In risposta agli attacchi informatici ai dispositivi salvavita, gli scienziati dell’Imperial College e della Nanyang Technological University hanno avviato un programma per salvaguardare la sicurezza e i dati dei pazienti.
Sono sempre di più, in Italia e nel mondo, gli attacchi hacker alla sanità. Nel nostro Paese, tra i casi più recenti c’è quello di metà dicembre che ha interessato l’Azienda Usl, l’Azienda Ospedaliero-Universitaria di Modena e l’Ospedale di Sassuolo, provocando rilevanti disagi nei servizi medici e mettendo a rischio la sicurezza dei dati sensibili dei pazienti. I cybercriminali – il gruppo Hunters International – hanno chiesto un riscatto da tre milioni di dollari in criptovalute. Appreso del “no” al pagamento, gli hacker (che sarebbero riusciti a copiare 954,7 Gigabyte di dati per oltre un milione e 200mila file) avrebbero rilasciato sul dark web un ristretto elenco del materiale sottratto.
Risalendo lo stivale, anche l’Azienda Ospedaliera Universitaria Integrata Verona ha subito un attacco cibernetico – dei 29 terabyte totali, 0,6 terabyte (pari a 612 Gigabyte) sono stati esfiltrati e pertanto esposti – rivendicato il 10 novembre dalla cyber gang ransomware Rhysida sul proprio Data Leak Site (il portale sotto rete Tor con il quale i criminali rendono note le azioni perpetrate con il mondo esterno).
Migliorare la sicurezza informatica dei medical devices
A livello internazionale, contro gli hacker che prendono di mira la sanità (nel caso specifico i dispositivi salvavita), gli scienziati dell’Imperial College di Londra e della Nanyang Technological University di Singapore si sono impegnati in un programma da 20 milioni di dollari volto a migliorare la sicurezza informatica dei dispositivi medici (non solo i pacemaker, ma anche i defibrillatori – in tal senso un caso eclatante è quello con protagonista Dick Cheney, che nel ruolo di vicepresidente degli Stati Uniti chiese ai propri cardiologi di rimuovere la funzione wireless dal proprio defibrillatore temendo di poter subire un attacco terroristico – le pompe di insulina, i neuro-stimolatori). Congiuntamente allo sviluppo di nuovi metodi per proteggere i dispositivi attivi impiantabili, il progetto quadriennale In-Cypher intende assicurare anche la protezione dei dati dei dispositivi indossabili e delle strutture sanitarie.
Il tema della sicurezza cyber fisica dei dispositivi medici assume un’importanza sempre più significativa non solo nei confronti dei pazienti e degli ospedali, ma anche per gli stessi produttori di medical devices (tempo addietro, a lanciare l’allarme era stato un report dell’American College of Cardiology, che evidenziava “non si stia facendo abbastanza a livello industriale per arginare la falla nei pacemaker”), tanto nell’odierno quanto nel futuro scenario di continua interconnessione.
Cybersicurezza e dispositivi medicali, lo stato dell’arte in Italia
Nel 20% dei dispositivi medicali acquistati negli ultimi 10 anni dalle Pubbliche amministrazioni italiane (pari a 400 strutture sanitarie) sono state riscontrate rilevanti vulnerabilità che, nella maggior parte dei casi, interessano device vitali per i pazienti, come pacemaker e pompe insuliniche portatili, e anche macchinari ospedalieri come risonanze magnetiche e TAC. Sono questi alcuni dei risultati resi noti nell’ambito della presentazione, presso l’Università di Roma Tor Vergata, della piattaforma Cyber4health, il primo Osservatorio al mondo nel suo genere sulle vulnerabilità cyber e fisiche dei dispositivi medicali.
“Negli ultimi 5 anni sono stati registrati tra 150-200 cyber attacchi a dispositivi medici, fatti per estorcere soldi alle aziende che li producono – dimostrandone fragilità della sicurezza – o per minare la salute di personaggi politici. I dispositivi medici sono oggetti vulnerabili perché sempre più connessi e che ad oggi non hanno nessun tipo di normativa che ne garantisce la sicurezza da questo punto di vista”, le dichiarazioni rilasciate all’Adnkronos Salute da Gaetano Marrocco, professore ordinario di Campi Elettromagnetici presso l’Università di Roma Tor Vergata, Coordinatore Corso di Studi di Ingegneria Medica e principale ideatore dell’Osservatorio Cyber4health.