News Ticker

Dispositivi medici e cyber security, a che punto siamo?

Il ritiro dal mercato, lo scorso ottobre, di mezzo milione di pacemakers da parte della Food and Drug Administration punta i riflettori sul tema della sicurezza informatica nell’healthcare. Il parere di Rusty Carter di Arxan Technologies

Le insidie del mondo digitale minacciano anche, e forse soprattutto, i device clinici di ultima generazione. Questi strumenti, sempre più evoluti e utilizzati, sembrano infatti ben lontani dal riuscire a sottrarsi agli attacchi informatici, assillo quotidiano dell’era interconnessa. Secondo Rusty Carter, vicepresidente del product management dell’azienda di sicurezza informatica Arxan Technologies, si tratta anzitutto di un grave problema di negligenza: “Fino ad oggi ci si è concentrati esclusivamente sul miglioramento del servizio di assistenza sanitaria e sulla vita umana, com’era giusto che fosse, finendo tuttavia per trascurare il problema della sicurezza”. Un problema da risolvere, a suo dire, stabilendo al più presto linee guida più rigide in ambito clinico e ospedaliero.

L’ultimo caso di cyber-attacco alla community medica risale al 24 ottobre 2017, quando un gruppo di hacker – conosciuti come The Dark Overlord – riuscì a penetrare nel sistema informativo della London Bridge Plastic Surgery Clinic. Un’operazione che ricadde prima di tutto sui pazienti: dopo aver rubato i dati personali  di molti degli assistiti della clinica (tra cui non solo dati anagrafici ma anche foto private), gli hacker minacciarono di renderli pubblici e diffonderli a meno di un congruo riscatto. Ma non si è trattato di un caso isolato. Oltre all’epidemia globale scoppiata a maggio 2017 per via del malware Wannacry – che infettò circa 1200 strumenti diagnostici solo contando il National Health Service inglese – altro episodio fu quello dello scorso agosto, quando la Food and Drug Administration statunitense ritirò mezzo milione di pacemakers venduti dal Saint Jude Medical, Minnesota, per timore che potessero essere facile bersaglio di hackeraggio.

Perché i dispositivi medici sono facile preda di attacchi informatici? Come osserva il giornalista Owen Hughes, spesso a mancare sono adeguati sistemi di protezione del codice binario, a partire dal quale i pirati della rete possono comprendere il funzionamento di un programma e, se intenzionati, rimaneggiarlo e riprodurlo. Si chiama “ingegneria inversa”: partendo da un software fatto e finito, è possibile per i più abili risalire alla struttura del programma e ricavarne informazioni preziose. E così come la tecnica può essere utile per correggere o migliorare un software, allo stesso modo può essere sfruttata per individuarne i punti deboli, aggirarne le restrizioni di accesso e modificarne il comportamento.

Certamente, i primi a subire gli effetti di queste incursioni sono i pazienti: dai danni fisici, alla perdita di dati, al furto di informazioni. Tuttavia, secondo Carter, le ripercussioni dei cyber-attacchi vanno ben oltre l’interesse del singolo paziente: “I produttori dovranno sforzarsi di capire che i loro diretti destinatari non sono gli unici ad avere accesso ai dispositivi medici – puntualizza il membro di Arxan Technologies – Altrimenti, nel lungo termine, tutti ne pagheremo le conseguenze. Se gli attacchi continueranno a pesare sulla qualità di vita e a provocare ampie perdite di dati, la fiducia per l’innovazione nel campo dell’assistenza sanitaria finirà per svanire”. Finché, nella peggiore delle ipotesi, le persone cesseranno di utilizzare quegli strumenti che il progresso tecnologico è riuscito a mettere a loro disposizione.

Ora, per scongiurare questa eventualità esistono due strade, entrambe valide. Da una parte sarà necessario adottare sempre più rigorosamente la pratica del “security by design”: incorporare fin da subito, ovvero, misure di sicurezza informatica nella progettazione dei software medicali. Un aspetto legato alla tutela della privacy, quindi della salute del singolo. Dall’altra parte, conclude Carter, ci sarà bisogno di linee guida più rigide che definiscano i requisiti minimi dei dispositivi medici in fatto di cyber security: “Al momento esistono solo vaghe raccomandazioni, ma non norme specifiche. Il prossimo passo sarà quello di limitare l’accesso dei dispositivi all’ambiente clinico, per esempio partendo da semplici domande: quali sono i meccanismi di sicurezza integrati? Quanto velocemente è possibile rimediare a un attacco del sistema? Oltre a dimostrare l’efficacia degli strumenti, insomma, i produttori dovranno darne solide prove di sicurezza informatica”.