La sicurezza nei dispositivi medici.

La gestione delle informazioni.

Il tema delle politiche di “disclosure” delle informazioni ha ormai travalicato i confini degli ambienti prettamente “tecnici” e sta investendo con sempre maggiore impatto gli ambiti della vita quotidiana più sensibili.

Gestire informazioni, nella società che dalle informazioni è intimamente determinata, significa gestire potere. Se da un lato particolari conoscenze o dati vanno necessariamente secretati, dall’altro è indispensabile una coscienziosa e consapevole condivisione di altri loro tipi. Questo concetto appare immediato nel caso in cui si abbia a che fare con la sicurezza nazionale o globale. È necessario provvedere alla protezione degli arsenali atomici, delle infrastrutture sensibili come dighe o centrali elettriche o aeroporti, delle strategie politiche o economiche. È altrettanto necessario però che le persone vengano a conoscenza di eventuali politiche poco chiare perpetrate dai governi o di azioni scarsamente etiche messe in atto dalle multinazionali.
Tuttavia, quando ci si riferisce a questioni che ci coinvolgono personalmente, noi e i nostri cari, 24 ore al giorno, 365 giorni l’anno, fatichiamo a realizzare che siamo immersi nelle medesime dinamiche e che si tratta di questioni identiche ad ogni latitudine.

Basterà evocare il caso della sanità e dei trattamenti medici che si basano su dispositivi tecnologici per cominciare ad intuire quali e quante possono essere le implicazioni di un buono o cattivo trattamento dei dati.

Il caso del pacemaker

L’idea alla base di un pacemaker è molto semplice: utilizzare impulsi elettrici per stimolare le attività cardiache. Gli studi su questo tipo di dispositivo medico sono iniziati quasi un secolo fa e già negli anni cinquanta del Novecento ne sono stati realizzati i primi esemplari, esterni. Meno di dieci anni dopo la tecnologia ha consentito di avere pacemaker così piccoli da essere impiantabili. In seguito, il continuo processo di miglioramento tecnologico ha permesso di differenziarne finalità e tipologie, ne ha aumentato l’efficienza, la durata e li ha resi in grado di adattarsi automaticamente ai pazienti e ai ritmi delle loro esistenze. Attualmente sono disponibili pacemaker e defibrillatori talmente piccoli da poter essere impiantati con un intervento non invasivo, della durata di pochissimi minuti: vengono inseriti direttamente nella vena femorale e lasciati scorrere fin dove necessario. La batteria che integrano li mantiene attivi per molti anni.
L’incremento delle funzioni di questi device li ha resi sempre più complessi e risolutivi per molte patologie cardiache, tanto da essere utilizzati da un numero sempre più consistente di pazienti. La complessità raggiunta ha reso più stringente l’esigenza di effettuare controlli periodici, sia per il paziente, sia per lo strumento. È stata quindi una naturale evoluzione della tecnica quella di inserire nel dispositivo tutta l’elettronica necessaria per comunicare con gli apparecchi di controllo e per farlo nel modo meno intrusivo possibile, dall’esterno.

La “sicurezza” dei dispositivi medici: “safety” e “security”

Terapia e garanzia dell’affidabilità della terapia. Questo ultimo concetto può essere definito “safety“: in italiano generalmente lo rendiamo con “sicurezza”, un termine che tuttavia non aiuta la comprensione e ingenera anche una certa confusione con l’altro concetto essenziale connesso strettamente al mondo della tecnologia che è “security”.

Recentemente, negli Stati Uniti, la U.S. Food and Drugs Administration (FDA) ha inviato una formale lettera di richiamo alla compagnia St. Jude Medical per due evidenti problematiche riscontrate nei pacemaker impiantabili e negli strumenti utilizzati da medici e pazienti per gestirli e monitorarli.
Infatti, sono state evidenziate forti carenze nei controlli delle problematiche di consumo anomalo delle batterie, che pare possano scaricarsi in pochi giorni anziché in anni di utilizzo. Si è trattato di una questione di “safety” che ha costretto l’azienda a ritirare circa 40.000 dispositivi cardiaci e a riconoscere che si sono verificati due decessi associati alla perdita di terapia di defibrillazione, causata da un esaurimento prematuro della batteria.
Quelle batterie avrebbero dovuto segnalare la scarsa alimentazione con delle vibrazioni per indicare al paziente la necessità di sostituzione entro 90 giorni. Nei casi di decesso riportati, invece, i pazienti pare non abbiano avuto il tempo di fare nulla.

