1 30 Table of Contents 32 102

EO_488

31 - ELETTRONICA OGGI 488 - SETTEMBRE 2020 PUBBLIREDAZIONALE MENTOR I l Sistema Operativo (OS) open-source Linux è pre- sente, e opera in sicurezza, all’interno di un vastis- simo numero di apparecchiature medicali. Il tema della sicurezza, intesa nelle sue due distinte accezioni individuate in inglese con i termini safety e security , è certamente imprescindibile nell’ambito dello sviluppo dei dispositivi medicali, ma non tutti gli aspetti della se- curity sono legati alla safety. La differenza tra i due con- cetti, inoltre, non è sempre del tutto chiara. Con security va infatti intesa la protezione dell’apparecchiatura dal mondo esterno, mentre per safety si intende la protezio- ne del mondo esterno dall’apparecchiatura. Se la security del dispositivo medicale non è adegua- ta, degli hacker possono sfruttare in modo negativo ciò che è possibile fare, oppure possono accedere ai dati del paziente – con potenziali serie conseguenze sul be- nessere del paziente stesso. Quando invece a non essere adeguata è la safety, è evidente come venga messa a rischio la salute stessa del paziente. Poiché Linux è l’OS più diffuso al mon- do per l’utilizzo all’interno di disposi- tivi di ogni genere, l’estesa comunità di sviluppatori che lo sostiene è im- pegnata a garantire che esso funzioni come previsto in ogni condizione d’u- so, e anche che sia il più sicuro possibi- le. Nonostante gli sviluppatori di software embedded lavorino coscienziosamente per un continuo miglioramento sia di Linux sia di molti altri pacchetti open-source, esiste comunque un limita- to numero di hacker che trova comunque metodi per violare l’integrità di Linux per i propri fini. La sicurezza delle applicazioni basate su componenti open-source è quindi legata alla continua battaglia tra queste due forze contrapposte. Oggi, i componenti software open-source maggiormente critici presenti nei dispositivi medicali di tutto il mondo sono molto più stabili e più sicuri che in passato. Ciò è dovuto al duro e diligente lavoro svolto da ingegneri di tutto il mondo, impegnati nell’identifica- zione dei diversi possibili meccanismi di intrusione e nella riparazione delle falle trovate, nonché all’impegno della community globale di sviluppatori, che compie un analogo sforzo relativamente ai propri progetti. È quindi ora più difficile trovare vulnerabilità da sfruttare; ciono- nostante, l’attività di controllo rimane costante. Le problematiche di security di Linux (ivi incluse quelle relative a software come OpenSSL) vengono solitamen- te scoperte dagli ingegneri mentre indagano su qualche bug emerso nel corso delle proprie attività di sviluppo. Talvolta invece una falla viene riconosciuta nel corso di una analisi post-mortem, esplicitamente condotta a se- guito di un attacco. Solitamente colui che individua uno di questi problemi procede a notificarlo per il suo in- serimento nell’apposito dizionario pubblico denominato CVE (Common Vulnerability and Exposures), gestito dal MITRE , una organizzazione legata allo U.S. National Vul- nerability Database (NVD), a sua volta gestito dal Natio- nal Institute of Standards and Technology (NIST). Ogni volta che viene trovata una vulnerabilità e indivi- duato il rispettivo rimedio, la sua presenza nel CVE vie- ne resa pubblica; se la problematica è particolarmente seria, essa viene poi solitamente dibattuta da parte della comunità mondiale focalizzata sulla security. È questo il momento in cui le apparecchiature medicali rischia- no di essere più vulnerabili. I “cattivi” hanno infat- ti l’occasione per venire a conoscenza della vulnerabilità appena scoperta e sfruttarla, prima che la correzione venga applicata ad ogni dispositivo. Tuttavia, la pubbli- cazione del problema è indispensabi- le per allertare la comunità mondiale sull’esistenza della falla e del suo ri- medio, in modo tale che ogni organiz- zazione possa determinare se quella particolare vulnerabilità interessi anche i propri dispositivi. In tal caso essa può mi- tigare il rischio, provvedendo ad applicare la correzione prima di ricevere un attacco. Il software open-source in generale – e Linux in parti- colare – vengono spesso ritenuti inadatti ad applicazio- ni delicate sotto il profilo della safety o della security. Ciononostante, l’enorme base di utenti vantata da Linux garantisce che ogni violazione di safety/security venga individuata e corretta molto rapidamente. Mentor è un produttore leader di strumenti per lo sviluppo di soft- ware embedded, di sistemi operativi (tra i quali Mentor Embedded Linux e l’RTOS Nucleus) e di servizi di con- sulenza, con numerosi clienti operanti nel settore della strumentazione medicale. https://www.mentor.com/embedded-software/linux/ Lo sviluppo di apparecchiature medicali sicure in sistemi Linux di Scott Morrison General Manger - Platform Business Unit, Mentor Embedded Systems Division Mentor, A Siemens Business

RkJQdWJsaXNoZXIy MTg0NzE=