Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

La sicurezza dei dispositivi elettromedicali, Comportamenti virtuosi e polvere sotto il tappeto

Redazione RHC : 24 Giugno 2025 07:15

Cosa non vi hanno mai detto riguardo la sicurezza dei Medical-IoT (M-IoT)

La sicurezza informatica degli apparati elettromedicali è una questione di grande importanza nel settore sanitario. Il problema dipende dal fatto che sempre più dispositivi medici sono collegati a reti e sistemi informatici, ed è quindi essenziale adottare misure per garantire la sicurezza dei dati e proteggere i pazienti.

L’estrema attualità del tema è stata risvegliata da una recente circolare del Ministero della Salute.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


L’apparato coinvolto in questa problematica è un monitor dei parametri vitali, uno di quegli apparati che normalmente sono a fianco dei letti della terapia intensiva che abbiamo visto tutti in esperienze di vita personale o familiare, andando a visitare amici o parenti in ospedale.

Questa circolare, diretta a tutti gli organi di rappresentanza coinvolti, è stata accolta dagli addetti ai lavori in ambito sanitario con un fragoroso… “e quindi? Cosa facciamo, li buttiamo via senza avere budget per sostituirli? E con quale budget intervengo?”

Di fatto a distanza di un paio di mesi, secondo il mio ristretto punto di osservazione, non è successo nulla! La backdoor sta ancora lì, e, cosa ancor più preoccupante, è solo una delle tante!

Quindi, nei casi in cui l’essenza del problema, alla ricezione di una comunicazione formale di questo genere, viene compresa nella sua gravità, ci si scontra con un ginepraio di vincoli burocratico/amministrativo per tentare di indirizzare una soluzione.

In queste brevi pagine cerchiamo di comprendere il problema nella sua radice, e di contestualizzarlo anche dal punto di vista normativo e di compliance.

Il mondo dei dispositivi medici, o del Medical IoT, è costituito da strumenti, a volte molto complessi, progettati per assolvere a compiti specifici in ambito sanitario e coprono uno spettro di scopi estremamente ampio: in questa categoria rientrano strumenti specializzati per la diagnostica, dispositivi indossabili, strumenti per il monitoraggio remoto dei pazienti, strumenti per la risonanza magnetica, complessi sistemi robotizzati o semplici pompe di infusione, sistemi di tracciamento dei farmaci e strumenti per il monitoraggio delle scorte mediche e delle apparecchiature. Il problema della sicurezza informatica applicata a questo mondo dipende dal fatto che questi dispositivi sono animati da un cuore informatico, di norma un personal computer, progettato o per meglio dire assemblato in un sistema complesso, per assolvere ad una funzione specifica di controllo e di comunicazione.

Teoricamente, questi apparati proprio perché hanno un’anima, per così dire “ICT convenzionale” dovrebbero essere controllati e gestiti secondo i processi e le best practice canonici della sicurezza informatica, ma questo dovrebbe avvenire senza variare le condizioni di certificazione dell’apparato stesso. Di fatto non avviene!

Processi ICT vs M-IoT

Seguendo il mondo ICT convenzionale si dovrebbero eseguire attività come ad esempio

  1. Protezione dei dati: Assicurarsi che i dati sensibili dei pazienti siano protetti adeguatamente attraverso misure adeguate, limitandone e controllandone gli accessi. Inoltre, è importante adottare procedure di backup e di recupero dati per garantire che i dati non vadano persi.
  2. Processi per la sicurezza informatica: integrare i dispositivi elettromedicali nei processi di sicurezza informatica comprendendo la gestione dei rischi, l’individuazione delle vulnerabilità e le azioni da intraprendere in caso di incidenti. Come avviene per l’ICT, il processo dovrebbe prevedere costanti aggiornamenti e revisioni per valutare le minacce emergenti.
  3. Aggiornamenti del software: predisporre anche per gli elettromedicali processi di aggiornamento del software, operando in sinergia con i produttori, riguardo ai rilasci di patch di sicurezza ed aggiornamenti del software.
  4. Controllo accessi: Limitare l’accesso ai dispositivi solo al personale autorizzato e assicurarsi che siano utilizzate credenziali uniche e complesse per l’autenticazione. È inoltre consigliabile utilizzare meccanismi di autenticazione a più fattori per aumentare la sicurezza.
  5. Monitoraggio delle attività: analizzare con strumenti di monitoraggio eventuali comportamenti sospetti o anomalie nel sistema, sia riguardo gli accessi, sia riguardo le connessioni di rete, individuando così comportamenti anomali rispetto al normale funzionamento. Ciò consente di individuare rapidamente gli accessi non autorizzati o le attività malevole e di intraprendere azioni correttive tempestive.
  6. Consapevolezza del personale: Formare il personale sanitario sull’importanza della sicurezza informatica e sulle best practice per la protezione dei dati. Ciò include l’educazione riguardo alle minacce comuni, come l’hacking, il phishing e il furto di dati, particolarmente delicato in quest’ambito.
  7. Relazione con i fornitori: Operare a stretto contatto con i fornitori di dispositivi medici per richiedere attività di manutenzione adeguate, che garantiscano l’affidabilità dei dispositivi anche rispetto al rischio “cyber”.

