Connettività sicura Intervista a Hannes Molsen, Product Security Manager e sviluppatore di Dräger - Dräger

Pagina creata da Mario Marotta
 
CONTINUA A LEGGERE
Connettività sicura Intervista a Hannes Molsen, Product Security Manager e sviluppatore di Dräger - Dräger
Connettività sicura
                                                                                 D-12385-2018

Intervista a Hannes Molsen,
Product Security Manager e sviluppatore di Dräger

                                                    © Drägerwerk AG & Co. KGaA                  1
Connettività sicura Intervista a Hannes Molsen, Product Security Manager e sviluppatore di Dräger - Dräger
CONNETTIVITÀ SICURA

Il primo passo importante:
   la creazione di standard.

                                                                                                                                                             D-15562-2018
Ridurre al minimo le vulnerabilità e i possibili
punti di attacco da parte di hacker
  La digitalizzazione del settore sanitario è un fenomeno                  di comunicazione SDC nell’ambito della serie di standard IEEE
  in continua crescita. Questo settore si sta impegnando                   11073. In questo contesto, si rende necessaria una nuova modalità
  a garantire l’interoperabilità tra i vari dispositivi e sistemi,         di controllo degli accessi alle reti con autenticazione, ad esempio
  indipendentemente dalle aziende produttrici. Allo stesso                 tramite certificati di sicurezza digitali, da parte della rete stessa o del
  tempo, però, si registrano sempre più attacchi informatici               dispositivo periferico. Per quanto riguarda i recenti attacchi informatici
  nelle strutture ospedaliere. Cosa ne pensa di questi sviluppi?           alle strutture ospedaliere, pare che non si sia trattato di azioni mirate,
                                                                           ma che sia piuttosto stato il risultato di malware in circolazione su
L’interconnessione tra le reti informatiche aumenta decisamente            Internet. Gli ospedali risultano particolarmente vulnerabili in quanto il
la vulnerabilità dei sistemi. La segmentazione già implementata            loro software spesso non è aggiornato.
nelle reti degli ospedali migliora la sicurezza e va mantenuta in
futuro. La sfida è risolvere la situazione in cui ogni produttore di         Una connettività universale, indipendente dal produttore
apparecchiature tende a richiedere una rete separata. Per farlo,             dei dispositivi, non comporta il rischio di una più rapida
molti fornitori di tecnologie medicali, tra cui anche Dräger, utilizzano     proliferazione del malware nell’intero sistema?
protocolli di comunicazione basati su standard armonizzati per i loro
dispositivi e sistemi. Il primo passo verso il raggiungimento di questo    Una maggiore connettività tra le reti comporta sempre maggiori
obiettivo è stata l’introduzione nel gennaio 2019 del nuovo protocollo     pericoli. Per mitigare questo rischio valutiamo la sicurezza di ogni

                                                                                                                         © Drägerwerk AG & Co. KGaA      2
Connettività sicura Intervista a Hannes Molsen, Product Security Manager e sviluppatore di Dräger - Dräger
CONNETTIVITÀ SICURA

                                                                                       visibile è il software dall’esterno del dispositivo, tanto più sicuri
                                                                                       saranno la tecnologia e il dispositivo stesso.

                                                                                          A che punto è la proposta degli esperti di implementare
                                                                                          una separazione tecnica tra componenti funzionali e di
                                                                                          rete per i dispositivi terapeutici?

                                                                                       È un tema molto dibattuto. Per alcuni dei nostri dispositivi,
                                                                                       questa separazione esiste già. Per quanto riguarda il software,
                                                                                       una netta separazione è comunque necessaria in qualunque
                                                                                       caso. Infine, non possiamo permettere che il Componente A ne
                                                                                       risenta se il Componente B smette di funzionare.

                                                                                          Nel contesto generale della digitalizzazione
                                                                                          e dell’interoperabilità nel settore sanitario, si discute
                                                                                          anche del ruolo delle soluzioni di sicurezza supportate
                                                                         D-3465-2018

                                                                                          da software (ad es. i firewall) in aggiunta alle misure
                                                                                          di sicurezza informatica che ha già menzionato.

