cyber security

La sicurezza dei dispositivi medici è diventato un problema serio: come rimediare

I dispositivi medici sono l’anello debole della catena della sicurezza. Lo dimostrano diverse indagini. Per evitare di intervenire troppo tardi serve un’analisi complessiva dei processi sanitari nei quali i dispositivi vengono usati che coinvolga esperti di sicurezza, informatici e personale sanitario. Vediamo perchè

Pubblicato il 29 Ago 2018

Sergio Pillon

Vicepresidente e responsabile relazioni istituzionali AiSDeT, Associazione italiana Sanità Digitale e Telemedicina

La vulnerabilità dei dispositivi medici ad attacchi hacker è diventato ormai un fatto critico conclamato.

La dice lunga il titolo di un recente rapporto con cui MacAfee valuta la cybersecurity dei dispositivi medici: “80 to 0 in Under 5 Seconds: Falsifying a Medical Patient’s Vitals“ (Falsificare i parametri vitali del paziente: 80 a zero in meno di 5 secondi).

Al di là dei risultati del report, ci sono molte cose da imparare e lezioni da apprendere da questo “esercizio informatico” a proposito della sicurezza dei dispositivi e delle procedure mediche nell’era digitale.

Indagini sulla sicurezza dei dispositivi medici

La prima lezione è quella più ovvia: la sicurezza dei dispositivi medici non è più quella di una volta. Sembra una frase banale ma, solo per fare un esempio, i dispositivi medici devono subire un processo di certificazione e di approvazione prima di essere messi in commercio. Dalla mia esperienza i laboratori e le norme che in Europa e negli Stati Uniti governano questi processi sono, come minimo, inadeguati alle esigenze dell’era digitale. E la dimostrazione lampante è proprio l’80-0 di MacAfee, ma anche colloqui informali con gli amici utenti evoluti di dispositivi diagnostici informatici.

Una recente indagine sulla sicurezza nei sistemi informativi ospedalieri fatta dalla alta scuola di formazione e management dei sistemi sanitari dell’Università Cattolica (ALTEMS) in collaborazione con numerose Aziende sanitarie ed il Ministero della Salute (his-SA: metodologia di analisi e modello di classificazione della sicurezza nei sistemi informativi sanitari secondo un approccio di Health Technology Assessment) ha evidenziato con forza il problema. Oggi, come prosieguo della ricerca è stata avviata, sempre in collaborazione con gli stessi attori ed il Ministero della Salute una indagine sulla sicurezza dei sistemi sanitari integrati con i dispositivi medici che, come abbiamo visto, possono anche costituire il cavallo di troia per “craccare” l’organizzazione sanitaria.

I dispositivi medici, anello debole della catena

Da queste considerazioni nasce la seconda lezione: il dispositivo medico non è direttamente controllato e spesso è “ignoto” ai sistemi ospedaliere nei suoi aspetti informatici e può diventare, anche nel migliore dei sistemi sanitari, l’anello debole della catena. Una recente ricerca fatta da esperti di sicurezza Israeliani ha evidenziato che nella maggior parte dei sistemi RIS – PACS commerciali siano presenti falle di sicurezza alla portata della maggior parte dei “cracker” che possono consentire non solo il controllo del sistema ma anche l’accesso al sistema informativo dell’azienda sanitaria nel quale sono implementati. Per i meno esperti, i sistemi RIS – PACS sono i sistemi di gestione delle immagini, radiologiche, ecografiche, scintigrafie sempre più integrati con altri dispositivi “non radiologici” come elettrocardiogrammi ed altro. Il pronto soccorso, ma tutto il sistema ospedaliero sono estremamente vulnerabili ad un attacco terroristico che, ad esempio “mescoli” i database dei nomi dei pazienti e delle immagini ma anche, più astutamente, si potrebbe accedere attraverso il sistema ai dati sanitari, ai dati personali e persino a quelli economici.

Coinvolgere i medici

La terza lezione nasce da un ringraziamento al di sotto del report: “The author thanks Shaun Nordeck, MD, for his assistance with this report”. Ci vuole il coinvolgimento diretto dei medici nella valutazione del processo. Un medico, non certo per fare la parte informatica ma per valutare quali sono le possibili criticità nel processo. La sola presenza di “falle informatiche” può magari consentire di bloccare un apparato ma, come abbiamo imparato dai numerosi attacchi in campo sanitario fatti con criptolocker (trojan che criptano i file del PC, che possono essere sbloccati solo dopo pagamento di un riscatto) il vero obbiettivo dei “cracker” è sempre il profitto. Il terrorismo è una ipotesi possibile ma certamente meno probabile di un attacco finalizzato a fare denaro.

Giocare d’anticipo per prevenire i rischi

Piuttosto che cercare di rendere “invulnerabili” i dispositivi medici, cosa probabilmente impossibile, bisognerebbe cercare di rendere difficili gli attacchi più profittevoli.

Solo una analisi complessiva dei processi sanitari nei quali i dispositivi vengono impiegati può aiutare a valutare il rischio e l’analisi del rischio, ABC della cyber security, nel settore sanitario deve essere fatta con operatori sanitari competenti, un team di esperti in cui si integrino esperti di sicurezza, informatici e personale sanitario. Le case di cura ed i pazienti assicurati e paganti sono più a rischio delle RSA e dei vecchietti in assistenza domiciliare?

Non ci scommetterei, avere un elenco di pazienti in assistenza domiciliare, presentarsi con una divisa da infermiere, ben al corrente delle patologie, permette di farsi aprire e di svuotare la casa di un paziente fragile affidato ad una badante. Presentarsi come funzionari per l’accertamento di una invalidità con tutti i documenti inviati dal paziente permette di farsi firmare mandati di pagamento ben mascherati…. Volutamente non entro in dettagli più realistici e pericolosi.

In conclusione il messaggio per “colà dove si puote”, come avrebbe definito il sommo poeta le stanze dove di decide, è: i buoi nella stalla si stanno agitando, le porte della stalla sono fragili, non aspettate che siano scappati per chiuderle.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3