Dispositivi biomedicali, la sicurezza informatica è ancora lontana

Lo rivela un’indagine condotta nell’ambito dell’industry Life Science&Health care da Deloitte, in 24 strutture pubbliche e private, dislocate in nove Paesi tra Europa, Medio Oriente e Africa (Emea). La maggior parte dei paesi è indietro su tutto. Dall’utilizzo di password a prova di hacker al monitoraggio della sicurezza dei devices

Backlit keyboard

La soluzione spesso è più semplice di quanto si pensi, come sostituire una password di default con una più sofisticata in linea con gli standard di sicurezza. Eppure più della metà delle strutture ospedaliere pubbliche e private coinvolte in un’indagine condotta nell’ambito dell’industry Life Science&Health care da Deloitte e coordinato dalla practice Cyber risk services olandese, con il contributo della practice Cyber risk services italiana, sulla cyber sicurezza non lo fa. Va da sé la facilità con cui un hacker potrebbe “impossessarsi” del devices causando non pochi danni. Ma non solo, sempre per quanto riguarda i dispositivi biomedicali, quasi tutte le 24 strutture prese in esame, dislocate in nove Paesi tra Europa, Medio Oriente e Africa (Emea) (Olanda, Italia, Svizzera, Israele, Germania, Lussemburgo, Repubblica Ceca, Sud Africa e Grecia) di cui circa 1/3 in Italia, utilizzano una connessione non sicura, ovvero non crittografata. Il che rappresenta una rapida via di accesso a tutti i dispositivi biomedicali in rete da parte di qualsiasi malintenzionato. Più di tre quarti delle strutture inoltre, al momento di acquistare un dispositivo non richiede ai propri fornitori l’attestato di sicurezza Medical device security manufacturer disclosure statement (MDS2), che riassume i rischi del prodotto sulla sicurezza informatica e che impedisce di valutarne i requisiti fondamentali di sicurezza. Non va meglio per quanto riguarda le norme sulla privacy considerando che quasi la metà degli ospedali non ha valutato i propri dispositivi medici rispetto ai requisiti richiesti dalla nuova legislazione in materia. Alcuni perché risulta difficile analizzare la conformità dei devices per mancanza di alcune funzionalità, come adeguati controlli di sicurezza.  Con il rischio di andare incontro a sanzioni ma anche a grossi rischi di sicurezza e reputazione. Manca ancora in ben due terzi degli ospedali, la concezione del monitoraggio della sicurezza informatica al pari di una qualsiasi altra manutenzione eseguita di routine. Nessuno di questi infatti controlla regolarmente la vulnerabilità dei dispositivi medici.

Sulla cyber sicurezza insomma siamo ancora molto indietro, in Italia come nel resto del mondo. Eppure non sono pochi gli ospedali che hanno avuto a che fare con un virus informatico. Tre solo fra quelli coinvolti nell’indagine. Problemi che potrebbero mettere a rischio il funzionamento di dispositivi come pompe di insulina o dispositivi cardiaci per esempio, ma anche non garantire le normali prestazioni degli ospedali che dipendono dai dispositivi  o che sono in rete, ormai una gran parte.

Abbiamo parlato di sicurezza informatica nell’articolo “Se il cybercrime mette nel mirino i dispositivi medici” sul numero di marzo di Aboutpharma and Medical Devices