Negli ultimi anni si è assistito a un crescente interesse verso l’impiego pervasivo di sistemi ICT in ambito medico con l’obiettivo di sviluppare servizi intelligenti che innalzino l’efficienza e la qualità. dell’healthcare. Il concetto di Ospedale 4.0 (Hospital 4.0 – H4.0), declinazione del concetto di Industria 4.0 al mondo dell’ospedale, è  l’istituzionalizzazione di tale trend. Nel modello Ospedale 4.0 questo fenomeno sostanziato dall’introduzione di componenti IoT (Internet of Things – Internet delle cose) all’interno dei dispositivi e degli ambienti dell’ospedale, e dall’impiego di una crescente automazione a supporto dei servizi e dei processi di decisione e gestione dell’ospedale. L’Ospedale 4.0 un sistema dinamico in cui l’ambiente, i dispositivi e i processi dell’ospedale tradizionale vengono interfacciati con componenti interni ed esterni, a controllo diretto o indiretto dell’Ospedale. Tali componenti possono essere fisici (hardware) o computazionali (software) e il loro compito è generare/processare informazione e, nei casi pi. avanzati, realizzare scelte e avviare/controllare processi e macchinari. L’Ospedale 4.0., quindi, un sistema complesso, distribuito, dai confini sfumati e costituito da elementi fisici e cyber, ovvero quello che in gergo tecnico viene detto ambiente cyber-fisico (CPS –Cyber-Physical System). All’interno di tale ambiente si muovono informazioni delicate legate non solo alla riservatezza e sicurezza (privacy e security) del paziente e del personale presente nell’Ospedale, ma anche all’incolumità (safety)

degli stessi. La delicatezza delle informazioni gestite e la loro alta appetibilità da parte di terze parti criminali, rende il problema della sicurezza nell’Ospedale 4.0 di primaria importanza.

La natura cyber-fisica dell’Ospedale 4.0 rende tali sistemi particolarmente vulnerabili non solo sotto l’aspetto tecnico, ma anche sotto l’aspetto organizzativo e sociale. Infatti, l’estrema variabilità in termini di sistemi, protocolli e personale complica la creazione di un ambiente robusto contro gli eventi esterni e i comportamenti poco accorti degli utenti, e poco sicuro contro azioni deliberatamente criminali.

Le diverse minacce che l’Ospedale 4.0 deve poter fronteggiare possono essere di tre categorie principali: (i) minacce determinate da fenomeni esterni, (ii) minacce determinate da fattoti umani e (iii) minacce dovute a malfunzionamenti di alcuni sottosistemi.

Minacce determinate da fenomeni naturali o incidenti

Le minacce determinate da eventi esterni sono originate da fenomeni naturali (terremoti, alluvioni, incendi) o antropici (incidenti, guasti, ecc.) che, degradando il funzionamento di alcune componenti dell’Ospedale o delle infrastrutture esterne all’Ospedale, possono produrre degli effetti a cascata con rapido deterioramento, se non cancellazione, dei servizi offerti. Tali scenari, che pur erano presenti anche in un Ospedale tradizionale, tendono ad essere amplificati in uno scenario di Ospedale 4.0 stante il maggior utilizzo di risorse esterne (soprattutto per quel che riguarda la comunicazione e l’accesso alle informazioni) ma anche alla luce della sempre più crescente presenza disservizi erogati sul territorio dall’Ospedale a partire dalle attività di tele-medicina.

Anche senza ipotizzare scenari catastrofici, occorre considerare come anche un semplice sovraccarico dei servizi di comunicazione, legato ad un guasto ovvero ad una anomalo aumento delle richieste, può avere su applicazioni di telemedicina, con la creazione di difficoltà che possono sfociare nell’impossibilità di garantire il costante monitoraggio dei parametri vitali, con conseguente necessità di “internalizzare” in via precauzionale i pazienti non più gestibili da remoto.

Ovviare a questo e altri problemi di questo tipo è una questione molto delicata in cui concorrono motivazioni e modelli di gestione diversi, un’approfondita analisi dei rischi che possono gravare sull’Ospedale e un’attenta valutazione dei costi.

Minacce determinate da fattori umani

Le minacce determinate da fattori umani includo minacce dirette e indirette determinate da persone che, volontariamente o involontariamente, creano condizioni di rischio per persone, dispositivi e servizi dell’Ospedale.

Le minacce dirette sono quelle che vengono determinate da persone o organizzazioni che deliberatamente, per i motivi più svariati, ma tipicamente a scopo di lucro, vogliono mettere a rischio gli asset dell’Ospedale. L’esempio più conosciuto di questa tipologia di rischio è costituito dai Malware, di cui i ransomware sono probabilmente la realizzazione più nota, più diffusa e, al momento, più rischiosa per il tipo di asset coinvolto. Gli attacchi ransomware sono un esempio emblematico di un vettore informatico il cui ingresso e diffusione all’interno dell’Ospedale è determinato da una congiunzione di vulnerabilità sociali, quali la cattiva preparazione dei dipendenti, e

tecnologiche, quali sistemi di sicurezza non sufficienti e/o non sufficientemente aggiornati. I ransomware sono, però, solo una delle possibili tipologie di malware che possono diffondersi facilmente, sfruttando, ad esempio, la maggiore superficie di attacco informatica generata dalla diffusione del paradigma IoT, e arrecare danni all’Ospedale 4.0. Accanto ai ransomware, infatti, troviamo altri degni e altrettanto pericolosi compagni quali gli spyware, i worms, i trojan, i virus, i rootkit, gli exploitkit e le botnet.

