La frontiera della sicurezza informatica è una delle grandi sfide della sanità digitalizzata ed è al centro del dibattito del XXII Convegno AIIC – Associazione Italiana Ingegneri Clinici – in corso a Riccione fino al 15 giugno, durante il quale si è svolta una sessione dedicata all’argomento. Negli ultimi mesi proprio gli attacchi dei criminali informatici ai centri di gestione dei dati sanitari sono diventati più frequenti. Lazio e Veneto ne hanno fatto recentemente le spese, con dati sanitari bloccati, richieste di riscatto e task force organizzate per garantire servizi e normali procedure amministrative.
Perché questi fenomeni di criminalità digitale sempre più frequenti in sanità? “Le tecnologie sempre più diffuse in questo ambito sono la spiegazione di queste aggressioni: i dispositivi medicali sono vulnerabili perché la parte informatica di un dispositivo medico spesso non è curata e protetta con la stessa attenzione di altri sistemi IT”, ha precisato Claudio Telmon, componente del Comitato direttivo della Società italiana della sicurezza informatica (Clusit). “Dispositivi indossabili e impiantabili sono molto accessibili per come trasmettono i dati: ad esempio, le pompe insuliniche sono raggiungibili attraverso la supply chain di aggiornamento, come anche il bluetooth di un pacemaker è estremamente vulnerabile. Sono poi da considerare le strutture di telemonitoraggio e telemedicina e tutti quei sistemi basati su connettività che passa attraverso soluzioni in cloud. Questi sono elementi facilmente accessibili per chi ha intenzioni criminali”.
“Alcuni anni fa una catena di supermercati è stata attaccata dagli hacker attraverso i sistemi da remoto di gestione del condizionamento dell’aria. Anche un casinò è stato aggredito attraverso il sistema che controllava l’alimentazione dei pesci nell’acquario: se gli hacker riescono a sfruttare queste imprevedibili porte d’ingresso, è ovvio che anche la sanità – con i suoi mille accessi digitali – è un obiettivo raggiungibile e facilmente vulnerabile per scopi di pirateria informatica”, ha aggiunto Telmon.
E’ stato Luca Giobelli (Azienda Zero Veneto) a riportare l’esperienza vissuta nello sviluppo di risposte agli attacchi ad una ULSS attaccata da hackers. Nell’immediato è stata messa a punto una task-force centrale per identificare ruoli e livello di maturità della sicurezza cibernetica, carenze e possibili servizi di sicurezza da implementare. A medio termine, si è investito nel controllo e implementazione delle azioni prioritarie, mentre a lungo termine è stato presentato un piano in base per la definizione di un modello organizzativo e operativo con corsi di formazione e di awareness.
La formazione ha quindi un ruolo centrale nello sviluppo di risposte precise agli attacchi degli hacker. Elemento sottolineato anche nella visione di Lee Kim (Senior principal cybersecurity and privacy dell’organizzazione di ricerca HIMMS) che, da una prospettiva internazionale, ha sottolineato l’importanza dell’aggiornamento continuo degli operatori, che devono essere preparati a riconoscere un attacco e a condividerne con i colleghi le possibili conseguenze; ed a questa ha aggiunto l’importanza “di una cultura di governance basata sulla sicurezza, perché ogni organizzazione deve avere attenzione per procedure e management”. Stephen Grimes (senior advisor presso la University of Connecticut per l’insegnamento agli ingegneri clinici e past president dell’Associazione Americana di Ingegneria Clinica-Acce) ha rilanciato il tema dell’alta competenza professionale: “Abbiamo una serie di sfide nel settore e sappiamo che nessun paese può risolvere il problema da solo: forse un’Agency internazionale potrebbe essere una risposta forte a questa emergenza. A mio modo di vedere tutti gli operatori sanitari dovrebbero avere informazioni di base in cybersecurity, dall’infermiere all’ingegnere clinico. E’ necessaria quindi la creazione di competenze vaste ed adeguate perché le conseguenze della cybersecurity nell’healthcare sono diverse e ormai pesantissime”.
Oltre alla formazione c’è però un impulso da dare a regole e strumenti per garantire sicurezza e diffonderla anche nell’ambito dei produttori di tecnologie, e qui l’Europa è in affanno. Su questo tema Fabio Cubeddu (Confindustria dispositivi medici) ha ricordato che anche all’interno dei recenti regolamenti europei non c’è chiarezza: “Attualmente il fabbricante per garantire sicurezza deve fare riferimento alla nuova banca dati Eudamed, ed alla Post Marketing Surveillance, ma si tratta di due riferimenti ancora non completamente operativi”. Le aziende produttrici sono oggi tenute ad analizzare rischi e incidenza per gravità di impatto di un attacco informatico al dispositivo per tutta la fase di vita del dispositivo, sin dalla sua progettazione.
Ma a fronte di una evidente incertezza regolatoria il mercato non sa bene ad oggi come comportarsi. “Di fronte alle tante problematiche ci attendiamo scelte centrali decise e nette”, ha concluso Maurizio Rizzetto, referente AIIC per la Cybersecurity. “Formazione, competenze, professionalità fanno la differenza, ma ci serve anche un ambito di riferimento istituzionale per seguire una linea comune e per una condivisione di esperienze realizzate. Gli ingegneri clinici sono pronti ad attivarsi, insieme a tutti gli altri professionisti di settore, per garantire il massimo della sicurezza nella gestione delle reti e dei devices, ma occorre fare fronte comune ed avere una linea condivisa di azione, altrimenti – come abbiamo già registrato – gli hacker continueranno ad entrare dalle porte meno prevedibili e presidiate dei sistemi tecnologici e digitali”.