EMB_77

Lo sviluppo di apparecchiature medicali sicure in sistemi Linux PUBBLIREDAZIONALE Il Sistema Operativo (OS) open-source Linux è presente, e opera in sicurezza, all’interno di un vastissimo numero di ap- parecchiature medicali. Il tema della sicurezza, intesa nelle sue due distinte accezioni individuate in inglese con i termi- ni safety e security , è certamente imprescindibile nell’ambito dello sviluppo dei dispositivi medicali, ma non tutti gli aspetti della security sono legati alla safety. La differenza tra i due concetti, inoltre, non è sempre del tutto chiara. Con security va infatti intesa la protezione dell’apparecchiatura dal mondo esterno, mentre per safety si intende la protezione del mondo esterno dall’apparecchiatura. Se la security del dispositivo medicale non è adeguata, degli hacker possono sfruttare in modo negativo ciò che è possibile fare, oppure possono accedere ai dati del paziente – con po- tenziali serie conseguenze sul benessere del paziente stesso. Quando invece a non essere adeguata è la safety, è evidente come venga messa a rischio la salute stessa del paziente. Poiché Linux è l’OS più diffuso al mondo per l’utilizzo all’interno di dispositivi di ogni genere, l’e- stesa comunità di sviluppatori che lo sostiene è impegnata a garantire che esso funzioni come previsto in ogni condizio- ne d’uso, e anche che sia il più sicuro possibile. Nonostante gli sviluppatori di software embed- ded lavorino coscienziosamente per un continuo miglioramento sia di Li- nux sia di molti altri pacchetti open-source, esiste comunque un limitato numero di hacker che tro- va comunque metodi per violare l’integrità di Linux per i pro- À # !! ! open-source è quindi legata alla continua battaglia tra queste due forze contrapposte. Oggi, i componenti software open-source maggiormente cri- tici presenti nei dispositivi medicali di tutto il mondo sono molto più stabili e più sicuri che in passato. Ciò è dovuto al duro e diligente lavoro svolto da ingegneri di tutto il mondo, À ! - smi di intrusione e nella riparazione delle falle trovate, non- ché all’impegno della community globale di sviluppatori, che compie un analogo sforzo relativamente ai propri progetti. È ' À Œ - nonostante, l’attività di controllo rimane costante. Le problematiche di security di Linux (ivi incluse quelle rela- tive a software come OpenSSL) vengono solitamente scoperte dagli ingegneri mentre indagano su qualche bug emerso nel corso delle proprie attività di sviluppo. Talvolta invece una falla viene riconosciuta nel corso di una analisi post-mortem, esplicitamente condotta a seguito di un attacco. Solitamente À - carlo per il suo inserimento nell’apposito dizionario pubblico denominato CVE (Common Vulnerability and Exposures), ge- stito dal MITRE , una organizzazione legata allo U.S. Natio- nal Vulnerability Database (NVD), a sua volta gestito dal Na- tional Institute of Standards and Technology (NIST). Ogni volta che viene trovata una vulnerabilità e individuato il rispettivo rimedio, la sua presenza nel CVE viene resa pub- Œ - poi solitamente dibattuta da parte della comunità mondiale focalizzata sulla security. È questo il momento in cui le apparecchiature medicali rischiano di essere più vul- nerabili. I “cattivi” hanno infatti l’occasione per venire a conoscenza della vulnerabilità appena scoperta e sfruttarla, prima che la correzione venga applicata ad ogni dispositivo. Tuttavia, la pubblicazione del problema è indispen- sabile per allertare la comunità mondiale sull’esistenza della falla e del suo rimedio, in modo tale che ogni organizzazione possa determinare se quella particolare vulnerabi- lità interessi anche i propri dispositivi. In tal caso essa può mitigare il rischio, provvedendo ad applicare la correzione prima di ricevere un attacco. Il software open-source in generale – e Linux in particola- re – vengono spesso ritenuti inadatti ad applicazioni delicate À C C# % l’enorme base di utenti vantata da Linux garantisce che ogni violazione di safety/security venga individuata e corretta molto rapidamente.Mentor è un produttore leader di stru- menti per lo sviluppo di software embedded, di sistemi opera- tivi (tra i quali Mentor Embedded Linux e l’RTOS Nucleus) e di servizi di consulenza, con numerosi clienti operanti nel settore della strumentazione medicale. Per maggiori informazioni è possibile visitare il sitoweb: https://www.mentor.com/embedded-software/linux/ Scott Morrison General Manger - Platform Business Unit, Mentor Embedded Systems Division Mentor, A Siemens Business