HANDBOOK

Guida al servizio di assistenza remota e aspetti sulla sicurezza

Indice
1. Scopo del documento
2. Introduzione
3. Accesso a InnerVision
4. Dispositivi medici di RM, TAC, e X-ray
4.1 Come funziona?
4.2 Sicurezza locale con il firewall di Canon Medical Systems
4.3 Metodi di connessione VPN
4.3.1 Soluzione VPN con firewall Canon
4.3.2 Connessione SSL VPN
4.3.3 Connessione VPN LAN to LAN
4.4 Preparazione del sito per dispositivi medici di RM,TAC, e X
4.5 Controllo di accessi per dispositivi medici di RM,TAC, e X-ray
4.5.1 Autenticazione
4.5.2 Autorizzazione
4.5.3 Contabilizzazione
5. Dispositivi medici ad ultrasuoni
5.1 Come funziona?
5.2 Sicurezza locale
5.3 Connessione sicura
5.4 Preparazione del sito per dispositivi medici ad ultrasuoni
5.5 Controllo dell’accesso per gli scanner ad ultrasuoni
5.5.1 Autorizzazione
5.5.2 Contabilizzazione
6. Programma antivirus sui dispositivi medici
7. L’infrastruttura informatica protteta di Canon Medical Systems
7.1 Introduzione
7.2 Sicurezza della rete
7.3 Anti-Virus
7.4 Patch del sistema operativo e altri
8. Tutela dei dati e privacy di pazienti (PDP)
8.1 DPP in immagini trasferite in modalità DICOM
8.2 DPP durante una sessione di diagnostica dal “vivo”
9. Informazioni generali per le nostre istituzioni sanitarie relative al Malicious Software

2
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
10. Glossario
11. Accordo per l’Utilizzo dei Servizi Emoti InnerVision:

3
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
1. Scopo del documento

Questo documento descrive i metodi di connessione offerti da Canon Medical Systems Europe (CMSE)
per fornire connettività con la tecnologia VPN per il servizio di assistenza remota.
I relativi aspetti trattati in questo documento sono:
 Descrizione della funzionalità,
 Configurazione della topologia di rete,
 Patch di sicurezza e aggiornamenti dei server utilizzati per l'accesso remoto,
 Autenticazione, autorizzazione e contabilizzazione dell'accesso utente InnerVision,
 Politiche di Canon Medical Systems per la tutela dei dati personali dei pazienti (DPP).

4
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
2. Introduzione

InnerVision è la suite “Supporto e diagnostica da remoto” di CMSE.

InnerVision è una configurazione di tecnologia di rete che consente il servizio di assistenza e
il supporto da remoto tramite connessione VPN ai dispositivi medici Canon.

Con InnerVision, Canon Medical Systems evidenzia il suo impegno al raggiungimento di

massima soddisfazione delle istituzioni sanitarie, offrendo supporto applicativo su richiesta e
manutenzione proattiva per ottenere il 100% del tempo di funzionamento dei dispositivi
medici.

InnerVision offre ai tecnici dell'assistenza la possibilità di diagnosticare, monitorare e

mantenere i dispositivi medici da remoto in qualsiasi momento. Il personale applicativo può
utilizzare InnerVision per addestrare e assistere gli operatori di dispositivi medici.

InnerVision per dispositivi medici di RM, TAC, e X-ray (angiovascolare, cardiovascolare a raggi
X e fluoroscopia a distanza) offre messaggi di avviso ai tecnici per l’assistenza responsabili,
per un servizio di assistenza proattivo. InnerVision allerta e fornisce ai tecnici per l’assistenza
possibili soluzioni e parti da sostituire per riparare i sistemi in un'unica visita. Il sistema
InnerVision richiede l'accesso 24 ore su 24, 7 giorni su 7, ai dispositivi medici installati,
pertanto i metodi di connessione come portali web o VPN remota nei domini delle istituzioni
sanitarie non possono essere supportati.

Il Capitolo 4.3 descrive tre metodi di connessione usati da Canon Medical Systems Europe
(CMSE).

InnerVision per dispositivi medici ad ultrasuoni non richiede accesso 24/7. InnerVision per
dispositivi medici ad ultrasuoni viene eseguito tramite un'applicazione di condivisione dello
schermo su richiesta, che consente al dispositivo medico ad ultrasuoni di connettersi con il
tecnico per l’assistenza o lo specialista applicativo per la durata della sessione.

La connessione è controllata da un server ospitato da CMSE che utilizza l'infrastruttura IT

protetta di CMSE.

5
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
3. Accesso a InnerVision

Gli utenti di InnerVision sono un numero limitato di persone.

Gli amministratori di CMSE InnerVision controllano tutti gli account utente.
Il rispetto delle leggi sulla protezione dei dati è assicurato in ogni momento e trattato da
accordi specifici con le parti coinvolte. L'accesso viene consentito solo dopo aver completato
con successo un addestramento obbligatorio sulla governance delle informazioni. Quando si
accede a InnerVision, tutte queste persone sono autenticate e autorizzate in modo sicuro ai
dispositivi medici che esse devono essere in grado di supportare.

I dipendenti delle società sotto descritte sono di seguito indicati come "Utenti InnerVision":
 Canon Medical Systems Europe: 1st line supervisory support, service e application.
 Canon Medical Systems Europe Group Company’s (CGC’s – Filiali del Gruppo CMS): 1st line
support, service e application.
 Distributori Canon Medical Systems Europe: 1st line support, service e application.
 Fornitori NCMP (Prodotti Medicali Non della Canon) una volta che i loro prodotti sono stati
venduti da Canon Medical Systems, come i sistemi emodinamici o le workstation. La loro
conformità è certificata e assicurata da CMSE con accordi appropriati.

