La sicurezza informatica è uno dei temi al centro dell’attenzione dell’Associazione Italiana Ingegneri Clinici, che le ha dedicato una sessione ad hoc all’interno del suo convegno nazionale di giugno.
A parlare è Claudio Telmon, componente del Comitato direttivo della Società italiana della sicurezza informatica (Clusit), che tra le altre cose ha spiegato perché i sistemi informatici sanitari sono così spesso sotto attacco degli hacker: «i dispositivi medicali sono vulnerabili perché la parte informatica di un dispositivo medico spesso non è curata e protetta con la stessa attenzione di altri sistemi IT. Dispositivi indossabili e impiantabili sono molto accessibili per come trasmettono i dati: ad esempio, le pompe insuliniche sono raggiungibili attraverso la supply chain di aggiornamento, come anche il bluetooth di un pacemaker è estremamente vulnerabile. Sono poi da considerare le strutture di telemonitoraggio e telemedicina e tutti quei sistemi basati su connettività che passa attraverso soluzioni in cloud. Questi sono elementi facilmente accessibili per chi ha intenzioni criminali».
E ad averle sono in molti. Solo nell’ultimo periodo sono due le Regioni che hanno dovuto fare i conti con un attacco hacker: Lazio e Veneto. In entrambi i casi i dati sanitari sono stati bloccati, sono stati richiesti soldi per il riscatto ed è stato necessario organizzare task force per garantire servizi e normali procedure amministrative. Come si contrasta questa situazione? Inevitabilmente con la formazione: gli operatori che lavorano in questo settore devono aggiornarsi di continuo, perché gli hacker cambiano continuamente modalità di accesso… è importante che si sappia riconoscere quando sta avvenendo un attacco e come intervenire. E poi c’è la collaborazione, magari anche tra Stati differenti, dato che il problema è condiviso.
Per esempio, Stephen Grimes, nome importante del settore, ha suggerito che una «Agency internazionale potrebbe essere una risposta forte a questa emergenza», ma anche che la cultura della cyber security venga insegnata a tutti gli operatori sanitari, dagli ingegneri clinici agli informatici, ma anche a medici e infermieri. Altro aspetto essenziale è dare alla sicurezza informatica la giusta dimensione e importanza, investendo il necessario per garantirla.
Infine, ma non per importanza, anche la legislazione di dovrebbe allineare a queste esigenze, per esempio per diffondere la sicurezza informatica anche a livello delle aziende che producono tecnologia medica. D’altronde, abbiamo visto che spesso i dispositivi sono un accesso facile ai sistemi più ampi. Bene, i relatori hanno concordato sul fatto che in quest’ultimo aspetto l’Europa è in affanno. Fabio Cubeddu di Confindustria dispositivi medici sottolinea che «attualmente il fabbricante per garantire sicurezza deve fare riferimento alla nuova banca dati Eudamed, e alla Post Marketing Surveillance, ma si tratta di due riferimenti ancora non completamente operativi». E se la legge è poco chiara, il mercato fatica a capire come muoversi.
Stefania Somaré