La “security” riguarda, invece, i dispositivi nel loro funzionamento tecnico in relazione alla loro gestione da parte degli operatori. In tale prospettiva, l’affidabilità di queste tecnologie mediche non sembra affatto aumentata col tempo; anzi, aver reso questi apparecchi in grado di comunicare con l’esterno li ha resi particolarmente vulnerabili.
Quando rimaneva isolato nel suo ambiente di funzionamento, un prodotto molto performante, anche se molto vulnerabile, garantiva un buon livello di “security”; ora che può comunicare in vari modi con l’esterno non svolge più adeguatamente il proprio compito, perché si espone ad una grande quantità di potenziali interventi malevoli.
Inoltre, pretendere, come spesso accade, di realizzare un dispositivo riadattando vecchie soluzioni costringe ad inserire quanto necessario alla sicurezza come uno strato aggiuntivo che quindi appesantisce l’architettura e rischia addirittura di limitarne le performance.
Ovviamente, anche nei casi del più corretto approccio della “security by design”, resta indispensabile tutta una serie di analisi e verifiche del produttore mirate alla ricerca di falle, bug, problemi di funzionamento o esposizione ad un uso non corretto.

Nel caso specifico della St. Jude Medical, l’aspetto scottante della vicenda legato alla “security” è relativo alla gestione di questi dispositivi e delle tecnologie utilizzate per comunicare con gli strumenti elettromedicali esterni per il monitoraggio delle funzionalità, conosciuti come Merlin@home.

Le prime segnalazioni di problemi di security risalgono ormai allo scorso agosto, ma sono state esplicitamente confermate dalla FDA e dal Department of Homeland Security Industrial Control Systems Cyber Emergency Response Team soltanto lo scorso gennaio. Il Response Team, inoltre, aveva certificato la possibilità che un qualunque attaccante sfruttasse, in modo malevolo, vulnerabilità che avrebbero potuto mettere a serio rischio la vita dei pazienti. Il problema risiede nei meccanismi di comunicazione in radio frequenza: durante i test era stato possibile dimostrare che un eventuale attaccante avrebbe potuto modificare le configurazioni del dispositivo impiantato. Il livello di pericolosità, connesso anche alla facilità di realizzazione dell’attacco, era stato fissato a 8.9 su 10.
Il richiamo formale fatto all’azienda produttrice è di non essere stata in grado di certificare la verifica dell’efficacia dei propri aggiornamenti di sicurezza che, di fatto, sembrano non risolvere il problema.

A chi fare sapere l’esistenza di una vulnerabilità? Responsible e full disclosure

Una volta che i prodotti sono stati lanciati sul mercato, interviene un’altra dinamica della “security” nella quale operano organizzazioni governative, aziende pubbliche e private, nonché ricercatori indipendenti, con l’obiettivo di scoprire eventuali vulnerabilità. Si tratta di un’attività estremamente delicata che implica la gestione di informazioni sensibili, dalla loro comunicazione concordata con i produttori (“responsible”) fino alla loro completa pubblicazione (“full”), processo detto di “full disclosure”.

La FDA caldeggia fortemente le attività di “responsible disclosure” per le vulnerabilità eventualmente scoperte nei dispositivi medici.
Quello che propone è un modello di gestione delle informazioni riguardanti le vulnerabilità di software, hardware e dispositivi, attenendosi al quale, i ricercatori che abbiano scoperto falle nei sistemi analizzati sono tenuti ad informare i produttori, senza diffondere pubblicamente i risultati.
Secondo questa pratica di comportamento, il produttore ha modo di concordare una politica di diffusione pubblica delle informazioni dopo un’attenta valutazione della più corretta modalità di mitigazione dei possibili effetti negativi di tale divulgazione. In tal modo si ha la possibilità di gestire le criticità realizzando, verificando e distribuendo appositi aggiornamenti in grado di risolvere il problema, oppure adottando una politica di richiamo e sostituzione dei modelli risultati fallati.
Non sempre questo approccio alla “disclosure” viene rispettato dai soggetti coinvolti. In alcune circostanze i ricercatori preferiscono rilasciare i risultati delle proprie scoperte perché siano direttamente gli utenti finali a decidere come reagire, avendo a disposizione tutti i dettagli della problematica.
Spesso, inoltre, questa strategia viene utilizzata in risposta agli atteggiamenti poco solleciti dei produttori nel mettere in sicurezza i propri prodotti su problematiche da tempo segnalate.

Il dibattito sulle forme più consone di “disclosure” è molto acceso, anche perché gli interessi sono fortissimi, in termini di mercato e di reputazione. In molte circostanze si è paradossalmente scoperto che convivere con le vulnerabilità è conveniente anche per il produttore, sia per questioni di costi, sia perché in alcuni casi certe falle possono essere considerate “utili”.