                                                                                       È una questione spinosa su cui esiste una varietà di opinioni.
singolo dispositivo periferico e non solo la sicurezza a livello di rete.*             Ma è innegabile che i firewall e i programmi antivirus siano
La funzionalità principale dei dispositivi va mantenuta anche in caso di               essenziali per i computer come quelli usati negli studi
un attacco informatico. Specialmente per le tecnologie direttamente                    medici o dal personale amministrativo di un ospedale. Questi
coinvolte nella cura del paziente, dobbiamo fare in modo che il                        componenti sono meno importanti per i dispositivi medicali.
collegamento in rete rappresenti solo una funzione aggiuntiva per                      I firewall impediscono che certi componenti software vengano
questi dispositivi. E nel caso in cui il collegamento venga a mancare, la              raggiunti da segnali in ingresso. Questo presuppone comunque
funzione terapeutica principale deve rimanere inalterata. Solo in questo               la presenza di tali componenti nel sistema. Ma questo non
modo è possibile garantire la sicurezza del paziente in ogni momento.                  è il caso di molte tecnologie medicali. Qui farò riferimento al
                                                                                       principio dei sistemi “rafforzati”, ossia la riduzione degli elementi
  Che ruolo svolge l’“hardening”, ovvero il                                            software al minimo assoluto necessario al funzionamento del
  rafforzamento dei componenti software, per                                           dispositivo. Anche i programmi antivirus sono più indicati per
  la sicurezza informatica dei dispositivi medicali                                    i sistemi dinamici con diverse applicazioni, come i personal
  ai fini della riduzione della vulnerabilità in generale?                             computer. In futuro, aumenterà anche la quantità di applicazioni
                                                                                       incluse nei dispositivi medicali, pertanto il profilo del software
Nei dispositivi medicali è importante integrare componenti software                    di sicurezza appropriato potrebbe cambiare. Di conseguenza,
accessibili dall’esterno solo quando sono davvero indispensabili                       i firewall e i software antivirus potrebbero diventare più
al funzionamento del dispositivo. Gli elementi superflui vanno                         importanti in quest’area. Ecco un esempio di scenario realistico:
esclusi. In parole povere: un dispositivo per la ventilazione basato                   i dati generati da un dispositivo terapeutico vengono trasmessi
su un sistema operativo Windows non necessita delle stesse                             tramite una rete al computer nello studio del
funzionalità di un computer nello studio di un medico, con una                         medico curante, e qui vengono analizzati,
casella di posta elettronica, programmi di elaborazione testo, ecc.                    convertiti in un comando applicativo, ad
Questo riduce notevolmente i potenziali punti di attacco per gli                       esempio “Cambiare farmaco”, e rimandati
hacker. E questi possono essere ulteriormente ridotti grazie a una                     al dispositivo terapeutico.
struttura modulare dei sistemi operativi. In sintesi, quanto meno                      *Non applicabile a tutti i prodotti legacy.

                                                                                                                                     © Drägerwerk AG & Co. KGaA   3
Connettività sicura Intervista a Hannes Molsen, Product Security Manager e sviluppatore di Dräger - Dräger
CONNETTIVITÀ SICURA

                                                                           continuerà nel prossimo futuro. Per esempio, spesso si usano
                                                                           ancora i classici cavi seriali al posto dei cavi di rete. Ma con tutta
                                                                           probabilità le interfacce fisiche diventeranno meno importanti
                                                                           via via che lo scambio di dati avverrà sempre più tramite le
                                                                           reti. Ciononostante, è comunque vero che la probabilità di
                                                                           attacchi tramite le interfacce può essere ridotta rafforzando la
                                                                           sicurezza dei sistemi.

                                                                             Con questi rapidissimi progressi, come fa il personale
                                                                             ospedaliero non specializzato in IT a tenersi al passo
                                                                             con i nuovi sviluppi?

                                                                           La formazione è un aspetto molto importante. Durante le sessioni di
                                                                           formazione, i dipendenti possono imparare a gestire correttamente
                                                                           gli allegati alle e-mail, le chiavette USB e i link. Un altro argomento
                                                                           affrontato è come comportarsi nei forum pubblici su Internet.
                                                             D-3298-2018

                                                                           È particolarmente importante anche spiegare cosa succede
                                                                           quando una determinata tecnologia si guasta e come è possibile
                                                                           riconoscere i guasti. Quanto più estese e dinamiche sono le reti,
                                                                           tanto maggiore è il rischio di errori e malfunzionamenti. Il personale
  Sembra che il modo più efficace per migliorare la                        deve imparare a gestire guasti tecnici di vari tipi, a partire dalle cose
  sicurezza informatica sia ridurre i punti vulnerabili.                   più semplici, come una connessione interrotta da una persona che
  A questo proposito, negli ambienti informatici si parla                  inciampa in un cavo. L’importante è non farsi
  molto dell’importanza della gestione delle interfacce.                   prendere dal panico. Quando l’aspetto della
  Che importanza ha questo aspetto nel settore sanitario?                  sicurezza informatica è stato opportunamente
                                                                           considerato con l’introduzione di sistemi
Le interfacce fisiche cambiano in continuazione. Nel campo                 rafforzati, reti protette e personale ben
della tecnologia medicale, tuttavia, siamo ancora a uno stadio             addestrato, non c’è alcun bisogno di farsi
iniziale. Oggi come in passato in campo medico si adotta un                prendere dal panico.
approccio molto cauto riguardo a questi sviluppi, e questo

                                                                                                        NOTE LEGALI
                                                                                                        Drägerwerk AG & Co. KGaA
                                                                                                        Moislinger Allee 53-55
                                                                                                        23558 Lübeck, Germania
                                                                                                        Tel +49 (0) 451 / 882 0
                                                                                                                                                           PDF-10447 | 20.05-1

                                                                                                        Fax +49 (0) 451 / 882 2080
                                                                                                        E-mail: info@draeger.com
                                                                                                        www.draeger.com

                                                                                                                        © Drägerwerk AG & Co. KGaA     4
Puoi anche leggere