Queste sono solo alcune indicazioni di base per affrontare il problema della sicurezza informatica per gli apparati elettromedicali. Sembra che non ci sia nulla di nuovo, ma questo, nei fatti, non avviene, o non avviene sempre, o non avviene in modo adeguato e strutturato, nonostante esistano linee guida e normative specifiche a riguardo. I vincoli di certificazione come dispositivo medico inibiscono azioni di qualsiasi tipo sull’apparato, che di fatto continua a lavorare così come è stato rilasciato al momento del collaudo.

Compliance & M-IoT

La principale normativa di riferimento è il Decreto Legislativo 46/1997, noto come “Codice del Consumo”, che recepisce la Direttiva Europea 93/42/CEE relativa ai dispositivi medici. Questa normativa stabilisce i requisiti di sicurezza e prestazione che i dispositivi medici, compresi gli elettromedicali, devono soddisfare per essere commercializzati in Italia.

A livello europeo, è in vigore il Regolamento (UE) 2017/745 sui dispositivi medici (MDR – Medical Device Regulation), che ha sostituito la precedente Direttiva 93/42/CEE. Il MDR stabilisce requisiti più rigorosi per la sicurezza e la conformità dei dispositivi medici, inclusi gli elettromedicali, ed è divenuto pienamente applicabile dal maggio 2022.

Anche il Regolamento Europeo (UE) 2019/881 sulla cybersecurity, noto come la Cybersecurity Act, include nel suo perimetro il mondo dei dispositivi medici: il Regolamento sulla cybersecurity prevede la creazione di un quadro di certificazione europeo per i prodotti e i servizi di cybersecurity, incluso il settore dei dispositivi medici e gli elettromedicali. Tale quadro è finalizzato a garantire che i prodotti e i servizi digitali, tra cui gli elettromedicali, soddisfino determinati requisiti di sicurezza cyber.

Inoltre, il Framework Europeo per la Cybersecurity (European Cybersecurity Framework, ENISA) fornisce linee guida e raccomandazioni per migliorare la sicurezza cibernetica in vari settori, inclusa la sanità. Sebbene il framework ENISA non sia specificamente incentrato sugli elettromedicali, le sue linee guida possono essere applicate per mitigare i rischi e migliorare la sicurezza degli apparati elettromedicali.

Per ultimo, la piena applicabilità della direttiva NIS 2 avrà un impatto diretto sul settore degli elettromedicali, aumentando i requisiti di cybersecurity e le responsabilità delle organizzazioni sanitarie che li utilizzano. La NIS 2 richiede una maggiore attenzione alla gestione del rischio cibernetico, alla sicurezza dei dispositivi medici e alle pratiche di governance della sicurezza informatica. Questo significa che le organizzazioni devono adottare un approccio più proattivo alla protezione dei loro sistemi, con l’obiettivo di prevenire e mitigare i rischi che potrebbero compromettere la sicurezza dei pazienti.

In generale, possiamo affermare che la sicurezza degli elettromedicali dovrà sempre più essere considerata una componente importante della sicurezza cibernetica complessiva nel settore sanitario.

I possibili punti di osservazione

Ricordiamoci inoltre che questi apparati hanno caratteristiche particolari: volendo classificare il rischio cui sono esposti, possiamo identificare 3 macrocategorie, a seconda dei punti di vista con cui li osserviamo.

  1. Osservandoli con gli occhi dell’ICT, un attacco cyber potrebbe alterarne la configurazione, causare malfunzionamenti e generare una interruzione del servizio e la perdita dei dati.
  2. Osservandoli dal punto di vista delle norme sulla privacy e sulla riservatezza dei dati, questi apparati dovrebbero essere estremamente critici per il rischio di perdita o fuga di dati personali, anzi di dati particolari (cioè dati sanitari)
  3. Osservandoli dal un punto di vista clinico, alcuni di questi apparati potrebbero generare rischi direttamente associati alla vita o alla salute di un paziente: a seguito di un malfunzionamento derivante da un attacco cyber (o meglio dalla mancanza di protezione) si potrebbe ad esempio alterare la lettura di parametri vitali o la somministrazione di  dosaggi farmacologici, generando in casi estremi anche la morte di un paziente.