Per ulteriori informazioni, inviare cortesemente una email: Data.Protection@eu.medical.canon

Per ulteriori dettagli consultare le sezioni "Controllo degli accessi".

6
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
4. Dispositivi medici di RM, TAC, e X-ray

4.1 Come funziona?

Utilizzando la connessione protetta, gli utenti di InnerVision possono fornire supporto per
applicazioni cliniche e una risoluzione dei problemi rapida e semplice.
L'interfaccia di assistenza remota CMSE offre tutti i tipi di strumenti in un'unica interfaccia
agevole. Ad esempio, essa offre agli utenti di InnerVision la condivisione dello schermo con
l'Istituto sanitario e consente loro di modificare i protocolli applicativi per ottimizzare la
qualità dell'immagine.
I tecnici per l’assistenza possono scaricare e analizzare i file di registro per una rapida e
semplice risoluzione dei problemi, eseguire il recupero dei dispositivi medici, eseguire una
manutenzione proattiva monitorando il dispositivo medico e adottare misure in caso di
necessità e ricevere messaggi di allarme in tempo reale dal dispositivo medico.

4.2 Sicurezza locale dal firewall di Canon Medical Systems

Per supportare le proprie istituzioni sanitarie nella protezione contro le minacce alla sicurezza,
Canon Medical Systems ha standardizzato l'installazione di firewall tra la propria rete locale e
la rete delle istituzioni sanitarie al fine di ridurre la vulnerabilità (per ulteriori informazioni si
prega di consultare la sezione 9 "Informazioni generali per le nostre istituzioni sanitarie
relative a Malicious Software").

Il firewall di Canon Medical Systems consente i servizi DICOM quali: lista di lavoro delle
modalità (Modality Worklist Management), archiviazione su PACS o workstation (Storage) e
Query & Retrieve.

Il firewall di Canon Medical Systems limita il traffico di rete che non è necessario dal
raggiungimento del dispositivo medico, impedisce ad estranei di accedere ai servizi interni e
protegge i suoi dispositivi medici da minacce quali virus, malware, ransomware e attacchi di
malicious software.

Il firewall di Canon Medical Systems garantisce la velocità di rete interna sulla LAN di Canon
Systems. Il trasferimento dei dati alla stazione di visualizzazione durante gli interventi è
fondamentale e non può fallire. La LAN di Canon Medical Systems è configurata con indirizzi
IP standardizzati per i dispositivi medici.

Il firewall di Canon Medical Systems può essere utilizzato per impostare la connessione VPN
per il servizio remoto.

I firewall Canon Medical Systems possono essere accessibili per il ben addestrato personale
IT delle istituzioni sanitarie. Se necessario, Canon Medical Systems fornisce nome utente e

7
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
password al dipartimento IT dell'Istituto sanitario. Il firewall utilizza NAT statico. I protocolli di
routing dinamico sono disabilitati.

4.3 Metodi di connessione VPN

CMSE offre tre tipi di connessioni VPN. Questi tipi sono:
• Connessione VPN con firewall Canon.
• Connessione VPN SSL.
• Connessione VPN LAN a LAN.
Le differenze in termini di configurazione e sicurezza saranno discusse nei paragrafi seguenti.

4.3.1 Soluzione firewall VPN di Canon

Questa connessione VPN viene avviata dal firewall fornito da Canon. Questo firewall è
posizionato tra il dispositivo medico e la rete dell'Istituto sanitario. Il firewall creerà una
connessione VPN LAN-LAN in uscita verso il Concentratore VPN CMSE. CMSE VPN
Concentrator è il firewall CMSE in cui vengono terminate tutte le connessioni VPN europee.
È una connessione protetta e crittografata che utilizza IPsec.

Ci sono due ragioni per cui CMSE ha deciso di sviluppare questo tipo di metodo:
1) Per evitare problemi di compatibilità sia nell'hardware che nella crittografia;
2) Ridurre al minimo il tempo impiegato dal dipartimento IT dell'Istituto sanitario per
impostare e gestire una connessione VPN.

I tecnici formati per l’assistenza sul campo configureranno e manterranno questa

connessione. Richiede un impegno minimo del dipartimento IT dell'Istituto sanitario.
8
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
È una soluzione flessibile in cui Canon Medical Systems è incaricata di impostare i servizi
consentiti. Questo è necessario per le future applicazioni sviluppate. L'aggiunta e la rimozione
di dispositivi medici nella LAN Canon non richiede il coinvolgimento del dipartimento IT
dell'Istituto sanitario e può essere gestita dal tecnico dell'assistenza sul campo.

Servizi utilizzati in questo tipo di connessione:

InnerVision, HP RGS, Acronis, VNC, PC-anywhere, RDP, NTP, HTTPS, SMTP, TELNET, FTP, ICMP

Dettagli VPN:
Protocollo: IPSec
Autenticazione: Preshared Secret
Modalità IKE di negoziazione: IKEv2
Crittografia: AES256-SHA256
Scambio della chiave DH19 (256 bit)

Requisiti per l'Istituto sanitario:

Il firewall fornito deve essere in grado di istradare i pacchetti verso (e da) l'indirizzo IP pubblico
del CMSE VPN concentrator (213.53.177.53) tramite le porte UDP 500 e 4500, il dipartimento
IT delle istituzioni sanitarie deve aprire queste due porte.
L'indirizzo IP pubblico dell'istituto sanitario deve essere fisso (Non dinamico).

Per configurare questa connessione, è necessario quanto segue:

• Preparazione del sito; vedere la Sezione 4.4 "Preparazione del sito per dispositivi di
RM, TAC, e X-ray".
• Lista di controllo completata per la connessione InnerVision; DOC-7-103 Lista di
controllo della rete per il firewall Canon VPN rev *
• Accordo per servizi remoti; vedere la Sezione 11.

