Lo scorso 17 novembre la FDA (Food and Drug Administration) in collaborazione con l’ODT (Office of Digital Transformation) hanno annunciato il Cybersecurity Modernization Plan, al fine di contrastare e prevenire il crescente rischio di hacking dei dispositivi medici.
Le minacce alla sicurezza informatica in campo medico rappresentano una preoccupazione crescente negli ultimi anni, in quanto sono emerse vulnerabilità non solo nei sistemi di registrazione delle organizzazioni sanitarie, ma anche nei dispositivi medici, ed è ciò che preoccupa maggiormente le autorità.
I dispositivi medicali indossabili o impiantabili sono sempre più connessi fra di loro, alle reti ospedaliere e a internet. I microinfusori o pompe per l’insulina, ad esempio, sono raggiungibili attraverso la supply chain di aggiornamento, mentre grazie al sistema di comunicazione bluetooth è permessa la trasmissione dei dati provenienti da un pacemaker al centro di monitoraggio.
La telemedicina e le strutture di telemonitoraggio, anche a seguito della pandemia di Covid-19, stanno assumendo molta importanza, amplificando la connessione e lo scambio di dati attraverso la rete, al fine di aumentare la funzionalità degli strumenti e migliorare l’assistenza sanitaria. Ma questa necessità di favorire un efficace scambio di informazioni rende i dispositivi IoMT (Internet of Medical Things) sempre più vulnerabili, poiché la parte informatica di un dispositivo medico spesso non è curata e protetta con la stessa attenzione di altri sistemi IT.
Secondo lo State of Healthcare IoT Device Security Report 2022 redatto da Cynerio, più della metà dei dispositivi medici connessi ad Internet è affetto da almeno una vulnerabilità nota, mentre oltre il 30%, presenta un rischio di sicurezza ritenuto critico.
Il pericolo, oltre a quello di sottrazione di dati sensibili è che il dispositivo non funzioni correttamente, con potenziali rischi per la salute dei pazienti.
L’allarme della FDA e il rilascio di piani d’azione
A lanciare un primo allarme, già nel 2017, fu una speciale commissione della FDA (Food and Drug Administration), l’organismo regolatorio e di sorveglianza sui farmaci degli USA.
Secondo l’FDA, il non utilizzo di misure preventive volte a rafforzare la cybersicurezza del settore medico, consentirebbe agli hacker di sfruttare le vulnerabilità per mettere in serio pericolo i pazienti. In questi ultimi anni, la FDA sta intraprendendo azioni contro i tentativi di hacking dei dispositivi medici attraverso il rilascio di piani d’azione in materia di cybersecurity, contenenti miglioramenti per la modernizzazione della tecnologia, dei dati e delle imprese che operano nel campo della sanità, adottando la regola della “fiducia zero”.
Il Cybersecurity Modernization Plan e la regola “Zero Trust”
Lo scorso 17 novembre, la FDA in collaborazione con l’ODT (Office of Digital Transformation) hanno annunciato il Cybersecurity Modernization Plan, in cui sono stati delineati elementi chiave per contrastare e ridurre le minacce alla sicurezza informatica. Una delle strategie adottate è la regola della “Zero Trust”, con la quale si intende stabilire che l’accesso alle informazioni necessarie è consentito unicamente al personale autorizzato; l’applicazione di questa regola limiterebbe i modi in cui le informazioni possono essere intercettate e divulgate.
Nel piano inoltre, viene proposto lo sfruttamento di tecnologie legate all’intelligenza artificiale e all’apprendimento automatico, al fine di migliorare le capacità di rilevamento e la risposta informatica difronte a possibili tentativi di hacking.
Informare i pazienti, una corretta strategia di prevenzione
Tra le misure di prevenzione, gli esperti della FDA raccomandano di elaborare un’efficace strategia di comunicazione che rassicuri e informi i pazienti. Ai produttori di device, ma in particolare ai medici e agli operatori sanitari, i quali hanno un rapporto costante con i propri pazienti, è richiesta un’adeguata conoscenza sul funzionamento degli strumenti e sui potenziali rischi.
Informare correttamente i pazienti, anche attraverso l’utilizzo di immagini e schemi che facilitino la loro comprensione, potrebbe aiutarli a comprendere quando si verificano problemi al loro dispositivo e come comportarsi, evitando che il panico o paure ingiustificate possano prendere il sopravvento.
