«Parlare di sicurezza in sanità e non solo aiuta a creare e diffondere un’autentica cultura in materia. Il tema – in ambito assistenziale come in quello dei dispositivi medici – non tocca la sola IT, ma anche i device che in precedenza erano per lo più di tipo stand-alone, autonomi, e restituivano dati su carta o localmente, mentre ora sono interconnessi e interoperabili. Producono informazioni e le scambiano con i database aziendali. I vantaggi sono naturalmente enormi – si pensi a big data e all’intelligenza artificiale. Aumentano, però, al contempo le superfici di attacco e le vulnerabilità».
Lo ha detto il direttore della struttura complessa di Innovazione e Gestione delle Tecnologie dell’Azienda per l’Assistenza Sanitaria AAS5 di Pordenone, Maurizio Rizzetto, membro del gruppo di lavoro ICT dell’Associazione Italiana Ingegneri Clinici e del gruppo Cybersecurity per i Servizi Sanitari dell’Istituto Superiore di Sanità.
Secondo il responsabile AIIC, lo scenario in cui ci si muove presenta problematiche inedite, visto che «circa il 40% delle apparecchiature mediche è collegato a una rete telematica e pertanto potenzialmente esposto a cyber-rischi su due livelli».
Da una parte, si intensificano e incattiviscono gli attacchi «mirati alla sottrazione di dati da rivendere sul mercato nero; dall’altro, sono possibili attacchi alle apparecchiature che insistono sulle reti telematiche ospedaliere a fini di controllo delle stesse e con il rischio di comprometterne il corretto funzionamento».
Si deve poi considerare che la cura e la terapia si svolgono giocoforza sempre più spesso sul territorio e a domicilio e pertanto con l’interessamento delle tecnologie portatili e indossabili e dello Internet of Things IoT o più specificatamente Internet of Medical Things IoMT.
Gli strumenti provenienti dal mondo dei wearable guadagnano infatti terreno per le applicazioni professionali; l’IoMT ha effetti potenzialmente dirompenti sulla gestione dei servizi sanitari e alla persona.
«Attrae i grandi player, mentre i gestori delle tecnologie, come noi, si interrogano sulla transizione degli strumenti del wellbeing verso utilizzi medicali veri e propri. Devono oggi essere rispondenti a requisiti tecnici e di manutenzione diversi da quelli di un semplice contapassi», ha detto Rizzetto, che ha aggiunto: «sovente queste apparecchiature non sono progettate per tenere conto dei possibili attacchi, anche perché sono poco costose. Come ho detto, però, l’estendersi delle superfici di attacco accresce le potenziali vulnerabilità. Lo ha dimostrato già la domotica, governata da sensori che, se non adeguatamente protetti, diventano altrettanti punti di accesso a disposizione della criminalità. Il tema dell’assistenza domiciliare investe la qualità dei sensori e il rispetto degli standard, per la salvaguardia dei device».
Anche per questo, far progredire la consapevolezza degli utenti finali e pazienti significa limitare gli spazi d’azione degli hacker; anche per questo il cambiamento auspicato è di ordine culturale.
«Nella pratica bisogna selezionare e gerarchizzare con cura i dati che devono risiedere sui network e quelli che è meglio amministrare solo localmente», ha osservato Maurizio Rizzetto, «ma alla definizione delle politiche di security devono concorrere più funzioni: ingegneri clinici, sistemisti, medici, in un percorso improntato alla massima multidisciplinarità. Anche perché la sanità deve dimostrare dinanzi alla legge che si sta facendo tutto il possibile per ottemperare agli standard di sicurezza, ai requisiti AGID – l’Agenzia per l’Italia Digitale – e al GDPR, adeguando ruoli e responsabilità: ma se si ha coscienza dei danni di un data-breach si è già quasi a metà dell’opera».
Per chi non risponde fattivamente ai dettami del General Data Protection Regulation le sanzioni economiche dell’Unione Europea sono severe, ma «le conseguenze di un’intrusione possono essere molto gravi».
Senza contare il verificarsi di eventi eclatanti: il controllo di un dispositivo come una pompa infusionale dà la possibilità al cyber-crimine di diventare un potenziale killer.
«Ci vorrà del tempo», ha concluso l’ingegner Maurizio Rizzetto, «perché clinici e sistemisti diventino partner: fortunatamente la sensibilità si sta diffondendo, ma siamo solamente agli inizi. La condivisione dei dati clinici vale molto di più per i pirati della clonazione dei bancomat e delle carte di credito. La sanità elettronica è un percorso inevitabile, ma va gestito. Specie sotto l’aspetto della sicurezza IT».