Una volta completato, si prega di inviare i documenti al dipartimento InnerVision di CMSE.

tsg.iv@eu.medical.canon

9
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
 4.3.2 Connessione SSL VPN

Nella soluzione CMSE SSL VPN, la connessione VPN viene avviata dal PC fornito per
l’assistenza remota denominato Service Processor. Questo PC è installato vicino al dispositivo
medico. Il Service Processor crea una connessione SSL con il CMSE SSL Concentrator. CMSE
SSL Concentrator è il firewall CMSE in cui vengono terminate tutte le connessioni SSL europee.
È una connessione protetta e crittografata che utilizza SSL VPN.

CMSE ha adottato la connessione SSL VPN al fine di;

1) Evitare problemi di compatibilità in hardware / crittografia;
2) Ridurre al minimo il tempo del dipartimento IT dell'Istituto sanitario per impostare e
gestire la connessione VPN.

I tecnici formati per l’assistenza sul campo installano e mantengono questa connessione.
Richiede un coinvolgimento minimo del dipartimento IT dell'Istituto sanitario. Un notevole
vantaggio è che SSL VPN non dipende da un indirizzo IP pubblico statico del firewall Internet
dell'istituto sanitario su Internet. Funziona anche con un indirizzo IP pubblico dinamico.

È una soluzione flessibile in cui Canon Medical Systems è incaricata di impostare i servizi
consentiti. Questo è necessario per le future applicazioni sviluppate. L'aggiunta e la
rimozione di dispositivi medici nella LAN Canon non richiede il coinvolgimento del
dipartimento IT dell'Istituto sanitario e può essere gestita dal tecnico dell'assistenza sul
campo.

10
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
Servizi utilizzati in questo tipo di connessione:
InnerVision, HP RGS, Acronis, VNC, PC-anywhere, RDP, NTP, HTTPS, SMTP, TELNET, FTP, ICMP

Dettagli VPN:
Protocollo: SSL VPN
Sicurezza: SSL/TLS + certificati per l’autenticazione e scambio di chiavi
Crittografia: 3DES-EDE3-CBC DH2 (1024 Bit)

Per configurare questa connessione, è necessario quanto segue:

• Il Service Processor fornito da Canon Medical Systems deve essere in grado di istradare i
pacchetti all'indirizzo IP pubblico del CMSE SSL VPN concentrator (213.53.177.52) tramite la
porta TCP 443.
• Il dipartimento IT dell'Istituto sanitario deve aprire queste porte o consentire questo traffico
nel server Proxy.
• Preparazione del sito come da Sezione 4.4 "Preparazione del sito per dispositivi di RM, TAC,
e X-ray";
• Lista di controllo completata per la connessione InnerVision; DOC-7-103 Lista di controllo
della rete per Connessione SSL VPN rev *
• Accordo per servizi remoti; vedere la Sezione 11.

Una volta completato, si prega di inviare i documenti al dipartimento InnerVision di CMSE.

tsg.iv@eu.medical.canon

11
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
4.3.3 Connessione VPN LAN to LAN

Nella connessione VPN LAN to LAN, la connessione VPN viene configurata tra CMSE e il
dipartimento ICT dell'istituto sanitario. La VPN verrà stabilita tra il CMSE VPN Concentrator e
il firewall Internet dell'Istituto sanitario. È una connessione protetta e crittografata che utilizza
IPsec.

Ragioni per le quali CMSE ha deciso di sviluppare questo tipo di metodo:

IPsec è un protocollo di norme aperto. Ciò significa che possiamo negoziare il livello di
crittografia con il dipartimento IT dell'Istituto sanitario. L'accesso è controllato dal
dipartimento IT dell'Istituto sanitario. Nessun traffico crittografato sulla rete dell'Istituto
sanitario.

NOTA: questo metodo richiede un maggiore coinvolgimento del dipartimento IT dell'istituto

sanitario e, in generale, richiede più tempo per l'installazione e la manutenzione.

Servizi utilizzati in questo tipo di connessione:

InnerVision, HP RGS, Acronis, VNC, PC-anywhere, RDP, NTP, HTTPS, SMTP, TELNET, FTP, ICMP
Vedi la lista di controllo per i dettagli.

Protocollo: IPSec
Autenticazione: Preshared Secret
Modalità IKE di negoziazione: IKEv2
Crittografia: AES256-SHA256
Scambio della chiave DH19 (256 bit)

12
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
Maggiori dettagli nella sezione: "8.5 Lista di controllo della rete per Connessione VPN LAN to
LAN"

NOTA: il livello di crittografia sopra menzionato è una proposta e può essere impostato a un
livello diverso.

Per configurare questa connessione, è necessario quanto segue:

• Connessione a Internet con un indirizzo IP fisso.
• Il dipartimento IT dell'Istituto sanitario è responsabile della corretta configurazione
dei propri dispositivi medici collegati tramite VPN con le impostazioni concordate con
CMSE.
• I seguenti intervalli IP saranno consentiti attraverso il tunnel VPN:
Intervallo CMSE: 193.67.134.0/25
Intervallo dell'istituto sanitario: da definire dal dipartimento IT dell'Istituto sanitario.
• Il dipartimento IT dell'Istituto sanitario dovrebbe istradare correttamente questi
indirizzi all'interno della sua rete e consentire le porte menzionate nella Checklist. Il
traffico istradato è in entrata e in uscita.
• Preparazione del sito come da Sezione 4.4 "Preparazione del sito per dispositivi
medici di RM, TAC, e a X-ray".
• Lista di controllo completata per la connessione InnerVision; DOC-7-103 Lista di
controllo della rete per la connessione VPN LAN to LAN rev *.
• Accordi per servizi remoti vedere la Sezione 11.

