Che c’entrano gli hacker con il biomedicale e gli ospedali? C’entrano, c’entrano eccome. E il rischio è serio. Stando allo studio Deloitte “Cybersecurity of network connected medical devices in hospitals”, a cui ha contribuito anche la Cyber risk services italiana, guidata dall’esperto Stefano Buschi, è concreta la possibilità che pirati informatici “aggrediscano” da remoto dispositivi creando nei casi più seri forti rischi alla salute dei pazienti (pensiamo ad esempio ai sovradosaggi delle pompe di infusione, o accessi ai dispositivi cardiaci impiantabili), e comunque fughe di dati sensibili. “Sebbene –si legge nella presentazione- le strutture ospedaliere pubbliche e private mostrino sempre più consapevolezza dell’importanza della cyber security dei dispositivi biomedicali, tuttavia a livello operativo si riscontra la necessità di interventi rilevanti volti a innalzare il livello di sicurezza e protezione dei dispositivi e dei dati da essi trattati. Il tema della vulnerabilità dei dispositivi medici ad attacchi di tipo cyber è all’attenzione degli addetti ai lavori e delle autorità competenti ormai da tempo (es. US Department of Homeland Security, ENISA, Food and Drug Administration, ecc.), in quanto vi è la possibilità concreta che malintenzionati possano acquisire il controllo da remoto dei dispositivi, violare la confidenzialità e l’integrità dei dati dei pazienti e modificare le funzionalità dei dispositivi stessi, con potenziali problemi per la salute del paziente (es. sovradosaggio di farmaci nel caso di attacchi cyber alle pompe da infusione o altri effetti altrettanto nocivi nel caso di accessi non autorizzati ai dispositivi cardiaci impiantabili).
Rischi concreti
Queste le principali evidenze emerse dalla Survey Deloitte, condotta su 24 strutture ospedaliere in 9 Paesi sul territorio EMEA – Olanda, Italia, Svizzera, Israele, Germania, Lussemburgo, Repubblica Ceca, Sud Africa e Grecia – di cui circa 1/3 in Italia: più della metà delle strutture intervistate adotta password di accesso standard (e quindi non sicure) ai propri dispositivi biomedicali; quasi tutte le strutture non hanno valutato la compliance dei propri dispositivi biomedicali rispetto ai requisiti del nuovo Regolamento Europeo in tema di Data Protection; la maggior parte delle strutture intervistate non richiede ai propri fornitori alcun attestato MDS2 – Medical Device Security Manufacturer Disclosure Statement – prima dell’acquisto di dispositivi biomedicali; molte strutture non monitorano i propri dispositivi biomedicali nei confronti di vulnerabilità note.
