«Alcuni anni fa una catena di supermercati è stata attaccata dagli hacker attraverso i sistemi da remoto di gestione del condizionamento dell’aria, mentre un casinò è stato aggredito attraverso il sistema che controllava l’alimentazione dei pesci nell’acquario.
Se gli hacker riescono a sfruttare queste imprevedibili porte d’ingresso, anche la sanità è un obiettivo raggiungibile e facilmente vulnerabile per scopi di pirateria informatica».
L’ha affermato durante la sessione dedicata alla cyber security in sanità all’interno del XXII Convegno AIIC (in corso di svolgimento a Riccione, 12-15 giugno) Claudio Telmon, componente del Comitato direttivo della Società italiana della sicurezza informatica (Clusit).
La frontiera della sicurezza informatica è una delle grandi sfide della sanità digitalizzata ed è al centro del dibattito dell’evento AIIC. Negli ultimi mesi proprio gli attacchi dei criminali informatici ai centri di gestione dei dati sanitari sono diventati più frequenti. Lazio e Veneto ne hanno fatto recentemente le spese, con dati sanitari bloccati, richieste di riscatto e task force organizzate per garantire servizi e normali procedure amministrative. Perché questi fenomeni di criminalità digitale sempre più frequenti in sanità?
Ha precisato Telmon: «Le tecnologie sempre più diffuse in questo ambito sono la spiegazione di queste aggressioni: i dispositivi medicali sono vulnerabili perché la parte informatica di un dispositivo medico spesso non è curata e protetta con la stessa attenzione di altri sistemi IT.
Dispositivi indossabili e impiantabili sono molto accessibili per come trasmettono i dati: per esempio, le pompe insuliniche sono raggiungibili attraverso la supply chain di aggiornamento, come anche il bluetooth di un pacemaker è estremamente vulnerabile.
Sono poi da considerare le strutture di telemonitoraggio e telemedicina e tutti quei sistemi basati su connettività che passa attraverso soluzioni in cloud. Questi sono elementi facilmente accessibili per chi ha intenzioni criminali».
Luca Giobelli dell’Azienda Zero Veneto ha riportato l’esperienza vissuta nello sviluppo di risposte agli attacchi a una ULSS attaccata da hackers: nell’immediato è stata messa a punto una task force centrale per identificare ruoli e livello di maturità della sicurezza cibernetica, carenze e possibili servizi di sicurezza da implementare.
A medio termine, si è investito nel controllo e implementazione delle azioni prioritarie, mentre a lungo termine è stato presentato un piano in base per la definizione di un modello organizzativo e operativo con corsi di formazione e di awareness.
La formazione ha quindi un ruolo centrale nello sviluppo di risposte precise agli attacchi degli hacker. Elemento sottolineato anche nella visione di Lee Kim (senior principal cyber security and privacy dell’organizzazione di ricerca HIMMS) che da una prospettiva internazionale ha sottolineato l’importanza dell’aggiornamento continuo degli operatori, che devono essere preparati a riconoscere un attacco e a condividerne con i colleghi le possibili conseguenze.
A questa ha aggiunto l’importanza di una cultura di governance basata sulla sicurezza, perché ogni organizzazione deve avere attenzione per procedure e management.
Stephen Grimes (senior advisor presso la University of Connecticut per l’insegnamento agli ingegneri clinici e past president dell’Associazione Americana di Ingegneria Clinica – ACCE) ha rilanciato il tema dell’alta competenza professionale: «abbiamo una serie di sfide nel settore e sappiamo che nessun paese può risolvere il problema da solo: forse un’agency internazionale potrebbe essere una risposta forte a questa emergenza.
A mio modo di vedere tutti gli operatori sanitari dovrebbero avere informazioni di base in cybersecurity, dall’infermiere all’ingegnere clinico. Pertanto è necessario l’apporto di competenze vaste e adeguate, perché le conseguenze della cyber security nell’healthcare sono diverse e ormai pesantissime».
Oltre alla formazione c’è però un impulso da dare a regole e strumenti per garantire sicurezza e diffonderla anche nell’ambito dei produttori di tecnologie, e qui l’Europa è in affanno.
Su questo tema Fabio Cubeddu di Confindustria Dispositivi Medici ha ricordato che anche all’interno dei recenti regolamenti europei non c’è chiarezza.
«Attualmente il fabbricante per garantire sicurezza deve fare riferimento alla nuova banca dati Eudamed, e alla Post Marketing Surveillance, ma si tratta di due riferimenti ancora non completamente operativi».
Le aziende produttrici sono tenute ad analizzare rischi e incidenza per gravità di impatto di un attacco informatico al dispositivo per tutta la fase di vita del dispositivo, sin dalla sua progettazione. Ma a fronte di una evidente incertezza regolatoria il mercato non sa bene come comportarsi.
«Di fronte alle tante problematiche ci attendiamo scelte centrali decise e nette», ha concluso Maurizio Rizzetto referente AIIC per la cyber security. «Formazione, competenze, professionalità fanno la differenza, ma ci serve anche un ambito di riferimento istituzionale per seguire una linea comune e per una condivisione di esperienze realizzate.
Gli ingegneri clinici sono pronti ad attivarsi, insieme a tutti gli altri professionisti di settore, per garantire il massimo della sicurezza nella gestione delle reti e dei device, ma occorre fare fronte comune ed avere una linea condivisa di azione, altrimenti – come abbiamo già registrato – gli hacker continueranno a entrare dalle porte meno prevedibili e presidiate dei sistemi tecnologici e digitali».