Una volta completato, si prega di inviare i documenti al dipartimento InnerVision di CMSE.

tsg.iv@eu.medical.canon

NOTA: nel caso in cui non tutte le porte siano consentite, Canon Medical Systems non è in
grado di utilizzare la funzionalità InnerVision completa, che può portare a riparazioni in loco
o al supporto delle applicazioni. Le organizzazioni di servizi locali possono adottare il loro
contratto di servizio a questo scopo.

13
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
4.4 Preparazione del sito per dispositivi medici di RM,TAC, e X

Preparazione del sito per i tre tipi di connessioni VPN come descritto nella Sezione 5.

Al momento della consegna del kit InnerVision TIV, il software del Service Processor (SP) è
precaricato e l'hardware aggiuntivo è incluso (a seconda della modalità).
Il firewall (attualmente SonicWall TZ600) viene consegnato separatamente dal kit InnerVision.

Requisiti di alimentazione
Prese da 230 V CA per il collegamento (alimentazione 24 ore) di:
- Firewall.
- Service Processor PC

Connettività IT dell'Istituto sanitario:

• Una connessione di rete fisica nella sala tecnica. Due connessioni di rete fisiche se il
firewall non viene utilizzato;
• Indirizzi IP host nella rete dell'Istituto sanitario come richiesto. Un indirizzo IP per
dispositivo è sufficiente per tutti i tipi di installazione.

Se l'accesso a Internet non è disponibile, è necessario impostare un account ADSL.

Si è liberi nella selezione dell’ Internet Service Provider (ISP).
Requisiti:
• Indirizzo IP fisso; (Non richiesto per SSL VPN)
• Velocità minima: 20 Mbit /s in upload/download

Posizionamento InnerVision.
Se possibile, utilizzare un piccolo armadio per reti (da acquistare localmente) per installare il
firewall, l'SP, il dispositivo di isolamento Moxa (opzionale) e una ciabatta multipresa. Un
armadio 6U da 19 pollici sarà sufficiente.

In generale, InnerVision verrà collocato nella sala tecnica insieme al firewall consegnato. Le
dimensioni sono le seguenti:

Descrizione Altezza Larghezza Profondità

Service Processor PC (SP) 34 mm 175 mm 177 mm*
Firewall SonicWall TZ600 40 mm 283 mm 230mm
* Inclusi i connettori sul retro.
* TZ600 può anche essere fornito con una mensola per il montaggio su rack da 19". Questo
è obbligatorio per le installazioni Infinix-I.
Avvertimento per i dispositivi di RM: queste unità non devono essere collocate in uno degli
armadi per RM.

14
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
4.5 Controllo di accessi per dispositivi medici di RM,TAC, e X-ray

CMSE utilizza la tripla A" per controllare l'accesso a InnerVision, la tripla A si riferisce a:
autenticazione, autorizzazione e contabilizzazione
L'autenticazione di sessione, basata su gruppi CMSE Active Directory (AD) interni, verifica
l'accesso dell'utente InnerVision a InnerVision. I gruppi AD sono controllati dagli
amministratori di InnerVision. Gli utenti di InnerVision sono istruiti a utilizzare la piattaforma
di servizi remota e gestire il PDP, vedere la sezione 8: Protezione dei dati personali dei pazienti.

4.5.1 Autenticazione
Sono necessari 2 passaggi di login necessari per gli utenti di InnerVision per accedere a
InnerVision.
Innanzitutto, è necessario accedere al dominio CMSE (sia presso gli uffici di Canon Medical
Systems o collegandosi da remoto al dominio di CMSE tramite il gateway aziendale.) CMSE
controlla l'accesso tramite un metodo di autenticazione a due fattori sicuro (RSA SecurID /
safenet). La regolamentazione della password richiede la modifica della password ogni 3 mesi.
In secondo luogo, è necessario accedere a InnerVision. Gli utenti di InnerVision possono
connettersi esclusivamente a InnerVision tramite RDP e accedere con nome utente e
password.

4.5.2 Autorizzazione
L'autenticazione di sessione basata sui gruppi interni di Active Directory (AD) verifica l'accesso
dell'utente InnerVision agli indirizzi / intervalli IP riservati. Questi indirizzi / intervalli IP
vengono assegnati ai dispositivi medici all'interno di un’Istituto sanitario specifica dagli
amministratori di InnerVision.
Pertanto, gli utenti di InnerVision possono connettersi solo alle istituzioni sanitarie nel proprio
Paese o ai sistemi ai quali sono esplicitamente autorizzati.
Ad esempio: i membri del gruppo Canon Active Directory Francia hanno accesso solo alle
istituzioni sanitarie assegnate al gruppo: "Francia". Questo gruppo "Francia" contiene indirizzi
IP / intervalli assegnati alle istituzioni sanitarie francesi.

4.5.3 Contabilizzazione
L'applicazione InnerVision registra tutte le connessioni consentite in un database dedicato.
Un'applicazione di reporting utilizza questo database per generare relazioni. Informazioni
registrate:

• Persona che ha effettuato il login

• Data e ora della sessione
• Durata della sessione

15
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
• Protocolli utilizzati
I dati registrati verranno archiviati per un periodo di un anno.

I Rapporti possono essere distribuiti su richiesta, contattare cortesemente il rappresentante

di Canon Medical Systems.

