Invitare le imprese a valutare i rischi legati alla sicurezza informatica nell’ambito della progettazione e dello sviluppo dei dispositivi medici, sottoponendo loro i report sui pericoli identificati e i controlli per ridurli. È questo l’iter che negli Stati Uniti sta portando la Food and drug administration, l’ente nazionale che regola farmaci e cibi, a stilare una serie di raccomandazioni per le aziende con l’intento di proteggere la salute e i dati dei pazienti.
Nello specifico il “Content of premarket submissions for management of cybersecurity in medical devices” raccomanda ai produttori di considerare gli ambiti della sicurezza informatica nella progettazione e sviluppo di un dispositivo medico, sollecitandoli a presentare i propri piani per la fornitura di sistemi operativi e software medici (con relativi aggiornamenti). Contemporaneamente, la Fda ha avviato una serie di workshop per discutere su come governo, aziende, ospedali e addetti ai lavori possono migliorare la sicurezza dei dispositivi.
“Spesso la tecnologia per proteggerci esiste, ma non la utilizziamo perché sbagliamo l’approccio. Osserviamo tutti questi oggetti smart e continuiamo a pensare di vedere un elettrodomestico, quando invece abbiamo un computer davanti a noi” spiega Alessio Pennasilico, security evangelist della società Alba St, convinto che alla base di una valutazione reale dei rischi debba esserci necessariamente un cambio di mentalità. “Solo così ci porremo domande su infezioni da malware, politiche sugli aggiornamenti di sistema, backup dei dati memorizzati, se inserire su un determinato dispositivo una certa password”.
Interrogativi, questi, che rimandano alla recente operazione del Department of homeland security statunitense, che nelle ultime settimane sta indagando su una serie di dispositivi e apparecchiature mediche – inclusi una pompa per le infusioni e un defibrillatore impiantabile – che potrebbero avere delle “falle” nella loro parte informatica e dunque essere esposti ad attacchi di hacker. Anche per questo “servono leggi che costringano i produttori di apparecchiature sensibili, quali gli apparecchi medicali, a rispettare certi standard in termini di qualità e sicurezza” riprende Pennasilico, secondo cui “occorrono modelli, manuali, guide e white paper che accompagnino i produttori nel valutare e mitigare i rischi insiti in tecnologie come il Tcp/Ip o il wi-fi”.
Su questo argomento si esprime anche Isabella Corradini, presidente del centro di ricerche sociopsicologiche e criminologico-forensi Themis. “Va bene considerare i rischi di cybersecurity già nella fase di progettazione e sviluppo dei dispositivi medici, da quello più grave che mette in pericolo la salute del paziente, come nel caso del controllo remoto dei dispositivi, a quello inerente la sottrazione dei dati sensibili. Ma occorre farlo tenendo conto del fattore umano che, molto spesso, si rivela l’anello debole della catena di sicurezza ed è in grado di vanificare l’efficacia di tutto il sistema” spiega. Quindi aggiunge: “La progettazione delle tecnologie deve porre l’individuo al centro del processo di controllo. Le persone necessitano di un ruolo attivo e non bisogna delegare agli strumenti tutte le funzioni, compresa quella della sicurezza”. L’aspetto sul quale occorre riflettere, secondo Corradini, è che “le soluzioni tecnologiche, se usate da sole non sono sufficienti. Affinché siano sicure e al sicuro occorre accompagnarle ad un’attività di educazione sull’utilizzo appropriato e consapevole dei dispositivi”.