Pacemaker a rischio…e i pazienti?!

secure pacemaker

Pacemaker a rischio…e i pazienti?!

Negli Stati Uniti quasi mezzo milione di pacemaker devono essere sottoposti a “terapie informatiche” perché affetti da gravi vulnerabilità

Martedì scorso, la statunitense FDA ha stabilito il ritiro dal mercato per un certo numero di pacemaker prodotti da Abbott Laboratories (precedentemente St. Jude Medical). Nel documento si legge che i pazienti potrebbero essere a rischio qualora un malintenzionato volesse approfittare delle falle di sicurezza presenti sui questi dispositivi, dichiarati vulnerabili.

Attualmente 465.000 persone a cui è stato impiantato questo tipo di dispositivo salvavita dovranno recarsi presso le strutture sanitarie per far aggiornare il firmware del pacemaker e  porre così rimedio al difetto di fabbricazione. Altri 280.000 pacemaker al di fuori degli Stati Uniti dovranno essere sottoposti al medesimo tipo di aggiornamento, dichiara Candace Steele Flippin, portavoce di Abbott.

La falla di sicurezza potrebbe permettere ad un hacker di accedere al dispositivo e modificarne i settaggi, o addirittura spegnerlo. “L’accesso potrebbe essere sfruttato per modificare i comandi di programmazione di un pacemaker impiantato in un paziente, causandogli gravi problemi che potrebbero derivargli dall’esaurimento repentino della batteria o da una regolazione del un ritmo di stimolazione cardiaca non adeguata” si legge nel documento dell’FDA. Per il momento, fortunatamente, non si riportano incidenti che potrebbero derivare da questo difetto.

Già un anno fa l’istituto di ricerca californiano Muddy Waters aveva per primo sostenuto che i pacemaker di St. Jude erano vulnerabili agli attacchi informatici. Nel gennaio scorso, Abbott aveva pubblicato una patch di sicurezza per altri dispositivi medici della St. Jude, connessi al trasmettitore wireless Merlin@home.

“Questo aggiornamento fa parte di quelli pianificati a gennaio, e rafforza ulteriormente la sicurezza e gli strumenti di gestione dei nostri dispositivi connessi di cardiac rhythm management (CRM)” sostiene Steele Flippin a proposito dei pacemaker.

Josh Corman, direttore della Cyber Statecraft Initiative al Consiglio Atlantico e fondatore di “I Am The Cavalry” (movimento per tutela della sicurezza informatica dei dispositivi che possono mettere a rischio la sicurezza pubblica e la salute dei cittadini), afferma che ci sono un sacco di vulnerabilità nei dispositivi medici e che la comunità dei ricercatori sta finalmente iniziando a lavorare a fianco delle industrie di questo settore per identificarne e correggerne i difetti.

“Se trovassimo delle pecche, potremmo considerarle un motivo per non aver fiducia in un certo dispositivo. O, al contrario, potremmo vederle come il passaggio da una fase caratterizzata da fallimenti taciuti ad una in cui possiamo agire da stimolo ad una progettazione dei dispositivi migliore e più sicura” afferma Corman.

pacemaker

In maggio, WhiteScope, società di servizi per la sicurezza, ha dichiarato in un rapporto che, dopo aver analizzato numerosi dispositivi, i ricercatori avevano riscontrato oltre 8.000 vulnerabilità note nel modulo di programmazione di quattro pacemaker di diversa manifattura. “In due casi” si legge nel rapporto, “è stato rilevato persino che i dati del paziente erano conservati nel dispositivo in forma non criptata.

Corman sostiene che la gente non dovrebbe, a seguito di queste notizie, avere una crisi di sfiducia tale da mettere a repentaglio future scoperte fondamentali nel campo della tecnologia medica, nonostante la realtà sia che niente è a prova di violazione. Al contrario, continua Corman, è importante determinare che tipo di connettività è di fatto necessaria, e farla quadrare con un livello accettabile di rischio.

Per aiutare i medici a comprendere la sicurezza di una nuova tecnologia quando acquistano o consigliano un nuovo dispositivo, SPYRUS ha compilato un elenco di domande, “Top 10 IoT Questions“,  che essi possono utilizzare per capire se le aziende stanno proponendo loro dispositivi sufficientemente protetti.

I dispositivi cardiologici e radiologici sono spesso affetti da vulnerabilità, dal momento sono infatti apparecchiature operanti abitualmente all’interno di un loro ambiente chiuso. Una volta connessi ad Internet, essi risultano vulnerabili proprio perché non sono stati progettati per proteggere se stessi contro i sofisticati attacchi che possono provenire dalla rete.

La questione è composta dalla mancanza di esperienza nel settore IoT dedicato alla sanità, da un lato, e dalla concomitante mancanza di preoccupazione sull’intero problema, dall’altro, poiché al momento i produttori di dispositivi medici IoT non lo hanno semplicemente posto come loro priorità, nonostante le evidenti debolezze presenti in molti dei loro prodotti.

FDA e Dipartimento di Homeland security hanno emanato già a inizio 2016 alcune linee guida per l’Internet of Things e per i dispositivi medici connessi in particolare, ma un grande lavoro normativo deve essere fatto per stabilire standard certi in questo settore.

No Comments
Post a Comment