a malintenzionati di modificare il ritmo dei battiti o di far scaricare molto in fretta la batteria (2).

Sono due esempi – illustrati sul BMJ dal giornalista Jo Best (3) – dei rischi concreti dei nuovi dispositivi medici impiantabili. Sempre più spesso questi apparecchi sono collegati in wireless all’esterno, ad esempio per trasmettere all’ospedale i dati fisiologici rilevati, o per ricevere dai medici istruzioni di funzionamento; ma in questo modo sono anche a rischio di intrusione e manomissione da parte di hacker malintenzionati.  Finora, rassicura Best, nonostante parecchi avvisi di vulnerabilità scoperte, non si è verificato alcun attacco concreto e nessun paziente è stato danneggiato. Ma il rischio esiste e riguarda virtualmente tutti i dispositivi con collegamento wireless.

Mantenere in sicurezza questi apparecchi è difficile: di solito hanno poca memoria e poca potenza di calcolo, restano impiantati in sede per anni diventando tecnologicamente vecchi e quindi più vulnerabili, spesso non criptano le comunicazioni per risparmiare batteria, e molte volte non hanno meccanismi per autenticare l’identità di chi accede al sistema.

Il lato buono è che per gli hacker manometterli può essere poco pratico, perché spesso per stabilire il collegamento dovrebbero avvicinarsi molto al paziente che li indossa, rendendo difficili attacchi di massa; e può essere poco utile, perché questi strumenti non offrono grandi possibilità fare soldi, per esempio tramite estorsioni. Tuttavia il rischio resta, anche per i possibili danni collaterali di attacchi diretti contro altri dispositivi: come quando nel 2017 il ransomware WannaCry (4), che aveva altri bersagli, si è diffuso fra molti vecchi computer ospedalieri e ha disabilitato anche i dispositivi a questi connessi.

“Se ne parlerà sempre più. Ci sarà chi seminerà panico e paure improprie, e chi sminuirà i rischi. E molti si rivolgeranno ai loro medici per capirci qualcosa”, pronostica al BMJ Rohin Francis, cardiologo esperto di tecnologie all’University College London. Resta però difficile per i medici valutare rischi e pericoli, anche perché i produttori, in parte per riserbo e in parte per non favorire i malintenzionati, tendono a parlare poco dei meccanismi di sicurezza applicati, dei rischi possibili, delle falle scoperte e dei rimedi attuati; ma così rendono anche difficile agli utenti farsi un’idea accurata dei pericoli.

Negli ultimi anni, tuttavia, il problema è stato preso sempre più sul serio e ora le norme stanno cambiando. La FDA statunitense ha già emanato guide alla sicurezza dei dispositivi (5), e in Europa una nuova regolamentazione sui dispositivi medici (6), che entrerà in pieno vigore a maggio, affronterà anche questo tema, stabilendo criteri e standard minimi di sicurezza.

Servirà comunque la collaborazione di tutti, per gestire gli aspetti tecnologici ma anche per educare la popolazione in generale e informare i pazienti. “I medici non sono le persone giuste per valutare i rischi, perché non sono le figure più esperte in questo ambito. Ci vorrà uno sforzo da più parti”, osserva Francis.

 

Bibliografia

  1. Yes, terrorists could have hacked Dick Cheney’s heart. Washington Post, 21 ottobre 2013.
  2. Firmware update to address cybersecurity vulnerabilities identified in Abbott’s (formerly St Jude Medical’s) implantable cardiac pacemakers. FDA safety communication, 29 agosto 2017.
  3. Best J. Could implanted medical devices be hacked? BMJ 2020;368:m102
  4. Medical devices hit by ransomware for the first time in US hospitals. Forbes, 17 maggio 2017.
  5. Postmarket management of cybersecurity in medical devices. 2016.
  6. European Union. Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices, amending directive 2001/83/EC, regulation (EC) No 178/2002 and regulation (EC) No 1223/2009 and repealing council directives 90/385/EEC and 93/42/EEC. 2017.