Le minacce dirette non si limitano solo alla diffusione di software malevolo all’interno dei dispositivi dell’Ospedale, ma possono includere altre minacce anche molto gravi quali (i) la riprogrammazione non autorizzata dei dispositivi, specialmente quelli IoT, che può avvenire, ad esempio, durante le fasi di manutenzione all’esterno dell’ospedale, (ii) il furto di dispositivi e dati, (iii) attacchi di tipo DoS e DDoS, (iv) lo sniffing, (v) lo skimming e attacchi sociali.

Una considerazione particolare va fatto con riferimento alle minacce connesse con le Operational Technologies (OT) e più in generale con i dispositivi bio- medicali. Le OT sono quell’insieme di tecnologie hardware e software deputate alla supervisione e al corretto funzionamento di tutti gli impianti e delle principali apparecchiature di un Ospedale. I fenomeni di pervasiva diffusione dei sistemi ICT hanno fatto si che questi sistemi, un tempo operanti su reti e con protocolli e sistemi i solati proprietari, siano oggi fortemente interconnessi con la rete IT e quindi potenzialmente esposti alle minacce cyber. Per le loro peculiarità una eventuale compromissione cyber può comportare non solo una interruzione nell’erogazione dei servizi, con conseguente necessità di utilizzare sistemi ausiliari e/o di emergenza, ma anche un loro non corretto funzionamento che potrebbe avere un potenziale impatto sulla saluta dei pazienti e dei dipendenti. In questo contesto ancora più drammatica potrebbe essere la compromissione dei dispositivi biomedici con conseguente potenziale alterazione sia del risultato diagnostiche che di quello terapeutico.

Le minacce indirette occorrono per conseguenza di processi inadeguati e cattiva preparazione del personale e riguardano la cattiva configurazione o il cattivo utilizzo dei sistemi. Tale problema, già presente nell’ospedale tradizionale, è esacerbato in un contesto di Ospedale 4.0, dove i cattivi comportamenti possono facilmente degenerare in disservizi o apertura di falle per attacchi di tipo diretto. L’esempio principe di una minaccia di questo tipo è l’impiego di dispositivi personali in zone protette, ovvero l’impiego del paradigma BYOD (Bring Your Own Device). Un dispositivo personale, per definizione, è un dispositivo esterno all’Ospedale che può, però, muoversi a stretto contatto con dispositivi interni e in zone in cui la sicurezza informatica è più blanda. Di conseguenza, un dispositivo personale compromesso è un vettore di infezione/ vulnerabilità particolarmente delicato e difficilmente controllabile.

Ovviare alle minacce determinate da fattori umani è particolarmente complicato per l’estrema variabilità che questo tipo di minacce può presentare. Da una parte è necessario prevedere fasi di preparazione e aggiornamento periodico del personale dell’Ospedale. Dall’altra, è auspicabile un continuo aggiornamento e verifica dei sistemi e dei processi dell’Ospedale e un controllo stringente su tutti quei vettori che, inconsapevolmente, possono essere condotti in aree delicate dell’ambiente ospedaliero. Questa attività deve includere anche i fornitori dell’Ospedale al fine di evitare che eventuali comportamenti non adeguati commessi al di fuori del perimetro fisico dell’Ospedale possa introdurre all’interno dello stesso significative problematiche di sicurezza.

L’Ospedale 4.0 è un sistema di componenti variamente interconnessi e interdipendenti. Data l’alta interconnessione, malfunzionamenti di componenti isolati possono facilmente degradare in disservizi di grande entità, con compromissione di servizi anche delicati. In tale contesto bisogna distinguere due grandi categorie di malfunzionamenti: i malfunzionamenti determinati da sistemi interni e malfunzionamenti determinati da sistemi esterni. I primi riguardano componenti sotto il controllo diretto dell’Ospedale e includono (i) la caduta di servizi software (PACS, software amministrativo, …), (ii) la caduta di sistemi hardware e (iii) di interconnessione interna e (iv) il sovraccarico dei sistemi.

Spesso tali malfunzionamenti sono collegati a cattive politiche di monitoraggio, manutenzione e aggiornamento. La seconda tipologia di malfunzionamenti è determinata da sistemi esterni che offrono servizi all’Ospedale quali la fornitora di elettricità, di servizi Internet e di servizi cloud. Ovviamente una sospensione temporanea, parziale o completa, fortuita o dolosa, di questi servizi ha delle ricadute su un Ospedale in cui la componente digitale diventa sempre di più il motore del suo funzionamento. Ovviare alla prima tipologia di minacce richiede forti investimenti da parte del sistema Ospedale per dotarsi e alimentare una struttura di monitoraggio, controllo, gestione e reazione alle minacce riguardanti tutti i sistemi sotto il suo controllo. Per mitigare l’impatto di disservizi esterni, l’Ospedale deve dotarsi di una certa autonomia sistemica (gruppi di continuità, duplicazione interna di porzioni di servizi esterni, …) con costi di apparati e di gestione che devono essere oggetto di un’attenta analisi costi/benefici.

Considerazioni

Il paradigma dell’Ospedale 4.0 rappresenta una grande opportunità per migliorare e contemporaneamente rendere più efficienti i servizi del mondo healthcare. La profonda trasformazione che questo paradigma comporta nel modello di Ospedale tradizionale, però, incrementa il livello di fragilità che questa tipologia di sistemi presenta. Una superficie di attacco più ampia, una forte interdipendenza dei sistemi, la presenza del fattore umano sono gli elementi principali che concorrono a questa fragilità. Il tema della sicurezza è sicuramente quello più delicato e sul quale, dopo una prima fase di sottovalutazione, ci si sta rendendo conto di dover investire maggiormente anche se lo scenario nazionale e internazionale desta ancora forte preoccupazione.

Roberto Setola 
Luca Vollero

Roberto Setola

Luca Vollero

Twitter
Visit Us
LinkedIn
Share
YOUTUBE