Dati sanitari in vendita
L'allarme degli ingegneri clinici: non esistono sistemi affidabili per il riconoscimento del furto
Oggi il mercato nero dei dati clinici dei pazienti è considerato 20 volte più prezioso di quello delle carte di credito e non esistono sistemi di sicurezza completamente affidabili per il riconoscimento del furto in atto del dato. A lanciare l’allarme è un gruppo di esperti di sicurezza informatica che sono intervenuti al termine del 17esimo convegno dell’Associazione italiana ingegneri clinici (Aiic) a Genova qualche giorno fa.
Negli ultimi tempi notizie del genere sono arrivate soprattutto dagli Stati Uniti e da varie ricerche condotte, tra gli altri, da Deloitte e TrapX. Negli Usa si stima che circa il 94% dei 5.600 ospedali è stato soggetto ad attacchi da parte di pirati informatici. I due maggiori cyberattacchi a due reti mediche statunitensi, Banner Health e Newkirk, hanno generato il furto di dati medici di oltre 7 milioni di cittadini americani.
Oggi questa deriva della criminalità informatica pare stia arrivando anche in Europa e in Italia, con hackers che rubano dati, per ora, con scopi di “riscatto digitale” («se rivuoi i tuoi dati, paga»). Ma che nel futuro potrebbero rivendere queste informazioni a compagnie private, se non utilizzarli per una mappatura internazionale dei trend epidemiologici e clinici.
NESSUNA PROTEZIONE
Antonio Cisternino, ricercatore in informatica biomedica all’Università di Pisa, sottolinea che «mentre la quantità di oggetti comuni connessi cresce quotidianamente, aumenta esponenzialmente anche il numero di apparati in chiaro che dall’interno di un ospedale possono inviare dati sensibili. Questi dati sono allo stato attuale ancora senza protezioni e quindi disponibili al furto da parte di chi possa farne un uso criminale».
Oggi è sufficiente agganciare la rete wifi di un centro di cura per accedere, rubare o bloccare dati. E quando si parla di dati «in chiaro» ci si riferisce anche a macchine (Pet, Ct scanners, pompe ad infusione, macchine per dialisi) che gestiscono profili clinici e di cura e che sono oggi facilmente accessibili, rappresentando una porta vulnerabile a disposizione degli hackers.
DIALOGO TRA SANITÀ E SICUREZZA TECNOLOGICA
I big brand tecnologici (da Qualcomm a Philips) si stanno muovendo per offrire risposte di settore, ma la necessità è che sanità e tech-security imparino a dialogare tra loro al più presto. Ritornando all’esempio delle carte di credito, bisogna rifare il cammino fatto per la sicurezza delle transazioni economiche.
«Si sente la necessità da parte di chi monitora il settore di generare un livello di sicurezza che oggi è purtroppo inesistente», conclude Cisternino. «Il primo obiettivo è aver chiaro quale macchina parla, cosa viene detto e dove va a finire il dato che viene espresso. Questo può essere fatto con reti di sicurezza e protezione, ma anche installando apparati di controllo accanto ai dispositivi medici e alle reti dei centri di cura. Andremo così in un mondo in cui i dispositivi si guarderanno con cautela e i sistemi saranno attrezzati per riconoscere il rischio informatico: se un dispositivo si muove con ambiguità, offrendo dati a chi non è riconosciuto e autorizzato, viene escluso dalla rete».
La questione è rilevante anche per gli ingegneri clinici italiani. «La necessità di difendersi dal rischio di hackeraggio clinico è una nuova sfida per gli ospedali italiani», sostiene Lorenzo Leogrande, presidente Aiic. «È chiaro che gli ingegneri clinici sono chiamati ad attrezzarsi per offrire soluzioni adeguate, ma la risposta dovrà essere di sistema, per evitare di impostare le soluzioni con un approccio particolaristico. La lotta alla criminalità digitale si deve condurre con la stessa capacità di creatività logico-informatica che gli stessi hacker dimostrano di avere». (Redattore Sociale)