16
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
5. Diaspositivi medici ad ultrasuoni

InnerVision per dispositivi medici ad ultrasuoni è una soluzione di condivisione dello schermo
su richiesta, che consente al dispositivo medico ad ultrasuoni di connettersi con il tecnico per
l’assistenza o lo specialista applicativo per la durata della sessione utilizzando il Remote
Session Server.
Oltre alla condivisione dello schermo e alla funzione chat per la formazione e l'assistenza
dell'operatore, offre più funzionalità. È utile per diagnosticare guasti, leggere i dati del log,
eseguire azioni correttive relative al servizio di assistenza come caricare il firmware, modificare
le impostazioni DICOM, creare rapporti IQ, backup / ripristino, modificare i preset, regolare le
impostazioni dell'utente, assistere in problemi di qualità dell'immagine, ecc. Ne consegue che
un problema può essere risolto più rapidamente, assicurando più tempo di attività.

5.1 Come funziona?

Il Server sessione remota di Canon Medical Systems è installato su un server ospitato da
Canon Medical Systems Europe. Quando un’Istituto sanitario richiede il supporto remoto, il
suo operatore dovrebbe iniziare la sessione remota. Pertanto, l'operatore deve richiedere un
codice di sessione univoco tramite telefono da un utente InnerVision. Quando una sessione
viene avviata dall'Istituto sanitario, il codice di sessione concede all'utente InnerVision
l'accesso al dispositivo medico ad ultrasuoni.
L'Istituto sanitario deve iniziare la manutenzione a distanza dal pannello a sfioramento del
dispositivo medico ad ultrasuoni per inserire il codice di sessione. L'utente InnerVision non è
in grado di avviare una connessione senza il permesso dell'Istituto sanitario.

Durante la sessione c'è un'indicazione sullo schermo che mostra all'operatore che è attiva una
"sessione live". La sessione può essere disconnessa in qualsiasi momento dall'operatore.

17
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
5.2 Sicurezza locale
La connessione dal dispositivo medico ad ultrasuoni ad altri servizi Internet dovrebbe essere
bloccata dalle impostazioni del firewall dell'Istituto sanitario. I dispositivi medici ad
ultrasuoni non hanno altre comunicazioni di rete abilitate come IE Explorer, e-mail, ecc.
L'anti-virus whitelist di McAfee® Embedded Control è disponibile di serie su dispositivi
medici ad ultrasuoni, ma deve essere attivato, vedere la sezione Antivirus sulla modalità.

5.3 Connessione sicura

Per garantire una connessione sicura, Canon Medical Systems utilizza la tecnologia SSL.
La connessione SSL include la crittografia completa, basata su scambio di chiavi private /
pubbliche RSA e codifica di sessione AES (256 bit), dall'inizio della sessione di avvio, come
protezione sicura in due passaggi. Questa tecnologia si basa sugli stessi standard di https /
SSL ed è completamente sicura e conforme agli standard odierni.
Lo scambio di chiavi garantisce anche una protezione completa dei dati da cliente a cliente.
Ciò significa che anche i server di routing di Canon Medical Systems non saranno in grado di
leggere il flusso di dati.

5.4 Preparazione del sito per dispositivi medici ad ultrasuoni

La connessione SSL richiede un firewall aperto in uscita sulla porta 443 agli indirizzi del server
CMSE.
Per la ricerca DNS esterna è richiesta la porta 53 in uscita.
Il nome di dominio completo (FQDN) utilizzato per la connessione al servizio remoto sono:
Remotecall.tmse.nl e Remotecallgw.tmse.nl

Il dispositivo medico ad ultrasuoni può essere configurato anche per utilizzare un server
proxy, se necessario.

18
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
5.5 Controllo dell’accesso per gli scanner ad ultrasuoni
Prima che l'utente InnerVision possa stabilire una connessione con i dispositivi medici, deve
essere collegato in anticipo al dominio Canon Medical Systems, vedere 4.5 Autenticazione
controllo accessi per dispositivi medici di RM, TAC, e X-ray.
Sono necessari 2 passaggi di accesso necessari per gli utenti di InnerVision per accedere a
InnerVision.
Innanzitutto, è necessario accedere al dominio Canon Medical Systems. Sia essendo presenti
negli uffici di Canon Medical Systems o collegandosi da remoto al dominio aziendale tramite
il gateway aziendale. Canon Medical Systems controlla l'accesso tramite un metodo sicuro di
autenticazione a due fattori (RSA SecurID / safenet)). La regolamentazione della password
richiede la modifica della password ogni 3 mesi.
In secondo luogo, l'utente InnerVision richiede un client software per connettersi al server di
sessione remoto.

5.5.1 Autorizzazione
L'autorizzazione della sessione viene effettuata scambiando l'ID della sessione
telefonicamente con l'operatore.
Ciò consente solo a questo particolare utente InnerVision di connettersi al dispositivo medico
ad ultrasuoni per la durata della sessione.

5.5.2 Contabilizzazione
La contabilizzazione di sessione viene eseguita tramite lo strumento di segnalazione delle
sessioni e può essere richiesta in qualsiasi momento.
I rapporti offrono informazioni come:
• Data, ora e durata della sessione.
• Indirizzo IP locale e nome host del PC collegato.
• Indirizzo IP privato di sistema remoto, indirizzo IP pubblico, indirizzo MAC, nome
host e nome dell'Istituto sanitario.
Ciò consente a Canon Medical Systems di risalire alla singola sessione eseguita da remoto
su un dispositivo medico.
I dati della sessione vengono archiviati per un periodo di un anno.
Rapporto dopo la sessione
Alla fine della sessione viene richiesto un rapporto di servizio obbligatorio da parte dell'utente
InnerVision.
Il rapporto include i dati relativi all'Istituto sanitario e di InnerVision e un estratto della routine
di lavoro eseguita. I dettagli sono registrati nel Remote Session Server.

