Nel 20% dei dispositivi medicali acquistati negli ultimi 10 anni dalle Pubbliche amministrazioni italiane (pari a 400 strutture sanitarie) sono state riscontrate gravi vulnerabilità che, nella maggioranza dei casi, riguardano device vitali per i pazienti, come pacemaker e pompe insuliniche portatili, e anche macchinari ospedalieri come risonanze magnetiche e TAC. Sono questi i primi risultati diffusi in occasione della presentazione, presso l’Università di Roma Tor Vergata, della piattaforma Cyber4health, il primo Osservatorio al mondo nel suo genere sulle vulnerabilità cyber e fisiche dei dispositivi medicali.
“Negli ultimi 5 anni sono stati registrati tra 150-200 cyber attacchi a dispositivi medici, fatti per estorcere soldi alle aziende che li producono – dimostrandone fragilità della sicurezza – o per minare la salute di personaggi politici. I dispositivi medici sono oggetti vulnerabili perché sempre più connessi e che ad oggi non hanno nessun tipo di normativa che ne garantisce la sicurezza da questo punto di vista”. A spiegarlo all’Adnkronos Salute è Gaetano Marrocco, professore ordinario di Campi Elettromagnetici presso l’Università di Roma Tor Vergata, Coordinatore Corso di Studi di Ingegneria Medica e principale ideatore dell’Osservatorio Cyber4health.
Questi dati sono l’ennesima conferma che il settore sanitario è tra i più colpiti dai cyber attaccanti. È stato il terzo nel 2022 e quello italiano n’è vittima ormai quasi ogni giorno con anche la sospensione di cure e servizi.
Cyber vulnerabilità nei dispositivi medicali, i dati dell’Osservatorio Cyber4Health. Le videointerviste
Se ad oggi il target sono soprattutto i sistemi informativi ospedalieri e delle ASL, la rete LAN, i prossimi crescenti bersagli possono essere i dispositivi medicali per ledere l’immagine di un personaggio famoso o di una famosa azienda. Già Dick Cheney quando era vice presidente degli Usa chiese ai suoi cardiologi di rimuovere la funzione wireless dal proprio defibrillatore per paura di poter subire un attacco terroristico nei suoi confronti. Oggi, gli attacchi informatici ai device medicali non sono più fantascienza. Possono essere attacchi ai software e ai dispositivi stessi. Per esempio, in una rete pubblica WiFi, l’attaccante può intercettare la trasmissione dei dati sanitari dal paziente al personale medico. I “Side Channel Attacks” sono solo un tipo di cyber attacchi ai dispositivi medici. Quest’ultimi, come pacemaker, i defibrillatori, le pompe di insulina, i neuro-stimolatori, sono una finestra aperta da cui far entrare un segnale malevole e il rischio aumenta anche perché “il 94% dei soggetti sanitari fa gestire a terze parti l’accesso ai software dei device dei pazienti”, ha detto, durante la presentazione della piattaforma Cyber4health, il professore Giuseppe Bianchi, Ordinario di Telecomunicazioni, Università di Roma Tor Vergata.
Ad oggi è solo su base volontaria delle aziende produttrici di device medicali chiedere di ottenere, dopo le verifiche, la certificazione da parte dell’Agenzia per la Cybersicurezza Nazionale. “Ma questa verifica diventerà obbligatoria non appena il settore sanitario sarà inserito nella normativa che disciplina il perimetro di sicurezza nazionale cibernetica. Allora il Centro di Valutazione e Certificazione Nazionale (CVCN) presso l’ACN eseguirà lo scrutinio obbligatorio anche ai sistemi di e-Health”, ha spiegato Samuela Persia, funzionaria Certificazioni e Vigilanza presso la stessa Agenzia per la Cybersicurezza Nazionale.
Clicca qui per vedere il servizio e le 5 videointerviste realizzati nel corso della presentazione dell’Osservatorio Cyber4Health