Una importante evoluzione tecnologica ha caratterizzato negli ultimi anni l’offerta di dispositivi medici specializzati, come per esempio le apparecchiature elettroniche utilizzate a scopo diagnostico: elettrocardiografi, ecocardiografi, endoscopi e così via. Da strumenti elettronici di tipo proprietario, questi dispositivi si sono trasformati sempre più in strumenti a forte componente informatica, attraverso l’adozione di standard It e l’utilizzo di sistemi operativi come Windows.
Questa evoluzione rende ora possibile la loro connessione in rete con tutti i sistemi e le basi dati delle reti informatiche sanitarie e ospedaliere consentendo, per esempio, la raccolta e il trasferimento di dati tra questi dispositivi e altri sistemi It, con benefici in termini di maggior affidabilità ed efficienza di determinate attività diagnostiche.
Il processo sommariamente descritto ha tuttavia anche un risvolto negativo, dovuto ad alcune particolarità riguardanti questi dispositivi medici; infatti questi sono certificati dai singoli produttori, e qualsiasi intervento mirato – per esempio per l’installazione di soluzioni di sicurezza e delle patch di sistema – viene considerato dai produttori stessi alla stregua di una rottura di questa certificazione di garanzia.
Una situazione che rende così questi dispositivi particolarmente vulnerabili di fronte ad attacchi alla sicurezza attraverso virus, worm e così via, attacchi che non sarà possibile affrontare secondo le tradizionali politiche di security e che potrebbero così facilmente estendersi a tutta la rete dati dell’azienda sanitaria.
In rete tutto quanto è collegabile
Questa situazione spiega l’interesse che riveste il caso dell’Azienda Sanitaria di Reggio Emilia, che in collaborazione con Trend Micro ha realizzato una soluzione che consente la continuità operativa in sicurezza di oltre un centinaio di questi dispositivi e il loro collegamento in rete, tra di loro e con i sistemi della rete dati della Asl, senza rischi per l’affidabilità e l’efficienza dell’intera rete.
A proposito di comunicazione in rete di strumenti e dispositivi eterogenei, Marco Rossi, Vice responsabile del servizio informatico della Asl di Reggio Emilia sottolinea la scelta di ‘convergenza totale’ fatta da anni dall’It della Asl, che si è proposta di mettere in comunicazione tutto quanto può essere collegato in rete (telefoni, sistemi di allarme, dispositivi medici ecc.) e ricorda l’archivio che memorizza esami come cardiogrammi e immagini radiologiche e che la rete deve veicolare e condividere.
Lo stesso Rossi ci fa poi un esempio concreto dell’importanza del collegamento tra It e dispositivi specializzati. “Nelle attività diagnostiche lo strumento utilizzato deve avere un riferimento anagrafico certo nel momento in cui viene fatto l’esame. Ancora oggi, invece, anche sullo strumento diagnostico l’anagrafica viene spesso inserita manualmente e questo può essere causa di errori; se invece lo strumento è collegato attraverso la rete alla base dati anagrafica, attraverso un codice fiscale o attraverso elementi certi di identificazione del paziente, l’anagrafica del paziente trattata viene associata in maniera assolutamente certa all’esame che si sta facendo. Da anni abbiamo fatto una scelta di convergenza sulla rete dati per mettere in comunicazione tutto quanto è collegabile, per cui abbiamo dovuto individuare un sistema che consentisse di proteggere questi dispositivi medici”.
La soluzione individuata
L’importante è che i dispositivi medici possano trarre tutti i benefici possibili dall’integrazione nella rete dati aziendale senza subirne però i rischi in caso di minacce alla sicurezza. È questo il risultato consentito dalla soluzione implementata dall’It della Asl con l’utilizzo di un Nac (Network Access Control) e di alcune appliance installate nei presidi ospedalieri dove si trovano i dispositivi medici.
I dispositivi medici sono stati ‘isolati’ con la creazione di più Virtual Lan che consentono loro di dialogare con il resto della rete dati attraverso un Nac, che in presenza di particolari condizioni di sicurezza, non solo abilita lo scambio di dati e informazioni tra la Vlan dei dispositivi medici e la rete dei sistemi IT (sistemi, database, ecc.) ma è anche in grado di isolare e ‘mettere in quarantena’ gli stessi dispositivi medici attraverso funzionalità di intrusion prevention e intrusion detection (presenti in prodotti sempre forniti da Trend Micro). Presso ciascuna struttura ospedaliera sono state poi collocate delle appliance che raggruppano e connettono tra di loro i diversi dispositivi e il cui funzionamento è monitorato attraverso una console centralizzata installata presso la sede della Asl.
Una volta isolati i dispositivi sospetti e garantita la continuità di servizio della rete sanitaria, sarà possibile rivolgersi all’assistenza tecnica.
Alla prova dei fatti…
In questo modo, grazie alla barriera protettiva e al loro conseguente inserimento in rete, i dispositivi medici sono protetti da virus e da minacce alla sicurezza; e possono così, malgrado la loro eterogeneità, comunicare tra loro e tra un presidio ospedaliero e l’altro garantendo continuità di funzionamento a beneficio dei pazienti.
“Alla prova dei fatti il sistema ha funzionato e la bontà delle soluzioni di sicurezza implementate è stata riscontrata – afferma Marco Rossi – dal fatto di non avere avuto ancora alcun problema né blocchi delle attività”.
L’It dell’Asl di Reggio Emilia
La struttura It della Asl di Reggio Emilia comprende 12 persone con supporti esterni per l’assistenza sistemistica e di rete. 2.500 sono i posti di lavoro supportati con 3.500 utenti distribuiti in 70 sedi sul territorio (con 5 ospedali, uffici e presidi medici di vario tipo). Sono 190 (100 fisici e 90 virtuali) i server oggi in funzione nell’infrastruttura It della Asl, che è anche da ricordare per l’infrastruttura wireless che copre i 5 ospedali presenti sul territorio di competenza, con circa 70 access point per ospedale. Le esperienze condotte sul fronte wireless riempiono di orgoglio i responsabili IT della ASL. Marco Rossi ci elenca una serie di applicazioni che da tempo sfruttano questa tecnologia di rete. Per esempio da un paio di anni gli elettrocardiografi che raccolgono in mobilità i dati dei pazienti vengono collegati tramite la rete wireless. “Da anni facciamo il VoIP wifi oppure la prescrizione informatizzata in dose unitaria: il medico fa la prescrizione in mobilità, attraverso dei dispositivi hand held legge il codice a barre sul braccialetto del paziente e carica la terapia attraverso la rete wireless”.