19
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
6. Programma antivirus sui dispositivi medici

I sistemi medici Canon implementano il whitelist anti-virus di McAfee® Embedded Control

sulle sue modalità.

McAfee® Embedded Control controlla l'integrità dei nostri sistemi consentendo un solo
codice autorizzato per l’esecuzione e solo modifiche autorizzate da potersi fare.
Crea automaticamente una whitelist dinamica del "codice autorizzato" sul sistema
incorporato. Una volta creato e abilitato la whitelist, il sistema viene bloccato sulla base di
riferimento nota. Nessun programma o codice esterno al set può essere eseguito e non è
possibile apportare modifiche non autorizzate.

McAfee Embedded Control è una soluzione di piccole dimensioni, a basso sovraccarico,

indipendente dalle applicazioni che fornisce una protezione "deploy-and-forget". McAfee
Embedded Control converte un sistema basato su un sistema operativo commerciale in una
"black box" in modo che assomigli ad un sistema operativo proprietario chiuso. Impedisce
l'esecuzione di programmi non autorizzati presenti su disco o iniettati in memoria e impedisce
modifiche non autorizzate a una linea di base autorizzata. Questa soluzione consente a Canon
Medical di usufruire dei vantaggi dell'utilizzo di un sistema operativo commerciale senza
incorrere in ulteriori rischi o perdere il controllo sul modo in cui i sistemi vengono utilizzati
sul campo.

Controllo eseguibile
Con McAfee Embedded Control, solo i programmi contenuti nella whitelist dinamica di
McAfee possono essere eseguiti. Altri programmi (ex, dll, script) sono considerati non
autorizzati. La loro esecuzione è impedita e l'errore è registrato di default. Ciò impedisce
worm, virus, spyware e altri malware che si installano dall'esecuzione illegittima.

Controllo della memoria

Il controllo della memoria garantisce che i processi in esecuzione siano protetti da tentativi
malevoli di dirottarli. Il codice non autorizzato immesso in un processo in esecuzione viene
bloccato, interrotto e registrato.
In questo modo, i tentativi di ottenere il controllo di un sistema tramite il buffer overflow,
l'overflow del heap, l'esecuzione dello stack e gli exploit simili sono resi inefficaci e vengono
registrati.

Canon Medical Systems ha introdotto l'antivirus della whitelist da quando Canon Medical
Systems ha cambiato le modalità del sistema operativo in windows7. Per un elenco
aggiornato, rivolgersi cortesemente al rappresentante di Canon Medical Systems.

20
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
7. L’infrastruttura informatica protteta di Canon Medical Systems

7.1 Introduzione
Tutte le connessioni InnerVision utilizzano la tecnologia VPN. Questa connessione VPN
collega i dispositivi medici presenti nell'Istituto sanitario alla rete InnerVision. La rete
InnerVision si basa su un'infrastruttura IT protetta e su procedure interne chiare e un rigoroso
controllo degli accessi.

7.2 Sicurezza della rete

Le regole di accesso consentono solo connessioni del protocollo Desktop remoto al server
InnerVision da intervalli IP interni predeterminati.
La protezione dei dati interni è garantita dalla crittografia dei dati sulla LAN dell'ufficio CMSE.

I dispositivi di rete (hardware e software) utilizzati per InnerVision sono certificati dal Common
Criteria Arrangement; vedi http://www.commoncriteriaportal.org/products/
CMSE dispone di tecnici certificati per questi prodotti.

7.3 Anti-Virus
I server, i desktop e i laptop di CMSE utilizzano un software antivirus. Le definizioni dei virus
vengono aggiornate ogni 2 ore e una scansione completa del sistema viene pianificata una
volta al mese.

7.4 Patch del sistema operativo e altri

Per gli aggiornamenti del sistema operativo OS: una finestra patch Microsoft predefinita viene
seguita su base settimanale solo per le patch critiche. Gli aggiornamenti sono distribuiti da
Altiris Management Suite. Gli aggiornamenti sono rilasciati in base alla politica della CMSC
(Corporate). Gli aggiornamenti sui nostri firewall vengono applicati come previsto, decisi dal
nostro responsabile della sicurezza.

Nota: se nessuna delle Connessioni VPN LAN to LAN è accettata dall'Istituto sanitario, si prega
di contattare CMSI per inoltro della richiesta a CMSE. CMSE valuterà la richiesta e consiglierà
se i requisiti richiesti possono essere implementati.

21
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
8. Tutela dei dati e privacy di pazienti (PDP)

Come definito nel Regolamento Generale sulla Tutela dei Dati dell'UE ("GDPR"), per "dati
personali" si intendono tutte le informazioni relative a una persona fisica identificata o
identificabile ("soggetto interessato"), art. 4 (1). Per "elaborazione" si intende qualsiasi
operazione o insieme di operazioni eseguite su dati personali. "Dati relativi alla salute": dati
personali relativi alla salute fisica o mentale di una persona fisica, compresa la fornitura di
servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute, art. 4 (15). I dati
personali relativi alla salute sono considerati una categoria speciale di dati personali o "dati
sensibili", che richiedono un livello più elevato di protezione durante l'elaborazione di questo
tipo di dati personali. La regola generale è che tali dati personali non devono essere trattati,
a meno che la trasformazione sia consentita nei casi specifici di cui all'art. 9 del GDPR. L'Istituto
sanitario deve essere considerata ”Titolare del Trattamento Dati” relativi ai dati personali del
paziente, secondo gli utenti GDPR e InnerVision come definiti nella sezione 3 del presente
manuale, devono essere considerati come ”Responsabile del Trattamento Dati”. Per la
maggior parte delle attività relative ai servizi remoti, i problemi tecnici possono essere
affrontati analizzando i file di log tecnici dai dispositivi medici senza alcun accesso ai dati
personali, ma in due attività è coinvolto l'elaborazione DPP, come descritto più avanti nei
punti 8.1 e 8.2. Canon Medical Systems ha messo in atto politiche per garantire la conformità
con le leggi e le normative sulla protezione dei dati personali applicabili. La conformità a
questi è obbligatoria per gli utenti di InnerVision.
Gli utenti InnerVision che utilizzano il sistema sono istruiti sui processi e sui requisiti al fine di
salvaguardare l'elaborazione dei dati personali del paziente. La lettura e la comprensione delle
istruzioni operative di InnerVision DOC-7-90 sono obbligatorie prima che venga concesso
l'accesso a InnerVision. DOC-7-90 Istruzioni operative InnerVision descrive:
• Conoscenza di base delle misure di sicurezza adottate per proteggere il servizio remoto;
• Misure di sicurezza adottate per proteggere i dati personali del paziente (DPP) ";
• Le regole alle quali gli utenti di InnerVision devono attenersi all'elaborazione dei dati
personali dei pazienti.
DOC-7-90 fa parte dei documenti gestiti dal QA.

