EMB_86

EMBEDDED 86 • NOVEMBRE • 2022 55 I produttori delle odierne apparecchiature medica- li devono fronteggiare numerose sfide: a partire dalla capacità di sviluppare più rapidamente i dispositivi – che devono essere smart, connessi alla rete e sempre più innovativi e customizzati – fino alla necessità di ga- rantirne la sicurezza, intesa tanto nella sua accezione di safety (tutela dell’incolumità dell’utilizzatore) che in quella di security (salvaguardia dell’integrità del dispo- sitivo stesso e dei dati in esso contenuti). Per riuscire in questo intento ed ottenere le necessarie autorizzazioni dagli enti regolatori, le aziende produttrici di tali ap- parecchiature devono mantenere alta l’attenzione sugli aspetti relativi alla sicurezza in ogni singolo step del processo di progettazione e di sviluppo del prodotto. Il tradizionale approccio costituito da progettazione e svi- luppo, seguite dal testing prima del lancio del prodotto non è infatti più sufficiente per la gestione di una sicu- rezza che mantenga la propria efficacia per tutta la vita del dispositivo. La scoperta di nuove vulnerabilità e di nuove tecniche di attacco avviene ad un ritmo incalzan- te. Per garantire che il dispositivo rimanga sicuro anche dopo il rilascio, è necessario che durante lo sviluppo si tenga conto anche della capacità di prevenire potenzia- li nuovi attacchi, mediante opportuni aggiornamenti del software. La sicurezza degli apparecchi medicali è estremamente importante per garantire ai clienti ed ai pazienti che interagiscono con tali dispositivi che sia la loro salute che i loro dati personali verranno tutela- ti con la massima serietà. Gli enti regolatori di tutto il mondo sono sempre più determinati nell’esigere e nel verificare che queste apparecchiature siano il più sicu- re possibile, sia prima che dopo il rilascio del prodotto. Le vulnerabilità di sicurezza Una vulnerabilità di sicurezza consiste in un errore di programmazione (oppure un bug del codice, o un altro difetto) tale da rendere il dispositivo esposto ad azioni indesiderate da parte di qualche applicazione interna oppure esterna. Sia chiaro che, inevitabilmente, alcune vulnerabilità di sicurezza sono comunque destinate a verificarsi negli apparecchi medicali; ma riconoscendo tale ineluttabilità e preparandosi a gestirla, gli svilup- patori del software embedded possono riuscire a limi- tare l’esposizione del prodotto e i potenziali danni che le vulnerabilità potrebbero causare. Tra gli strumenti disponibili per riconoscere e per mi- tigare queste potenziali problematiche, quello più im- portante è costituito dalle cosiddette CVE (Common Vulnerabilities and Exposures). Originariamente defi- nite nel 1999, le CVE sono descrizioni di tutte le proble- matiche di sicurezza note esistenti (o esistite in passa- to), rilevate nel tempo all’interno dei prodotti e raccolte in appositi elenchi. La pubblicazione e la manutenzio- Come rendere (e mantenere) sicuri gli apparecchi medicali Il tradizionale approccio costituito da progettazione e sviluppo, seguiti dal testing prima del lancio del prodotto non è infatti più sufficiente per la gestione di una sicurezza che mantenga la propria efficacia per tutta la vita del dispositivo Robert Bates Chief safety officer for the Embedded Platform Systems group Siemens Digital Industries Software SAFETY&SECURITY | SOFTWARE