Pacemaker, microinfusori di insulina, defibrillatori. Tre apparecchi medici potenziali “vittime” di attacchi hacker.
I sistemi impiantabili nel corpo del paziente come le cartelle cliniche elettroniche, i terminali informatici ai letti dei malati o i dispositivi di diagnostica per immagini (sempre impiantabili) sono ormai diventati obiettivi strategici. Di qui, nel pubblico e nel privato, la corsa per organizzare sempre nuovi sistemi di protezione. Soprattutto per evitare danni ulteriori a chi sta male, per tutelare la privacy, per assicurare a ogni tipo di risultato la massima sicurezza. Perché, entrare in uno di questi sistemi, può significare la cancellazione delle procedure mediche, il danneggiamento di queste tanto da non riuscire più ad avere un quadro completo della condizione medica, la diffusione di dati sensibili, la mancanza dell’erogazione del servizio piuttosto che un’erogazione con modalità sbagliate. Sia nei tempi che nella quantità.
Chi attacca, infatti, può arrivare a interferire con la somministrazione di una sostanza ma anche accendendo l’apparecchio nel momento in cui non è necessario. Condizioni, queste ultime, che vogliono dire anche morte del paziente. Lo scenario, purtroppo, è molto più probabile di quanto si possa immaginare. Tanto che in diversi ospedali, sia in Italia che nel resto d’Europa si sono trovati ad affrontare incursioni informatiche sia nel comparti amministrativi sia in quelli strettamente medici. Spesso direttamente collegati con apparecchi dei pazienti. Alcune aziende si sono accorte che i loro prodotti potevano essere vulnerabili e sono subito corse ai ripari. Nessun caso, fortunatamente, registrato. La pandemia ha insegnato quanto il controllo da remoto possa diventare una soluzione perseguibile con soddisfazione da parte sia del medico sia di chi ha bisogno di assistenza continua: una strada che ci sta portando a grandi passi verso una telemedicina reale.
GLI STRUMENTI
La medicina utilizza sempre più componenti tecnologici e connessi alla rete. E questo non solo per le funzionalità, ma anche per il monitoraggio: un pacemaker in grado di inviare statistiche sui battiti del cuore o una pompa insulinica programmata dal personale medico, hanno dei vantaggi enormi per gestire le cure. È chiaro che la loro evoluzione ormai incrocia la rotta delle tecnologie wireless e dei sistemi di Intelligenza artificiale. Situazione che porta, inevitabilmente, a moltiplicare anche i possibili problemi di sicurezza. Sono, appunto, le varie connessioni con l’esterno che rendono possibile la vulnerabilità dei contesti. D’altronde, l’assistenza medica, nelle strutture più avanzate, si è quasi completamente digitalizzata: dai registri aziendali ai dati dei pazienti e alla diagnostica, dalla calendarizzazione degli appuntamenti al monitoraggio dei trattamenti, dalle prescrizioni ai pagamenti, fino alla gestione di ospedali e strutture mediche. Proprio per aumentare l’arsenale degli strumenti difensivi stanno nascendo progetti da mettere presto a disposizione degli addetti ai lavori: in collaborazione con il Centro di Competenza Cyber 4.0, l’Università di Roma Tor Vergata ha attivato l’Osservatorio CYBER4HEALTH (C4H), un corso di Ingegneria medica nato dalla Macroarea di Ingegneria.
IL TEMA
«Le disfunzioni causate oggi ai sistemi informativi degli ospedali, spesso oggetto di attacchi hacker con richieste di riscatto, potrebbero affliggere domani anche neuro-stimolatori, pacemaker, pompe di insulina e defibrillatori, con conseguenze ben più dannose per la privacy e soprattutto la salute del paziente – spiega il professor Gaetano Marrocco, ordinario di Campi Elettromagnetici, Università di Roma Tor Vergata, coordinatore Corso di Studi di Ingegneria Medica – Il tema della sicurezza cyber-fisica dei dispositivi medicali assume pertanto significativa rilevanza per i produttori, gli ospedali, e per gli utenti soprattutto nell’attuale e futuro scenario di crescente interconnessione. L’osservatorio vuole stimolare una cultura di “Cyber-Physical Security by Design” che, partendo dalla conoscenza delle problematiche già accertate o plausibili, possa mitigare i rischi già nella fase di definizione del dispositivo medicale».
Nei giorni scorsi si è svolto un workshop all’Università di Tor Vergata, organizzato dall’Osservatorio, durante il quale è stata approfondita un’analisi della situazione attuale sotto diversi profili: scientifico, regolatorio, legislativo e industriale. In Italia il fenomeno non sembra avere ancora raggiunto le vette statunitensi. Ma è capillarmente diffuso, come conferma il Report Clusit 2021 (rapporto annuale sugli eventi dannosi di Cybercrime e incidenti informatici nel nostro Paese) che ha classificato 215 attacchi verso istituzioni di assistenza sanitaria: ben l’11.5% del totale.
© RIPRODUZIONE RISERVATA