Il caso della St. Jude Medical

Analizzando lo storico del caso della St. Jude Medical, la rilevanza del tema etico della “disclosure” si fa emblematico.
Le prime notizie pubbliche sulla vulnerabilità rilevata sui loro presidi, in realtà, risalgono allo scorso agosto, quando una società di consulenza sulla sicurezza informatica, la MedSec Holding, ha rilasciato un documento di analisi senza rispettare alcuna forma di “responible disclosure”. L’argomento è stato trattato pubblicamente in una serie di articoli giornalistici e di servizi video su testate generaliste e specializzate, anche con toni molto forti: “uno scenario da incubo è che qualcuno sia in grado di lanciare un attacco di massa e provocare malfunzionamenti a questi dispositivi” (si veda il video in fondo all’articolo).
In altri contesti si è alluso al fatto che decine di migliaia di americani stanno convivendo con una bomba che emette ticchettii. La veemenza di tale posizione è stata in molti ambienti giustificata da puri interessi economici e, come in molti avevano previsto, la società ha registrato forti perdite azionarie.

La giustificazione di tale comportamento addotta dai ricercatori è nell’evidenza che la St. Jude Medical fosse al corrente di quei problemi fin dal 2013. La “full disclosure” è stata quindi ritenuta il solo modo per spingere il produttore a gestire la situazione, ritirando i propri dispositivi e realizzando un’attività concreta che ha condotto ad un reale aumento della loro sicurezza.
Secondo tale approccio, la totale trasparenza ha avuto come effetto positivo di impedire al produttore di continuare a mettere a rischio la salute dei pazienti per puri interessi economici. La scelta quindi sarebbe stata, nelle intenzioni, assolutamente etica ed anzi avrebbe rapidamente provocato le reazione positive sperate. I dispositivi saranno migliorati, salvaguardando la salute pubblica.

Tuttavia, in seguito, molti ricercatori indipendenti hanno tentato di replicare lo studio, ottenendo risultati contraddittori. Alcuni non hanno rilevato problematiche di sicurezza, altri hanno dichiarato di riuscire a spegnere i pacemaker da una distanza di alcuni metri dal paziente. In alcuni report tecnici si fa addirittura esplicito riferimento ad una vulnerabilità relativa all’utilizzo di codici di sblocco memorizzati direttamente nei dispositivi ed uguali per tutti: “hardcoded universal unlock code”.
Dal canto suo, la St. Jude Medical ha ovviamente sporto denuncia contro le aziende di sicurezza, nel tentativo di far valere le proprie ragioni e per proteggere il proprio brand.

Dalla seconda metà di maggio, sono in via di pubblicazione, o annunciate, una serie di nuove ricerche indipendenti che confermano la necessità di un maggior impegno dei produttori nello sviluppo di soluzioni più sicure. Prima fra tutte, quella della società di consulenza WhiteScope, il cui studio è stato esteso ad una serie di dispositivi impiantabili distribuiti dai quattro maggiori produttori mondiali. I ricercatori hanno evidenziato oltre 8.000 diverse vulnerabilità, di cui molte considerate critiche.
I dispositivi da verificare sono stati spesso acquistati direttamente su ebay e, in molti casi, la totale assenza di meccanismi di protezione delle informazioni ha consentito di accedere direttamente ai dati medici dei pazienti che li avevano usati in precedenza.

Per far comprendere la portata del fenomeno al grande pubblico generalmente si propone il paragone con gli smartphone; nella gran parte dei casi il livello di sicurezza dei dispositivi medici è stato stimato decisamente al di sotto di quello di un comune telefonino.
Le vulnerabilità riportate, infatti, riguardano sia l’implementazione che la progettazione e quindi, più o meno direttamente, ogni aspetto della tecnologia utilizzata da questi strumenti, dalla rete di gestione alle modalità di comunicazione, dalla mancanza di uso di crittografia per la salvaguardia dei dati sensibili alla incorretta gestione delle password; persino nelle politiche di controllo dei ruoli degli utenti. Inoltre tutti i produttori presi in esame continuano ad utilizzare componenti software di terze parti considerate obsolete e spesso con vulnerabilità già note e pubblicate.

Il caso del St. Jude Medical rappresenta quindi solo un fatto emblematico fra gli innumerevoli altri in cui è indispensabile trovare una concertazione fra “safety”, “security” e “disclosure”.
Nell’immediato futuro saremo tutti tenuti a prendere una posizione riguardo a tali tematiche e dovremo farlo con il massimo della consapevolezza e senso di responsabilità.

—————

Immagine in alto: “An artificial pacemaker from St. Jude Medical, with electrode.” da Wikipedia

————–