8.1 DPP in immagini trasferite in modalità DICOM

All'interno dell'applicazione di assistenza remota Ultrasound, non è possibile trasferire le
immagini DICOM a Canon Medical Systems. Nel concetto di InnerVision per i nostri dispositivi
Grandi Impianti di MRI, TAC e –X-Ray, è possibile trasferire le immagini DICOM al Service
Processor (SP), le quali possono essere recuperate dagli utenti di InnerVision. Queste
immagini DICOM saranno rese anonime in due modi:
1) Quando l'Istituto sanitario invia un'immagine per scopi di risoluzione dei problemi
contenente dati personali del paziente a Canon Medical Systems, i dati vengono inviati
a un servizio di archivio DICOM sull’SP. Questo servizio anonimizza automaticamente i
dati dell'immagine prima che siano memorizzati nell’SP. I dati anonimi possono essere

22
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
 recuperati dal SP dagli utenti di InnerVision e analizzati utilizzando un visualizzatore
DICOM.
2) Su alcune modalità i software danno l’opportunità all'operatore dei dispositivi medici
di effettuare l'anonimizzazione dei dati al momento dell'invio. Nella finestra di dialogo
DICOM ”invia” c’è la possibilità di spuntare la casella di controllo: "de-identifica". Questo
anonimizza i dati personali del paziente al momento dell'invio.

8.2 DPP durante una sessione di controllo remoto dal “vivo”

L’applicazione di condivisione schermo per i dispositivi medici ad ultrasuoni è RemoteCall.
Le applicazioni di assistenza remota utilizzate per RM, TAC e X-ray sono Symantec
PCAnywhere, RDP, VNC HP-RGS e Remote Service. L'applicazione utilizzata dipende dal tipo
di sistema e dalla versione del software. Queste sono tutte applicazioni di condivisione dello
schermo in cui gli utenti di InnerVision possono vedere lo schermo del sistema e quindi
possono visualizzare i dati personali del paziente (definiti come dati sanitari e quindi dati
sensibili) dopo che l'Istituto sanitario ha concesso l'autorizzazione premendo il pulsante
specifico sullo schermo del sistema. Tale autorizzazione è valida solo per la durata della
sessione e può essere interrotta dall'istituto sanitario in qualsiasi momento. Durante tali
sessioni diagnostiche "live", nessun dato viene registrato o memorizzato sui server CMSE.
L'elaborazione dei dati sensibili durante le 'sessioni in diretta' diagnostiche come supporto
del servizio remoto all'Istituto sanitario rientra nell'elenco delle eccezioni di Art.9. 2. (h) di
GDPR che consente tale trattamento, necessario ai fini della diagnosi medica.

23
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
9. Informazioni generali per le nostre istituzioni sanitarie relative al
Malicious Software

In linea con la tendenza diffusa nel settore dell'imaging medicale, Canon Medical Systems
Corporation (CMSC) si è orientata verso soluzioni di piattaforma basate su PC più generiche.
CMSC offre i più recenti dispositivi medici di imaging medicale, incorporando la gestione
flessibile delle informazioni e la condivisione in tempo reale tramite reti, inclusa l'integrazione
con RIS (Radiology Information Systems) e PACS (Picture Archiving and Communication
Systems).
Tali reti interne si integrano facilmente in qualsiasi sistema di informazione esistente con
accesso a Internet, facilitando la sincronizzazione del flusso di lavoro e creando il potenziale
per migliorare radicalmente il trattamento dei pazienti. Tuttavia, quando i sistemi sono
collegati a reti con accesso a Internet, i PC generici (compresi i prodotti Canon Medical
Systems) incorporati in essi possono diventare sensibili agli attacchi di Malicious Software
(malware). Pertanto, tutte le istituzioni sanitarie devono garantire che siano state
implementate adeguate misure di sicurezza nelle loro reti. Canon Medical Systems non si
assume alcuna responsabilità per minacce dannose in alcun modo e tutte le responsabilità di
Canon Medical Systems per eventuali danni derivanti da tali minacce sono escluse.

L'approccio di Canon Medical Systems per supportare le sue istituzioni sanitarie

nell'affrontare le minacce malware è il seguente.