Purtroppo non parliamo di rischi teorici, ma ormai di fatti di cronaca. Il report CLUSIT del 2021 infatti documenta che nel settembre 2020 in un ospedale tedesco sia avvenuto il primo decesso  derivante da un attacco cyber, che ha alterato il funzionamento di una pompa ad infusione, somministrando ad un paziente dosaggi sbagliati.

  • Chi se ne deve occupare?

Sembra quindi che ci siano i presupposti per prestare i massimi livelli di attenzione a questo tema, ma nella mia esperienza non è così! Almeno, non è quello che vedo con i miei occhi dai clienti che ho visitato.

L’impressione rispetto alla situazione osservata, confermata da alcuni confronti confidenziali con diverse persone di diversi enti o aziende ospedaliere, è tristemente diversa.

Il problema della sicurezza degli elettromedicali è reale ma nei fatti, osservando quello che è successo fino ad oggi, non interessa nessuno:

  1. Non interessa al produttore, che sa perfettamente che il device è vulnerabile, ma vende (ed è “valutato per”) la sua funzionalità, non la sua sicurezza.
  2. Non interessa l’installatore, che ha l’obiettivo di farlo funzionare in fretta, anche attivando accessi come “admin” a pioggia, ed impostando password di default!
  3. Non interessa agli operatori sanitari (medici e tecnici), in quanto fanno un altro lavoro e non hanno percezione o consapevolezza di tali rischi. Capita talvolta che, se pochi illuminati intuiscono il rischio e “scalano” il problema, spesso si scontrano con mancanza di attenzione a vertici, o mancanza di fondi.
  4. Non interessa all’ingegneria clinica, in quanto effettua scelte e valutazioni dei fornitori basandosi su aspetti di natura funzionale o economica, e non sull’affidabilità del produttore nel supportare la base installata rispetto al rischio cyber.
  5. Non interessa alle istituzioni (intese come centrali di acquisto per le PA) in quanto non indirizzano le convenzioni per l’acquisto degli elettromedicali, verso prodotti che offrano adeguate garanzie di manutenzione degli aspetti Cyber.
  6. Non è nel perimetro dell’ICT, in quanto questi dispositivi vengono scelti da altri (di norma sono nel dominio dell’ingegneria clinica), e a loro viene semplicemente chiesto di connetterli in rete.

Di fatto quindi, il settore ICT subisce il DM vulnerabile: lo deve connettere in rete ma non lo può gestire!

Il motivo formale è che essendo un oggetto sottoposto a certificazioni non è possibile variarne la configurazione. Ma al contrario un’infezione da un qualsivoglia malware lo manterrebbe coerente con la certificazione?

Call to Action

L’IT quindi si deve proteggere da questo, ossia deve mettere in atto contromisure per proteggere la sua rete da un oggetto infetto by design dentro casa, e deve evitare di passare dalla padella alla brace nel caso l’infezione verso l’elettromedicale abbia avuto origine dalla rete che ha in gestione!

Il tono di queste pagine, soprattutto nelle conclusioni, è volutamente provocatorio: è una sorta di sasso nello stagno per provocare una reazione ed alzare il livello attenzione sul tema. Non si risenta chi ha già un comportamento virtuoso, ma mi aiuti a sollevare il problema verso chi ancora lo sottovaluta!

Non è impossibile né tecnicamente, né economicamente, indirizzare il problema in modo corretto, ma sono necessarie competenze specifiche e di settore! Affidatevi solo a chi conosce le peculiarità di questo mercato, diffidando a competenze maturate in altri contesti e adattate nel mondo sanitario! Esistono tecnologie e servizi capaci di accompagnare le strutture sanitarie nella corretta valutazione del rischio e nel mettere in opera misure di protezione adeguate, tutelando la disponibilità dei servizi, la riservatezza dei dati sanitari e soprattutto la salute dei pazienti. Con S3K e con il nostro SOC specializzato per l’assistenza a strutture sanitarie pubbliche o private, puoi trovare competenze specifiche ed una profonda conoscenza del tema.

La nostra esperienza ed i nostri differenziatori

Un SOC generalista non basta. Il nostro servizio si distingue grazie ad una competenza specifica di oltre 20 anni di esperienza nel mondo della sanità che ha consolidato una conoscenza approfondita dei processi clinici e delle tecnologie biomedicali.

Cybersecurity e sanità non sono due mondi separati: noi li integriamo.

I nostri punti di forza:

Specializzazione nel settore sanitario

  • Esperti di cyber che parlano il linguaggio della sanità.
  • Protezione di asset critici come cartelle cliniche, PACS, dispositivi medici.
  • Conoscenza delle normative: GDPR, ISO 27799, HL7, HIPAA, D.Lgs. 196/03.
  • Referenze attive su ASL, AO, IRCCS, pubbliche e private

Tecnologia avanzata, con customizzazioni specifiche per la sanità

  • SIEM con correlazione eventi + UEBA + SOAR.
  • AI per il threat hunting su dispositivi medicali.
  • Threat intelligence specializzata sul settore sanitario.
  • Monitoraggio continuo e SLA: es. rilevamento “Near Real Time” e definizione azioni di contenimento in pochi minuti.

