EO_Medical_501

EO MEDICAL - APRILE 2022 XXVII IOT MEDICAL monitoring), attuabile tramite dispositivi elettronici em- bedded connessi, in grado di registrare parametri vitali e andamento clinico del soggetto, è una delle applicazioni della telehealth che sta guadagnando popolarità, aggiun- ge lo studio, grazie alla grande varietà di biosensori e di- spositivi medicali indossabili attualmente disponibili sul mercato. Dispositivi medicali IoT, sicurezza più che mai prioritaria Proprio nell’attuale fase di maggior diffusione dei dispo- sitivi medicali IoT indossabili e della telemedicina, pra- tiche amplificate dall’emergenza COVID-19, la sicurezza delle informazioni in campo medicale sta diventando quantomai prioritaria. I cyber-criminali hanno capita- lizzato opportunisticamente sulla pandemia per colpire in maniera specifica ospedali e fornitori di assistenza sa- nitaria, osserva il Microsoft Digital Defense Report , ad esempio sfruttando le vulnerabilità di VPN (virtual pri- vate network) e dispositivi di accesso remoto per sferra- re attacchi ransomware. Ma c’è molto di più, purtroppo: come hanno già da tempo dimostrato alcuni ricercatori israeliani (Yisroel Mirsky, Tom Mahler, Ilan Shelef, Yu- val Elovici) al Department of Information Systems Engi- neering della Ben-Gurion University , un attaccante che riesca ad avere accesso ai dati medicali di un paziente, dati sensibili, può fare molto di più che sequestrarli e ci- frarli per ottenere un riscatto, o rivenderli sul mercato nero: oggi, infatti, un cyber-criminale può anche usare l’intelligenza artificiale (AI) e, in particolare, tecniche di deep learning (DL), per aggiungere o rimuovere eviden- ze di condizioni mediche (aneurismi, malattie cardiache, tumori) dalle scansioni volumetriche (3D) eseguite su un paziente. La motivazione criminale che porta ad alterare un’im- magine medicale, spiegano gli scienziati, può essere, ad esempio, legata al raggiungimento di obiettivi politici: un individuo, o uno Stato avversario che voglia influenza- re il risultato di un’elezione, può aggiungere un’eviden- za di cancro a una scansione tomografica eseguita su un candidato politico, che, apprendendo del proprio stato di salute, decide di ritirarsi da tale posizione. Queste scan- sioni tomografiche sono oggi alterabili in maniera reali- stica grazie ai progressi compiuti dal machine learning (ML) nella generazione di immagini: la tecnica applicata dai ricercatori israeliani si chiama CT-GAN (Computed tomography-generative adversarial network), un parti- colare tipo di deep neural network (DNN) costitutito da due reti neurali che operano in competizione l’una con l’altra (“generator” e “discriminator”) con l’obiettivo di produrre immagini false, ma fortemente fotorealistiche. Intelligenza artificiale e machine learning possono aiutare a ridurre i tempi dimessa a punto di vaccini efficaci (Fonte: Pixabay) Rafforzare i sistemi di protezione Rischi di alterazione dei dati sanitari come quelli appe- na prospettati riportano l’attenzione sulla necessità per gli sviluppatori embedded di rafforzare i meccanismi di protezione dei dispositivi medicali, soprattutto oggi, in corrispondenza dell’attuale trend di espansione della connettività, che vede i device medicali IoT indossabili diffondersi in modo crescente anche nello spazio con- sumer (wearable device per il fitness, cardiofrequenzi- metri, ossimetri e così via). Tutti questi innumerevoli endpoint vanno infatti ad estendere la superficie di at- tacco potenzialmente sfruttabile dagli hacker. Il proble- ma è che molti device medicali connessi non integrano misure di sicurezza “by-design”, perché spesso sono costituiti da tecnologia legacy, o datata, ed integrano software che non essendo aggiornato e protetto con re- golarità, tramite l’applicazione delle opportune patch, lascia scoperte varie vulnerabilità. Le soluzioni di protezione vanno necessariamente ap- plicate su molteplici livelli. Tra le varie misure, da un lato occorre lavorare sulla conformità con le princi- pali normative e standard di sicurezza e privacy (ISO 13485:2016, IEC 62304), oltre che sulle tecniche di cifra- tura dei “dati a riposo” (data at rest) - quelli memoriz- zati nel dispositivo - e dei dati in movimento (data in motion). Dall’altro, non si può trascurare una corretta pianificazione e gestione dei processi e delle policy di information security all’interno della specifica organiz-