Attacchi hacker a pacemaker e defibrillatori, 'troppo vulnerabili'

Un dispositivo medico, dal pacemaker al defibrillatore, una connessione wireless e per l'hacker il gioco è fatto: si apre la porta per poter manipolare il software e creare un pericolo. L'obiettivo? L'azienda che li produce e anche il paziente che li indossa. Già Dick Cheney quando era vice presidente degli Usa chiese ai suoi cardiologi di rimuovere la funzione wireless dal proprio defibrillatore per paura di poter subire un attacco terroristico nei suoi confronti. Allora un eccesso da 'spy story' ma oggi diventato un filone da osservare con molta attenzione.

"Negli ultimi 5 anni sono stati registrati tra 150-200 attacchi hacker a dispositivi medici, fatti per estorcere soldi alle aziende che li producono - dimostrandone fragilità della sicurezza - o per minare la salute di personaggi politici. I dispositivi medici sono oggetti vulnerabili perché sempre più connessi e che ad oggi non hanno nessun tipo di normativa che ne garantisce la sicurezza da questo punto di vista". A spiegarlo all'Adnkronos Salute è Gaetano Marrocco, professore ordinario di Campi Elettromagnetici dell'Università Tor Vergata di Roma e coordinatore del corso di studi in Ingegneria Medica, dipartimento di Ingegneria Civile e Ingegneria informatica. Che sulle paure dei diplomatici portatori di pacemaker, "ci sono stati casi di personalità diplomatiche in visita in alcuni paesi a rischio che hanno avuto fastidi fisici causati dal bombardamento magnetico generato a distanza", avverte Marrocco.

E' proprio nell'ateneo di Tor Vergata che oggi si svolge il convegno 'Cyber4health' che presenta l’osservatorio sulle vulnerabilità cyber e fisiche dei dispositivi medici. Nell'ambito delle attività di ricerca svolte in collaborazione con il Centro di competenza Cyber 4.0, l'Università Tor Vergata ha realizzato l'Osservatorio 'C4h - Cyber4health', una piattaforma per la sicurezza informatica dei dispositivi medici, tra le prime al mondo nel suo genere, finalizzata a fornire una base di conoscenze tecniche e legislative sulla vulnerabilità dei dispositivi medici, soprattutto wireless, rispetto a eventuali attacchi informatici ed elettromagnetici. "Gli smartwatch, i pacemaker, i defibrillatori, le pompe di insulina, i neuro-stimolatori - aggiunge Marrocco - sono una finestra aperta da dove può uscire ma anche entrare e si può fare da lontano inviando un segnale malevole".

L'Osservatorio vuole stimolare una cultura di 'Cyber-Physical Security by Design' che, partendo dalla conoscenza delle problematiche già accertate o plausibili, possa mitigare i rischi già nella fase di definizione del dispositivo medicale e della catena di valore da esso abilitata. "Mettendo insieme le competenze sui dispositivi medici, sulle reti informatiche, sull'elettromagnetismo, abbiamo creato una piattaforma dove sono stati raccolti i dati sulla vulnerabilità dei dispositivi medici analizzando anche gli articoli scientifici che si sono occupati del tema. Poi è stato assegnato ai sistemi utilizzati un punteggio di vulnerabilità, 'Common Vulnerability Scoring System (Cvss), anche in base all'impatto sulla salute del paziente", ricorda il docente.

"Il tema della sicurezza cyber-fisica dei dispositivi medici assume una significativa rilevanza per produttori, ospedali e pazienti soprattutto nell'attuale, e futuro, scenario di crescente interconnessione", sottolinea Marrocco. Oggi ci sono milioni di dispositivi complessi, "ad esempio i pacemaker, ma anche dispositivi impiantati 'stupidi' - spiega - ovvero che oggi non hanno una attività di rilevazione ma domani potranno averla. Penso alle protesi di anca, di ginocchio, quelle dei denti, oggi hanno una funzione solo meccanica ma presto saranno sensorizzate con una piccola unità di elaborazione. Ad esempio, una banale protesi può diventare intelligente e misurare la temperatura o capire se c'è una infezione. Ma a quel punto moltiplicheremo per mille gli oggetti vulnerabili". Il messaggio finale del professor Marrocco, è che "non dobbiamo avere paura", ma l'obiettivo del lavoro "è che le problematiche legate alla sicurezza" contro gli attacchi hacker e quelle "di garantire sempre la salute dei pazienti, diventino dei requisiti quando si progettano i dispositivi".