Compliance garantita

  • Supporto completo in audit (ACN, AgID, etc…).
  • Gestione forense in caso di data breach o attacchi ransomware.
  • Report personalizzati per enti pubblici e privati.

Modello flessibile e integrato

  • Modulare: SOC gestito o ibrido, integrabile con il personale dell’ente/partner.
  • Integrazione semplice con i sistemi esistenti (firewall, EHR, PACS, antivirus, API aperte).

Servizi di sicurezza proattiva

  • Red Team e simulazioni di attacco.
  • Threat hunting costante.
  • Campagne di awareness mirate per il personale sanitario.
  • Report specifici per il personale tecnico, per la direzione e per l’ingegneria clinica.
  • Personale italiano/on-site per coerenza linguistica, culturale e normativa.

Oltre il SOC: consulenza strategica e governance

I nostri consulenti affiancano i team IT e la direzione nel definire strategie, policy e piani di sicurezza. Offriamo competenze verticali nei seguenti ambiti:

Incident Response & Threat Intelligence

Malware analysis e reverse engineering (es Analisi di ransomware che colpiscono cartelle cliniche e PACS)

Integrazione e processi: Integrazione con processi ITIL, Competenza su HL7, DICOM, FHIR e piattaforme sanitarie: Sistema informativo Ospedaliero/territoriale, telemedicina, FSE, RIS/PACS.

Governance e Compliance

  • Mappatura e gestione del rischio clinico (impatto Patient Safety), privacy e continuità operativa.
  • Creazione di policy di sicurezza, BCP/DRP e roadmap strategiche.
  • Conformità a: ISO 27001/27799, NIST, CIS Controls, ENISA
  • Interfaccia diretta con CISO, DPO, direzioni generali e IT clinico e Gestione di incidenti ad alto impatto reputazionale.

In sintesi: cosa ci rende unici

  • Profonda conoscenza del settore sanitario
  • Tecnologie di ultima generazione integrate con i sistemi clinici
  • Esperienza diretta con SSN, ASL, IRCCS
  • Un mix vincente di SOC, governance e formazione
  • Strategia, focalizzazione, esperienza e condivisione di responsabilità, non solo reattività

Cybersecurity Awareness, mirata e intelligente

Formazione non generica, ma costruita su misura per i ruoli sanitari:

TargetObiettivoContenuti
Popolazione operativa (medici, infermieri, tecnici, amministrativi)Riconoscere comportamenti rischiosi e attuare buone pratichePhishing & smishingUso sicuro di cartelle cliniche e PACSLock screen, badge, dispositivi USBSegnalazione incidenti  
Middle Management (coordinatori, referenti di reparto, responsabili IT)Coordinare e sostenere la cultura della sicurezzaIncident escalationRisk awareness per repartoCoinvolgimento nei piani di continuità  
Top Management / DGSponsorizzare la cultura cyber e prendere decisioni informate per una pianificazione strategicaCyber risk = rischio clinico & reputazionaleKPI e reportistica sicurezzaAdempimenti normativi e GaranteStrumenti operativi per la pianificazione strategica  

Come lo facciamo:

  • Formazione consulenziale per il management: tabletop, scenari di crisi, coaching strategico.
  • Piattaforma AI-driven per il personale operativo, con contenuti interattivi e personalizzati.

S3K eroga servizi di awareness integrando la sua capacità consulenziale con tecnologie abilitanti e contenuti specifici.

La consulenza di norma viene focalizzata sul top e middle management, costruendo una solida rete di collaborazione tra i nostri specialisti ed i “decision maker” del cliente, al fine di condividere esperienza maturata in altri contesti e costruire una linea strategica di governance.

I processi di awareness verso la popolazione operativa vengono invece erogati e gestiti attraverso una piattaforma abilitante AI driven: tale sistema è in grado di interagire con l’utente, e di sollecitarlo ed indirizzarlo attraverso contenuti e tool specifici verso la comprensione e l’apprendimento di comportamenti corretti o verso l’adozione di specifiche policy.

L’utente viene di fatto guidato ad abbandonare abitudini non adeguate, ed acquisire nuove competenze e consapevolezza con l’obiettivo di trasformare un anello debole della catena in una prima linea di difesa.

Per informazioni: https://www.s3kgroup.it/cosa-facciamo/competenze/cyber-security/soc-security-operation-center/

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

38 milioni di Numeri di telefono di Italiani in vendita nel Dark Web. E’ che Smishing Sia!
Di Redazione RHC - 06/09/2025

Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...