Clear Sky Science
Spiegazioni basate sulle evidenze, con poco gergo

Clear Sky Science · it

Un modello ibrido basato su blockchain e apprendimento profondo per la rilevazione di attacchi multivettore nei sistemi sanitari connessi all’Internet delle cose

· Torna all'indice

Perché proteggere gli ospedali connessi è importante

Gli ospedali moderni dipendono sempre di più da dispositivi connessi a Internet: monitor cardiaci che trasmettono i parametri vitali, pompe per infusioni che regolano le dosi dei farmaci e sensori indossabili che seguono i pazienti a casa. Questa rete digitale può migliorare notevolmente l’assistenza, ma apre anche nuove porte agli attaccanti. L’articolo illustra un nuovo modo per proteggere queste reti mediche da una combinazione di attacchi informatici, usando un mix di intelligenza artificiale e blockchain, con l’obiettivo di individuare le minacce in millisecondi mantenendo al tempo stesso l’integrità e la riservatezza dei dati dei pazienti.

Figure 1
Figure 1.

Molte porte, molti tipi di intrusi

Le reti sanitarie non sono come i normali sistemi d’ufficio. Mescolano dispositivi vecchi e nuovi, devono rispondere in tempo reale e veicolano informazioni estremamente sensibili. Gli attaccanti possono saturare le reti per interrompere i servizi, intercettare messaggi in segreto, indovinare le password tramite tentativi ripetuti o spostarsi lentamente attraverso i livelli del sistema partendo da un singolo dispositivo vulnerabile. Gli autori descrivono come questi attacchi “multivettore” possano colpire dispositivi, dati, infrastrutture e persino apparecchiature critiche per la vita come i ventilatori, evidenziando che firewall semplici e liste di regole non sono più sufficienti.

Insegnare alle macchine a riconoscere i comportamenti anomali

L’approccio proposto utilizza l’apprendimento profondo per osservare il traffico di rete e decidere se appare normale o maligno. Innanzitutto, un modello chiamato deep sparse autoencoder comprime i numerosi dettagli tecnici di ogni flusso di rete — chi comunica con chi, con quale frequenza e quanti dati — in una breve impronta che conserva comunque i pattern rilevanti. Queste impronte alimentano una rete ricorrente bidirezionale che impara come il traffico evolve nel tempo, così da distinguere tra un breve picco d’attività e l’accumulo lento di un attacco. In parallelo, tre rilevatori specialistici si concentrano su minacce particolari: uno tarato per i flood di denial‑of‑service, uno per le manomissioni man‑in‑the‑middle e uno per i login a forza bruta.

Figure 2
Figure 2.

Combinare le opinioni degli esperti e valutare la fiducia

Invece di lasciare che un singolo modello decida, il sistema fonde le uscite di tutti i rilevatori usando un passaggio bayesiano di “product‑of‑experts”. Questo metodo premia matematicamente l’accordo tra esperti e riduce il peso dei segnali inaffidabili. Una fase di calibrazione aggiusta poi queste probabilità in modo che, per esempio, un allarme al 90% si comporti effettivamente come “9 volte su 10” nella pratica. Il sistema considera anche il contesto clinico: per un dispositivo di supporto vitale tende alla prudenza, trattando i comportamenti sospetti più seriamente rispetto a un sensore meno critico. Quando la fiducia è alta, il sistema può innescare blocchi o deviazioni; quando l’incertezza è elevata, può segnalare il traffico per una revisione umana invece di agire automaticamente.

Scrivere un diario di sicurezza immodificabile

Per tracciare quanto avviene tra diversi ospedali o cliniche, gli autori aggiungono uno strato blockchain privato. Ogni evento di rilevazione — cosa è stato osservato, quanto il sistema era sicuro e quale risposta è stata adottata — viene scritto in un registro condiviso usando un metodo di consenso veloce, così nessuna singola parte può modificare segretamente i record. Contratti intelligenti su questo registro regolano chi può vedere quali parti dei log, in base al ruolo e allo scopo, mantenendo però latenza sufficientemente bassa da non interferire con le cure in corso. Test su una rete sanitaria simulata di 12 nodi mostrano che la blockchain può processare centinaia di eventi di sicurezza al secondo con alti tassi di successo e tempi di conferma inferiori al secondo.

Quanto funziona in pratica

Il team ha valutato il loro progetto su due grandi raccolte di traffico Internet‑of‑Things, reali e simulati: una mirata a dispositivi di terapia intensiva e l’altra che copriva oltre un centinaio di dispositivi diversi. Su questi dataset, il sistema combinato ha rilevato gli attacchi con un’accuratezza di circa 93–97%, superando metodi tradizionali come strumenti basati su firme, support vector machine e random forest di 7–20 punti percentuali. In modo cruciale, ha raggiunto ritardi di rilevamento inferiori a 16 millisecondi nei test controllati, e ha gestito simultaneamente più tipi di attacco meglio di qualsiasi singolo modello. Quando i modelli addestrati su un dataset sono stati testati sull’altro, le prestazioni sono calate ma sono rimaste rispettabili, suggerendo una capacità moderata di generalizzare oltre l’ambiente di addestramento.

Cosa significa per pazienti e ospedali

In termini semplici, lo studio mostra che gli ospedali possono usare una combinazione di riconoscimento avanzato dei pattern e registrazione a prova di manomissione per sorvegliare in tempo reale i loro dispositivi connessi. I componenti di apprendimento profondo funzionano come un team di analisti della sicurezza specializzati in diversi tipi di cattivo comportamento, mentre la blockchain funge da quaderno incorruttibile di ciò che è stato rilevato e di come il personale ha risposto. Sebbene gli autori notino che sono necessari test sul campo e una migliore gestione degli attacchi rari e sofisticati, i risultati suggeriscono che un design ibrido del genere potrebbe rendere gli ospedali digitali futuri sia più intelligenti sia più sicuri, riducendo la probabilità che un attacco informatico alteri silenziosamente i dati o interrompa le cure.

Citazione: Sengan, S., Shieh, CS. & Horng, MF. A hybrid blockchain based deep learning model for multivector attack detection in internet of things enabled healthcare systems. Sci Rep 16, 10060 (2026). https://doi.org/10.1038/s41598-026-40765-3

Parole chiave: cybersicurezza sanitaria, internet delle cose, sicurezza blockchain, rilevazione delle intrusioni, apprendimento profondo