La vulnerabilità dei dispositivi medici ad attacchi hacker è diventato ormai un fatto critico conclamato.
La dice lunga il titolo di un recente rapporto con cui MacAfee valuta la cybersecurity dei dispositivi medici: “80 to 0 in Under 5 Seconds: Falsifying a Medical Patient’s Vitals“ (Falsificare i parametri vitali del paziente: 80 a zero in meno di 5 secondi).
Al di là dei risultati del report, ci sono molte cose da imparare e lezioni da apprendere da questo “esercizio informatico” a proposito della sicurezza dei dispositivi e delle procedure mediche nell’era digitale.
Indagini sulla sicurezza dei dispositivi medici
La prima lezione è quella più ovvia: la sicurezza dei dispositivi medici non è più quella di una volta. Sembra una frase banale ma, solo per fare un esempio, i dispositivi medici devono subire un processo di certificazione e di approvazione prima di essere messi in commercio. Dalla mia esperienza i laboratori e le norme che in Europa e negli Stati Uniti governano questi processi sono, come minimo, inadeguati alle esigenze dell’era digitale. E la dimostrazione lampante è proprio l’80-0 di MacAfee, ma anche colloqui informali con gli amici utenti evoluti di dispositivi diagnostici informatici.
Una recente indagine sulla sicurezza nei sistemi informativi ospedalieri fatta dalla alta scuola di formazione e management dei sistemi sanitari dell’Università Cattolica (ALTEMS) in collaborazione con numerose Aziende sanitarie ed il Ministero della Salute (his-SA: metodologia di analisi e modello di classificazione della sicurezza nei sistemi informativi sanitari secondo un approccio di Health Technology Assessment) ha evidenziato con forza il problema. Oggi, come prosieguo della ricerca è stata avviata, sempre in collaborazione con gli stessi attori ed il Ministero della Salute una indagine sulla sicurezza dei sistemi sanitari integrati con i dispositivi medici che, come abbiamo visto, possono anche costituire il cavallo di troia per “craccare” l’organizzazione sanitaria.
I dispositivi medici, anello debole della catena
Da queste considerazioni nasce la seconda lezione: il dispositivo medico non è direttamente controllato e spesso è “ignoto” ai sistemi ospedaliere nei suoi aspetti informatici e può diventare, anche nel migliore dei sistemi sanitari, l’anello debole della catena. Una recente ricerca fatta da esperti di sicurezza Israeliani ha evidenziato che nella maggior parte dei sistemi RIS – PACS commerciali siano presenti falle di sicurezza alla portata della maggior parte dei “cracker” che possono consentire non solo il controllo del sistema ma anche l’accesso al sistema informativo dell’azienda sanitaria nel quale sono implementati. Per i meno esperti, i sistemi RIS – PACS sono i sistemi di gestione delle immagini, radiologiche, ecografiche, scintigrafie sempre più integrati con altri dispositivi “non radiologici” come elettrocardiogrammi ed altro. Il pronto soccorso, ma tutto il sistema ospedaliero sono estremamente vulnerabili ad un attacco terroristico che, ad esempio “mescoli” i database dei nomi dei pazienti e delle immagini ma anche, più astutamente, si potrebbe accedere attraverso il sistema ai dati sanitari, ai dati personali e persino a quelli economici.
Coinvolgere i medici
La terza lezione nasce da un ringraziamento al di sotto del report: “The author thanks Shaun Nordeck, MD, for his assistance with this report”. Ci vuole il coinvolgimento diretto dei medici nella valutazione del processo. Un medico, non certo per fare la parte informatica ma per valutare quali sono le possibili criticità nel processo. La sola presenza di “falle informatiche” può magari consentire di bloccare un apparato ma, come abbiamo imparato dai numerosi attacchi in campo sanitario fatti con criptolocker (trojan che criptano i file del PC, che possono essere sbloccati solo dopo pagamento di un riscatto) il vero obbiettivo dei “cracker” è sempre il profitto. Il terrorismo è una ipotesi possibile ma certamente meno probabile di un attacco finalizzato a fare denaro.
Giocare d’anticipo per prevenire i rischi
Piuttosto che cercare di rendere “invulnerabili” i dispositivi medici, cosa probabilmente impossibile, bisognerebbe cercare di rendere difficili gli attacchi più profittevoli.
Solo una analisi complessiva dei processi sanitari nei quali i dispositivi vengono impiegati può aiutare a valutare il rischio e l’analisi del rischio, ABC della cyber security, nel settore sanitario deve essere fatta con operatori sanitari competenti, un team di esperti in cui si integrino esperti di sicurezza, informatici e personale sanitario. Le case di cura ed i pazienti assicurati e paganti sono più a rischio delle RSA e dei vecchietti in assistenza domiciliare?
Non ci scommetterei, avere un elenco di pazienti in assistenza domiciliare, presentarsi con una divisa da infermiere, ben al corrente delle patologie, permette di farsi aprire e di svuotare la casa di un paziente fragile affidato ad una badante. Presentarsi come funzionari per l’accertamento di una invalidità con tutti i documenti inviati dal paziente permette di farsi firmare mandati di pagamento ben mascherati…. Volutamente non entro in dettagli più realistici e pericolosi.
In conclusione il messaggio per “colà dove si puote”, come avrebbe definito il sommo poeta le stanze dove di decide, è: i buoi nella stalla si stanno agitando, le porte della stalla sono fragili, non aspettate che siano scappati per chiuderle.
