Biomedicali a rischio hacker: Deloitte lancia l’allarme sulla cyber security

Sicurezza informatica, questa sconosciuta. Anche negli ospedali è scattato l’allarme sul tema della vulnerabilità dei dispositivi medici ad attacchi di tipo cyber. In Europa, e l’Italia non fa eccezione, vi è la possibilità concreta che malintenzionati possano acquisire il controllo da remoto dei dispositivi, violare la confidenzialità e l’integrità dei dati dei pazienti e modificare le funzionalità dei dispositivi stessi, con potenziali problemi per la salute del paziente. Gli esempi pratici non mancano: nel caso di attacchi cyber alle pompe da infusione si può realizzare un sovradosaggio di farmaci o creare altri effetti altrettanto nocivi nel caso di accessi non autorizzati ai dispositivi cardiaci impiantabili.

Scorrendo uno studio Deloitte, coordinato dalla practice Cyber risk services olandese, con il contributo della practice Cyber risk services italiana, guidata da Stefano Buschi, nell’ambito dell’industry Life Science&Health care, di cui è a capo Valeria Brambilla, emerge la crescente consapevolezza delle strutture ospedaliere pubbliche e private dell’importanza della cyber security dei dispositivi biomedicali connessi in rete. Del muro di sicurezza, tuttavia, sono stati posti solo pochi mattoni.

L’indagine Deloitte, tra le più grandi realtà nei servizi professionali alle imprese, è stata condotta su 24 strutture ospedaliere pubbliche e private in 9 Paesi tra Europa, Medio Oriente e Africa (Emea) - Olanda, Italia, Svizzera, Israele, Germania, Lussemburgo, Repubblica Ceca, Sud Africa e Grecia - di cui circa 1/3 in Italia. E, in estrema sintesi, dalla ricerca emerge che: più della metà delle strutture intervistate adotta password di accesso standard (e quindi non sicure) ai propri dispositivi biomedicali; quasi tutte le strutture non hanno valutato la compliance dei propri dispositivi biomedicali rispetto ai requisiti del nuovo Regolamento europeo in tema di «Data protection»; la maggior parte delle strutture intervistate non richiede ai propri fornitori alcun attestato MDS2 - Medical device security manufacturer disclosure statement - prima dell’acquisto di dispositivi biomedicali; molte strutture non monitorano i propri dispositivi biomedicali nei confronti di vulnerabilità note. Insomma, gli ospedali sono in ritardo sulla cyber security.

La sicurezza delle password. Al termine dell’indagine di Deloitte è emerso che più della metà degli ospedali ha dichiarato di avere dispositivi medici con password di default, ossia quelle immesse dalle ditte produttrici, facilmente individuabili o addirittura reperibili nei manuali del prodotto a disposizione del pubblico. Evidenti i rischi di un accesso facilitato da parte di personale non autorizzato (come ad esempio gli hacker) al dispositivo con la possibilità di influenzare il funzionamento e/o leggere dati del paziente. La soluzione, secondo Deloitte, è sostituire le password di default, in linea con gli standard di sicurezza . I produttori, dal canto loro, devono garantire che le password possano essere modificate sulla base delle buone pratiche come quelle suggerite dal progetto degli oggetti Owasp.

Connessioni sicure. Cinque dei 24 ospedali hanno dichiarato che la maggior parte dei loro dispositivi utilizzati ha una connessione sicura. Il rischio di connessioni non crittografate varia, a seconda dell’architettura di rete e se non vengono implementate misure di controllo supplementari, un utente malintenzionato potrebbe essere in grado di accedere a tutti i dati disponibili su una rete ospedaliera. Se un dispositivo non ha connessioni crittografate, secondo Deloitte, dovrebbe essere attivato un monitoraggio costante mentre la rete dovrebbe essere segregata.

