Cybersecurity, anche i dispositivi medici sono vulnerabili

Proprio in questi giorni la Food and Drug Administration statunitense ha lanciato un allarme sulla vulnerabilità dei dispositivi medici agli attacchi di hacker in grado di prenderne il controllo da remoto, modificandone le funzioni con un conseguente mal funzionamento e pericolo per la vita dei pazienti che ad essi si affidano. Anche la struttura del Dipartimento di Stato americano dedicata alla Cybersecurity ha pubblicato lo scorso luglio un documento di allerta su questo proposito.

In Europa, anche l’Agenzia regolatoria tedesca BfArM ha diramato informazioni sulle vulnerabilità presentate dai macchinari per la Risonanza Magnetica e il monitoraggio dei pazienti; lo stesso hanno fatto grandi aziende tedesche che fabbricano dispositivi, segnalando tra i propri sistemi quelli che potrebbero essere a rischio di attacco informatico.

Si può dunque parlare di sicurezza informatica anche nel caso dei dispositivi medici: il documento della FDA – non a caso intitolato URGENT/11 – ha identificato i sistemi operativi a rischio nei dispositivi, e i fabbricanti li stanno già analizzando per intraprendere azioni di prevenzione e soluzione e, in qualche caso, informando i propri clienti con dispositivi a rischio (sistemi per immagini, pompe per infusione, macchine per l’anestesia, ecc.).

Intanto la FDA offre ai fabbricanti assistenza continua, e ha raccomandato una serie di misure che includono la conduzione di una valutazione dei rischi e la collaborazione con il fornitore del sistema operativo per identificare possibili aggiornamenti che rendano più difficili gli attacchi informatici.

L’Agenzia ha inoltre suggerito una stretta cooperazione tra i fabbricanti e le strutture sanitarie per determinare i dispositivi coinvolti e discutere e sviluppare nuove modalità che garantiscano la riduzione del rischio.

A loro volta, le strutture sanitarie hanno avviato programmi di consulenza per i pazienti che utilizzano i dispositivi potenziali obiettivo di attacco informatico, mentre gli operatori sanitari hanno l’ordine di monitorare il traffico di rete e registrare qualsiasi indicazione di violazione dei sistemi.

Non sono dello stesso avviso gli addetti ai lavori – gli esperti di cybersecurity – che giudicano le raccomandazioni FDA poco pratiche: né i medici, né tantomeno i pazienti sarebbero in grado di identificare problematiche di natura informatica nel funzionamento del proprio dispositivo. Per questo essi auspicano il ripristino di un team di sicurezza informatica negli ospedali e nelle altre strutture di riferimento che possa agire tempestivamente sulla base di informazioni certe e competenze specifiche.