Dispositivi medici e cybersecurity: i nuovi scenari regolatori


Dispositivi medici e cybersecurity: i nuovi scenari regolatori

Tecnologia e medicina è una accoppiata critica in termini di cybersecurity. In situazioni di crisi come quella che stiamo vivendo la sicurezza delle reti e dei sistemi informativi può risultare cruciale per garantire la continuità dei servizi nella sanità digitale. Serve focalizzarsi sulla cybersecurity dei dispositivi medici, identificando requisiti chiave e presidi attivati dal framework normativo.

 

L'impatto dei cyber-incidenti in Sanità

Il contesto è preoccupante. Negli ultimi anni il numero di incidenti di sicurezza a livello globale è incrementato. Un incremento che riguarda anche il settore healthcareospedali, pazienti, dispositivi medici e dati sanitari sono diventati obiettivi strategici per gli attacchi informatici. Il settore sanitario rimane uno dei settori più a rischio. Nel 2017, il malware Wannacry ha coinvolto più di 100.000 organizzazioni in oltre 150 paesi. Tra i soggetti colpiti si annovera il National Health Service (NSH) nel Regno Unito, dove si stima che siano state coinvolte piu di 80 strutture sanitarie, per una riduzione del 6% dei ricoveri negli ospedali infetti, una cancellazione di 13.500 appuntamenti ambulatoriali, ed un impatto finanziario di circa di 5,9 milioni di sterline.

Sempre rimanendo in Europa, nel marzo 2019 l’ospedale di Montpellier è stato vittima di un attacco cibernetico; e nel novembre 2019 l’ospedale di Rouen è tornato al tradizionale sistema ‘carta e penna’ a seguito di un attacco malware. In Italia si sono registrati alcuni casi di attacchi cyber – sebbene di impatto minore – come ad esempio il ransomware CryptoLocker per l’ospedale di San Vito al Tagliamento (PN) od il ransomware TeslaCrypt per l’ospedale di Alessandria. Ora che è in atto una crisi sanitaria di considerevole natura, la cybersecurity diventa un aspetto cruciale, soprattutto per prevenire incidenti di sicurezza nelle strutture ospedaliere e dunque evitare disagi nella regolare erogazione dei servizi sanitari.

 

IoT e Smart Hospitals: dispositivi connessi

La necessità di assicurare un adeguato livello di sicurezza delle strutture sanitarie diventa ancora più urgente se si pensa che è incrementato esponenzialmente l’utilizzo di sistemi informativi e dispositivi connessi. Secondo l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), quando i componenti di Internet of Things (IoT) – inclusi i dispositivi connessi – supportano le funzioni principali di un ospedale, la sicurezza delle reti e dei sistemi informativi unitamente alla protezione della privacy e dei dati dei pazienti diventano questioni critiche per gli ospedali cd. intelligenti (“smart hospitals”). I dispositivi medici ed in particolare i dispositivi medici “connessi” rivestono un ruolo ormai fondamentale nelle strutture sanitarie. Il loro uso ha portato ad loro maggiore esposizione vulnerabilità a incidenti e attacchi informatici. Si parla ad esempio di “Medical Devices Hijacking” o “Medjack” per definire gli attacchi con i quali soggetti malevoli alterano la funzionalità di dispositivi medici per varie finalità mettendo in pericolo la sicurezza e salute dei pazienti.

 

La sicurezza informatica dei dispositvi medici

La sicurezza informatica dei dispositivi medici è diventato un argomento di crescente rilevanza. A tale hype ha contribuito l’attività di ricerca condotta a livello globale da esperti in materia di cybersecurity. Ad esempio, un team di ricerca ha dimostrato che è possibile alterare le funzionalità di una pompa d’insulina sì da impedirne l’erogazione ad un paziente; o ancora, che è possibile alterare le funzionalità di un pacemaker tanto da causare uno shock mortale. In aggiunta alla ricerca portata avanti dagli esperti in materia, è accresciuta la consapevolezza degli enti preposti alla regolamentazione e controllo sul mercato dei dispositivi medici. Negli Stati Uniti, ad esempio, la Food and Drug Administration (FDA) ha riferito di alcune vulnerabilità della cybersecurity nei dispositivi cardiaci impiantabili di Medtronic; mentre nel giugno 2019, la stessa Autorità ha avvertito dei potenziali rischi di cibersicurezza di alcuni tipi di pompe per insulina Medtronic MiniMed.

 

Le prospettive di regolamentazione

Visti gli impatti e le potenziali criticità, vediamo se esistono e quali sono gli esempi di misure messe in campo di tipo regolamentare. Prima di dare uno sguardo all’Europa è interessante un’analisi del quadro globale. Lo scorso ottobre, il Medical Devices Regulators Forum (IMDRF) ha emanato la “Medical Devices Cybersecurity Guide”. Si tratta di passo molto rilevante, poiché le autorità nazionali potranno in futuro ispirarvisi per eventuali linee guida nel loro territorio. Oltre a questa iniziativa, vale la pena di segnalare casi di rilievo in Stati Uniti, Canada, e Giappone, i quali hanno già pubblicato guidance in materia. Il primato spetta alla statunitense FDA, autorità che ha già emanato delle guidelines da almeno dieci anni: la prima guidance nel 2005, seguita da due importanti nel 2014 e 2016 – riguardanti la sorveglianza pre- e post-mercato della sicurezza informatica nei dispositivi medici.

 

Fonte

IT'S EASY

Cerchi una soluzione tecnologica per rispondere ad un bisogno della Tua Azienda?

Contattaci! Saremo lieti di progettarla assieme a Te.