Intervista ad Alice Ravizza, professoressa a contratto presso DIMEAS – Politecnico di Torino sulla cybersecurity in sanità.
Quali sono gli aspetti dei quali una strategia di cybersecurity deve tenere conto nel mondo interconnesso dell’Internet of Medical Things?
La mia specializzazione è la certificazione dei software medicali, che prende in considerazione il loro impatto sulla salute e ne verifica il livello di sicurezza by design; trasferendo agli applicativi gli standard tipici della gestione del ciclo di vita dei prodotti (Product Lifecycle Management, PLM). Significa al tempo stesso analizzare come la salute sia tutelata, quali malattie curare e come, con il supporto di quali software. È un lavoro altamente specifico, perciò da inquadrare nel contesto generale della tutela del dato e della persona. Ogni giorno vengono analizzate e studiate moli di dati clinici sempre più ingenti, a disposizione delle aziende e del Servizio Sanitario Nazionale, ma devono esser rese utilizzabili e quindi usate esclusivamente nel pieno rispetto dell’etica e del diritto.
Qual è a suo avviso la situazione del sistema sanitario italiano, quando si parla di sicurezza?
A macchia di leopardo, direi. La gestione dei dati individuali è chiaramente regolata dalla normativa europea del GDPR, la cui adozione e recepimento sono però molto diversificati da un caso all’altro e dall’una all’altra struttura, specialmente quando il tema-chiave è quello della security by design. Molto ci si attende, perciò, da una ulteriore normativa, la cui entrata in vigore è prevista per il 2020 ed è il regolamento sui dispositivi medici. Interessa direttamente pure i software che sovrintendono alle metodologie di cura e nel complesso dovrebbe dare impulso aggiuntivo a una sensibilità, quella nei riguardi della salvaguardia delle informazioni, che già si mostra in crescita. Parte del merito va data agli sforzi di sensibilizzazione compiuti presso imprese e grande pubblico da organismi come l’Associazione Italiana Ingegneri Clinici, tanto in tema di informazioni quanto sui device.
Quali accorgimenti dovrebbero prendere gli utilizzatori, a vario titolo, di device portatili?
Innanzitutto, è bene sapere che i livelli di protezione degli strumenti più specificamente disegnati per il wellness sono tendenzialmente molto bassi. Non così quelli contrassegnati come DM, cioè come dispositivi medici a tutti gli effetti, il cui grado di sicurezza informatica è verificato e controllato da esperti indipendenti. Gli utenti possono consultare, invece, il sito del Ministero della Salute per essere certi che uno strumento sia effettivamente e ufficialmente classificato fra i DM. Altamente sconsigliati sono gli acquisti online, se non da siti e produttori di comprovata affidabilità: la farmacia resta il canale ideale per gli acquisti, accompagnati dal consiglio di un professionista.
Anche le informazioni sottratte violando i device indossabili diventano oggetto di riscatto?
Certamente, sebbene le richieste non vengano indirizzate direttamente agli utilizzatori bensì agli enti – istituti di ricerca, ospedali, centri di cura – incaricati della raccolta ed elaborazione dei dati. Perché i dati acquistano valore quando sono numerosi e anche da questo punto di vista gli ospedali rappresentano un target attraente per la criminalità. Ribadisco, però, che sono stati fatti progressi importanti nell’ambito della cybersecurity, in linea con gli standard ISO, un autentico faro.