La sicurezza dei prodotti. Più di tre quarti degli ospedali non ha richiesto la forma MDS2 prima di acquistare dispositivi medici. La sicurezza del produttore Disclosure statement medical device (MDS2) riassume i rischi per la sicurezza informatica dei dispositivi. Il rischio di non utilizzare il modulo MDS2 è che i requisiti essenziali di sicurezza non possono essere valutati quando i nuovi dispositivi medici vengono acquisiti.

Le norme sulla privacy. Quasi la metà degli ospedali non ha valutato i dispositivi medici secondo la conformità con la nuova legislazione sulla privacy mentre alcuni hanno dichiarato di avere dispositivi in cui la conformità può essere difficile da conseguire a causa della mancanza di alcune funzionalità (ad esempio una mancanza di adeguati controlli di sicurezza). Il rischio di non rispettare la normativa sulla privacy, secondo Deloitte, è duplice: da un lato si rischiano sanzioni, dall’altro danni alla reputazione. Occorre, dunque, valutare prima dell’acquisizione di un dispositivo medico se questo sia o meno conforme ai requisiti richiesti. Senza contare che un rispettoso ed efficace trattamento dei dati personali potrebbe creare le condizioni per un database e quindi costituire la base per nuovi trattamenti e innovazioni per migliorare la salute dei pazienti.

Sicurezza delle informazioni. Cinque dei 24 ospedali hanno dichiarato di avere in vigore una chiara politica di sicurezza sui dispositivi medici. Tuttavia, non sono chiari i responsabilità tra i diversi reparti. L’indagine Deloitte, infatti, ha rilevato che macchinari e tecnici informatici spesso sono in due reparti completamente diversi con un conseguente rimbalzo di responsabilità.

L’importanza del monitoraggio. Due terzi degli ospedali ha dichiarato di non controllare la vulnerabilità dei dispositivi medici. Una situazione a rischio che a sua volta potrebbe portare a violazioni dei dati e comprometterne la sicurezza. Gli ospedali, secondo Deloitte, dovrebbero considerare la ”gestione” della vulnerabilità dei loro dispositivi così come viene trattata la manutenzione-base delle attrezzature tradizionali.

I virus informatici. Tre degli ospedali intervistati hanno sperimentato un virus informatico nell’ultimo anno. Il malware rappresentano un grave rischio. L’integrità e il funzionamento di dispositivi medici non possono essere garantite in caso di infezioni. Alcuni malware possono causare problemi di prestazioni che possono mettere in pericolo l’attività degli stessi dispositivi e, più in generale, i processi dell’ospedale se essi dipendono esclusivamente da tali dispositivi. L’installazione di programmi antivirus sui dispositivi medici non è sempre una soluzione, secondo Deloitte, in quanto non tutte le attrezzature possono sostenerli senza considerare che non sempre gli ospedali sono autorizzati a installare il software sui dispositivi che hanno acquistato. Altre soluzioni,oltre agli anti-virus e oltre alla segmentazione della rete, possono includere Intrusion detection systems (Ids), i sistemi di prevenzione delle intrusioni (Ips) e le informazioni di sicurezza ed eventi management (Siem).

I dati dei pazienti. Quasi un quinto degli ospedali intervistati ha dichiarato di non aver mai investigato sui problemi di sicurezza dei pazienti. Secondo Deloitte anche in assenza di incidenti attribuibili alla sicurezza informatica, è comunque importante monitorare e indagare su come potrebbero questi incidenti potrebbero essere innescati dal momento che la ricerca ha dimostrato che spesso accadono. Indagare sul loro potenziale impatto sulla sicurezza dei pazienti, dunque, potrebbe fornire una base per la ricerca ma anche aumentare la sicurezza dei dispositivi medici e promuovere miglioramenti continui all’interno dell’organizzazione oltre ad aumentare la consapevolezza di una maggior prevenzione.

Insomma, c’è spazio per i miglioramenti, a patto che cresca la consapevolezza dei rischi e si dedichino tempo e investimenti per le contromosse. Gli hacker non stanno a guardare.