1. Canon Medical Systems utilizza filosofie di progettazione di sistemi difensivi nel proprio
software per dispositivi medici, riducendo la vulnerabilità agli attacchi di malware.
2. Per garantire prestazioni sicure e affidabili dei dispositivi medici, Canon Medical Systems
convalida tutti i software dei dispositivi medici (compresi i patch software) prima dell'uso da
parte delle istituzioni sanitarie.
3. Canon Medical Systems offre un servizio di verifica e ripristino del malware per dispositivi
medici infetti o danneggiati dal malware. Per questo servizio è previsto un addebito separato.
4. I dispositivi medici non incorporano automaticamente software antivirus in quanto tale
software potrebbe compromettere le prestazioni sicure e affidabili del dispositivo medico in
un ambiente destinato al paziente. Su alcuni prodotti, ad esempio nella categoria
"workstation", Canon Medical Systems può fornire informazioni sui prodotti software antivirus
per i quali è stata verificata l'integrità del sistema. Questa informazione è fornita su richiesta.
5. L'installazione non autorizzata di qualsiasi software antivirus nel dispositivo medico annulla
la garanzia del prodotto.

Il rapporto "Difesa contro la logica malevola per i sistemi di informazione medica", pubblicato
dal Comitato congiunto di sicurezza e privacy (SPC) NEMA / COCIR / JIRA, indica che vi è
consenso nel settore medico circa l’assenza di una soluzione che possa garantire una
protezione al 100%. Pertanto, Canon Medical Systems raccomanda vivamente che tutti i
sistemi operativi delle istituzioni sanitarie in un ambiente di rete forniscano le necessarie

24
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
misure di sicurezza nella rete, inclusi meccanismi di controllo dell'accesso, firewall, IDS
(Intrusion Detection Systems) e procedure utente per proteggere adeguatamente i dispositivi
medici critici da attacchi di malware e quindi mantenerli sicuri e performanti al livello ottimale.

25
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
10. Glossario

AD Active Directory, Servizio di autenticazione MS per l'autenticazione e la

manutenzione di dipendenti e gruppi di dipendenti.

CT Tomografia computerizzata

DHCP Un protocollo per l'assegnazione di indirizzi IP dinamici ai dispositivi su una rete

Firewall È un dispositivo hardware o un'applicazione software progettata per proteggere

i dispositivi di rete da utenti esterni alla rete e da applicazioni e file dannosi.

Fixed IP L'indirizzo IP statico non può essere modificato dal server DHCP

FTP File Transfer Protocol è un protocollo Internet standard per la trasmissione di

file tra computer.

Host Qualsiasi computer con accesso bidirezionale completo ad altri computer su

Internet.

HP-RGS HP remote graphics, Applicazione proprietaria HP per il mirroring dello schermo

HTTPS Hyper Text Transfer Protocol Secure. Protocollo per la comunicazione tra un
server web e un cliente, che opera in modalità protetta.

ICMP Internet Control Message Protocol è un protocollo di controllo dei messaggi e

di segnalazione degli errori tra un server host e un gateway su Internet

IP Internet Protocol

ISP Internet Service Provider è una società che fornisce l'accesso a Internet e ad altri
servizi correlati.

LAN local area network

MRI Magnetic Resonance Imaging (Risonanza Magnetica per Immagini)

NTP Network Time Protocol è un protocollo che viene utilizzato per sincronizzare i
tempi di clock del computer in una rete di computer.

26
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
OS Un sistema operativo è il programma che, dopo essere stato inizialmente
caricato nel computer da un programma di avvio, gestisce tutti gli altri
programmi in un computer.

DPP Dati personali del paziente

RDP Remote Desktop Protocol è un protocollo di comunicazioni di rete sicuro per

applicazioni basate su Windows in esecuzione su un server.

RSA Secure-ID, Rivest-Shamir-Adleman è un sistema di crittografia e autenticazione

Internet che utilizza un algoritmo.

SMC Symantec Management Server

SMTP Simple Mail Transfer Protocol è un protocollo TCP/IP utilizzato per inviare e
ricevere email.

SP Service Processor, sistema basato su PC situato vicino ai dispositivi medici

Canon, utilizzato per il monitoraggio della modalità come scanner per
tomografia computerizzata

SSL The Secure Sockets Layer (SSL) è un protocollo comunemente utilizzato per la \
gestione della sicurezza di una trasmissione di messaggi su Internet

TCP Transmission Control Protocol è un insieme di regole (protocollo) utilizzato

insieme al protocollo Internet per inviare dati sotto forma di unità di messaggio
tra computer su Internet.

Telnet Un comando utente e un protocollo TCP / IP sottostante per l'accesso ai

computer remoti. Tramite Telnet, un amministratore o un altro utente possono
accedere da remoto al computer di qualcun altro.

TLS Transport Layer Security è un protocollo che garantisce la privacy tra le

comunicazioni tra le applicazioni e i loro utenti su Internet.

CMSE Canon Medical Systems Europe B.V.

CSG Canon Medical Service Group

UDP User Datagram Protocol è un protocollo di comunicazione

US Ultrasuoni

27
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
UTP Il doppino intrecciato non schermato è il tipo più comune di cablaggio in rame
per le reti di dati.

VNC Virtual network computing è un tipo di software di controllo remoto che

consente di controllare un altro computer tramite una connessione di rete.

VPN Virtual Private Network

28
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
11. Accordo per l’Utilizzo dei Servizi Remoti InnerVision:

Accettando di utilizzare i servizi remoti Canon qui di seguito, l'Istituto sanitario accetta i
termini e le condizioni definiti in nell’Handbook InnerVision.

Nome dell'Istituto
sanitario :
Indirizzo :

Scegliamo il metodo di connessione:

□ Connessione VPN firewall Canon Medical.
□ Connessione VPN SSL.
□ Connessione VPN LAN a LAN.
□ Connessione ad ultrasuoni.

Nome:

Posizione:

Firma:

Data:

29
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3
 30
DOC-7-58 INNERVISION HANDBOOK remote service guide and security aspects Rev 3