Le autorità federali statunitensi stanno esprimendo preoccupazione per la crescente presenza di dispositivi medici prodotti in Cina nel mercato americano. Questi dispositivi, come riporta la CNBC, che spaziano da apparecchiature diagnostiche a strumenti chirurgici, sono diventati sempre più comuni negli ospedali e nelle cliniche degli Stati Uniti.
La principale preoccupazione delle autorità riguarda la sicurezza e l’affidabilità di questi dispositivi.
In passato, alcuni prodotti medici cinesi sono stati associati a problemi di qualità, sollevando dubbi sulla loro conformità agli standard sanitari statunitensi.
Inoltre, esiste il timore che la dipendenza da dispositivi medici stranieri possa rappresentare una vulnerabilità per la sicurezza nazionale, soprattutto in situazioni di tensione geopolitica.
Le agenzie federali stanno valutando misure per monitorare e regolamentare l’importazione di questi dispositivi, garantendo che soddisfino rigorosi criteri di sicurezza ed efficacia. Tuttavia, l’industria sanitaria americana dipende in larga misura da fornitori internazionali per mantenere i costi sotto controllo e garantire l’accesso a una vasta gamma di tecnologie mediche.
Questo equilibrio tra garantire la sicurezza dei pazienti e mantenere l’accessibilità economica delle cure rappresenta una sfida complessa per le autorità sanitarie e i responsabili politici degli Stati Uniti.
Contec CMS8000 e i suoi potenziali rischi informatici
Come riporta la CNBC, un popolare monitor medico prodotto in Cina è l’ultimo dispositivo a ricevere attenzione per i suoi potenziali rischi informatici. Tuttavia, non è l’unico dispositivo sanitario di cui preoccuparsi. Gli esperti affermano che la proliferazione di dispositivi sanitari cinesi nel sistema medico degli Stati Uniti è motivo di preoccupazione per l’intero ecosistema.
In particolare il Contec CMS8000 è un monitor medico popolare che traccia i segni vitali di un paziente, inclusi elettrocardiogramma, frequenza cardiaca, saturazione di ossigeno nel sangue, pressione sanguigna non invasiva, temperatura e frequenza respiratoria.
Negli ultimi mesi, la FDA e la Cybersecurity and Infrastructure Security Agency (CISA) hanno avvertito di una “backdoor” nel dispositivo: una vulnerabilità “facilmente sfruttabile che potrebbe consentire a un malintenzionato di alterarne la configurazione”.
Traffico di rete anomalo
Il team di ricerca della CISA ha descritto un “traffico di rete anomalo” e la backdoor “che consente al dispositivo di scaricare ed eseguire file remoti non verificati” su un indirizzo IP non associato a un produttore di dispositivi medici o a una struttura medica, ma a un’università terza: “caratteristiche altamente insolite” che vanno contro le pratiche generalmente accettate “soprattutto per i dispositivi medici”.
“Quando la funzione viene eseguita, i file sul dispositivo vengono sovrascritti forzatamente, impedendo al cliente finale – come un ospedale – di mantenere la consapevolezza di quale software è in esecuzione sul dispositivo”, ha scritto la CISA.
Gli avvertimenti indicano che tale alterazione della configurazione potrebbe portare, ad esempio, il monitor a indicare che i reni di un paziente non funzionano correttamente o che la respirazione è compromessa, il che potrebbe indurre il personale medico a somministrare rimedi non necessari che potrebbero essere dannosi.
La vulnerabilità dell’apparecchiatura Contec non sorprende gli esperti medici e IT che da anni avvertono che la sicurezza dei dispositivi medici è troppo lassista.
La proliferazione di dispositivi medici cinesi una seria minaccia per il sistema
“Questo è un enorme gap che sta per esplodere”, ha affermato Christopher Kaufman, professore di economia presso la Westcliff University di Irvine, California, specializzato in IT e tecnologie dirompenti, riferendosi specificamente al divario di sicurezza in molti dispositivi medici.
L’American Hospital Association (AHA), che rappresenta oltre 5.000 ospedali e cliniche negli Stati Uniti, è d’accordo: la proliferazione di dispositivi medici cinesi e’ una seria minaccia per il sistema.
Per quanto riguarda specificamente i monitor Contec, l’AHA afferma che il problema deve essere affrontato con urgenza.
“Dobbiamo mettere questo in cima alla lista per il potenziale danno ai pazienti. Dobbiamo applicare patch prima che vengano hackerati”, ha detto John Riggi, consulente nazionale per la cybersecurity e il rischio per l’American Hospital Association. Riggi ha anche ricoperto ruoli nell’antiterrorismo dell’FBI prima di unirsi all’AHA.
La CISA riferisce che non è disponibile alcuna patch software per mitigare questo rischio, ma nel suo avviso ha affermato che il governo sta attualmente lavorando con Contec.
Contec, con sede a Qinhuangdao, Cina, non ha risposto a una richiesta di commento.
Rischi strategici, tecnici e di supply chain
Uno dei problemi è che non si sa quanti monitor ci siano negli Stati Uniti.
“Non lo sappiamo a causa dell’enorme volume di apparecchiature negli ospedali. Stimiamo, in modo conservativo, che ci siano migliaia di questi monitor. Questa è una vulnerabilità molto critica”, ha detto Riggi, aggiungendo che l’accesso cinese ai dispositivi può rappresentare rischi strategici, tecnici e della catena di approvvigionamento.
Nel breve termine, la FDA ha consigliato ai sistemi medici e ai pazienti di assicurarsi che i dispositivi funzionino solo localmente o di disabilitare qualsiasi monitoraggio remoto. Oppure, se il monitoraggio remoto è l’unica opzione, di smettere di utilizzare il dispositivo se è disponibile un’alternativa.
La FDA ha affermato che finora non è a conoscenza di incidenti informatici, infortuni o decessi correlati alla vulnerabilità.
L’American Hospital Association ha anche detto ai suoi membri che fino a quando non sarà disponibile una patch, gli ospedali dovrebbero assicurarsi che il monitor non abbia più accesso a Internet e sia segmentato dal resto della rete.
Riggi ha affermato che, sebbene i monitor Contec siano un esempio lampante di ciò che spesso non consideriamo tra i rischi per la salute, questo si estende a una gamma di apparecchiature mediche prodotte all’estero.
“Gli ospedali statunitensi con budget limitati” ha spiegato “spesso acquistano dispositivi medici dalla Cina, un paese con una storia di installazione di malware distruttivi all’interno delle infrastrutture critiche negli Stati Uniti. L’acquisto di apparecchiature a basso costo offre ai cinesi un potenziale accesso a una miriade di informazioni mediche americane che possono essere riutilizzate e aggregate per vari scopi”.
