CYBER SECURITY E SANITÀ DIGITALE: STANDARD PER I DISPOSITIVI MEDICI

 

La guida europea agli standard per i dispositivi medici è una questione di estrema urgenza. In questo focus analizziamo i dettagli delle linee guida europee nel connubio Cyber security e Sanità digitale.

Quello ospedaliero è uno dei settori maggiormente presi di mira dagli attacchi cyber in grado di compromettere non soltanto l’efficienza dei processi ma la salute dei cittadini.

Dispositivi medici digitali vulnerabili mettono a rischio pazienti ed operatori.

Ecco perché il Medical Device Coordination Group della Commissione UE il 9 gennaio 2020 ha pubblicato una guida agli standard di sicurezza per chi produce dispositivi medici.

E’ giunto il momento anche per l’Italia di adottare un Common Framework personalizzato, in grado di garantire erogazione delle cure e protezione della filiera.

Quali sono le conseguenze di un attacco cyber alla Sanità digitale?

Quali sono gli standard di sicurezza proposti dalla guida europea?

 

CYBER SECURITY E SANITÀ DIGITALE: CONSEGUENZE E DANNI ECONOMICI DEGLI ATTACCHI INFORMATICI

 

Il settore ospedaliero è uno dei più bersagliati eppure tarda ad implementare misure di cybersicurezza adeguate. La minaccia cyber è in costante aumento ed è responsabile non solo di rallentamenti del sistema ma anche di danni economici. Tutto questo interferisce nell’erogazione di cure mediche.

Il ritardo nell’adottare appropriate misure di sicurezza informatica nei software meditech è dovuto alla mancanza di linee guida specifiche nel settore sanitario.

Ora, la Commissione UE è pronta a fornire le linee guida che mancavano con standard di cyber security specifici per dispositivi medici in Europa.

Negli ultimi anni, un numero sempre crescente di attacchi cyber hanno causato nel settore sanitario ed ospedaliero malfunzionamenti, rallentamenti nell’erogazione dell’assistenza sanitaria, pesanti perdite economiche e reputazionali.

Nel settore ospedaliero, un cyber attacco può mettere a rischio la confidenzialità del dato sanitario violando la riservatezza, togliendo ai legittimi titolari dei dati la possibilità di accedere al dato stesso con tutte le conseguenze che può avere sulla salute del paziente.

I dati medici rappresentano un target appetibile per i cyber criminali. Si possono ricavare ingenti profitti dalla vendita di dati sanitari al mercato nero.

Nel 2018, l’HIPAA (Health Insurance Portability and Accountability Act) ha riportato questi dati: sottrazione ed esposizione di 13.020.821 cartelle sanitarie. Ogni singola cartella può essere facilmente venduta nel deep web al prezzo di circa 50 dollari.

Negli USA, è stato stimato che un singolo data breach può costare alla vittima fino a 7 milioni di dollari. Il costo delle attività cyber contro la filiera sanitaria ha superato la soglia dei 400 miliardi di dollari all’anno.

E in Italia? Nel nostro Paese, secondo l’ultimo rapporto del Clusit, tra il 2017 e il 2018 gli attacchi cyber contro il settore sanitario e ospedaliero sono cresciuti del 99%: in media, il costo per ogni incidente sale del 7% ogni anno.

 

CYBERSECURITY ACT: IL REGOLAMENTO UE

Prima di descrivere la nuova guida europea agli standard di sicurezza per chi produce dispositivi medici, spieghiamo bene quale documento UE regola, attualmente, la cyber sicurezza in genere.

Il 27 giugno 2019 è stato reso esecutivo il Regolamento UE 2019/881, meglio noto come Cybersecurity Act che sottolinea l’importanza di reti, sistemi informativi e servizi di comunicazione elettronica. Oggi rappresentano “i pilastri della crescita economica”, “sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali sanità, energia, finanza e trasporti”.

Il CyberSecurity Act contribuisce a rafforzare il ruolo dell’ENISA e la certificazione della sicurezza nei prodotti, servizi e processi relativi alle tecnologie dell’informazione e delle comunicazioni (TIC).

 

PER LA SANITÀ DIGITALE SERVE UN PIANO MIRATO

 

Esiste il Cybersecurity Act ma per la Sanità digitale serve un piano mirato che preveda strategie gestionali per trattare aspetti unici della filiera.

La questione è che, a differenza di altri settori, l’ambito sanitario utilizza una vasta gamma di tecnologie: non solo sistemi IT ma dispositivi medici che adottano l’IoMT (Internet of Medical Things) connessi ad Internet e, perciò, maggiormente esposti a cyber attacchi esterni. Le strategie mirate di cyber sicurezza per la sanità digitale devono prevedere una protezione multidimensionale considerando tecnologie molto diverse tra loro.

Esiste una grande interconnessione tra le varie figure che costituiscono il tessuto sanitario ed uno scambio negli ospedali di enormi quantità di informazioni spesso conservate in banche dati comuni (ad esempio, la cartella clinica informatizzata a cui possono accedere vari soggetti sanitari).

Questo sistema, utilissimo per l’attività degli operatori sanitari, rappresenta un fattore di rischio in termini di cybersicurezza. Va da sé che un framework di cyber security efficace deve essere flessibile nonché applicabile a realtà diverse.

Il problema della cyber sicurezza nel settore sanitario e ospedaliero è una questione complessa che va trattata ad hoc.

Attualmente, in Italia, Confindustria Digitale ha attivato un tavolo di lavoro mirato alla definizione di un Common Security Framework (CSF). L’obiettivo è creare un sistema  organizzativo e metodologico che, attraverso un linguaggio comune, indichi come strutturare a livello di gestione gli aspetti di cyber sicurezza dei vari soggetti che fanno parte del tessuto ospedaliero (tecnici, direttori sanitari, manager, ecc.).

Tale strumento è complementare alla disciplina riguardante la PA, il GDPR e la Direttiva NIS 2016/1148 (Network and Information Security) recepita col DL 18 maggio 2018 n.65 (entrato in vigore il 24 giugno 2018).

 

NUOVI STANDARD PER I DISPOSITIVI MEDICI: LA GUIDA EUROPEA

Cyber security e Sanità digitale sono una questione urgente.

Il Medical Device Coordination Group della Commissione UE ha pubblicato un documento intitolato “Guidance on Cyber security for medical devices“.

Questa guida racchiude in sé i nuovi requisiti di sicurezza per tutti i dispositivi che integrano sistemi e software programmabili. Requisiti che impongono ai produttori di device di seguire principi di gestione dei rischi avanzati. Stabiliscono soglie minime per le misure di cyber security, inclusa la protezione contro l’accesso non autorizzato.

Con questa guida i produttori di dispositivi medici vengono preparati a soddisfare i requisiti di cyber sicurezza pre-mercato e post-mercato dell’European Medical Devices Regulation – MDR (entrato in vigore il 25 maggio 2017) e del regolamento UE 2017/746 (entrato in vigore il 26 maggio 2017).

Si tratta di un documento di 47 pagine che revisiona radicalmente le normative dell’UE sui dispositivi medici riclassificando numerosi dispositivi ad un livello di rischio più elevato. Entrerà in vigore il 26 maggio 2020.

La parola d’ordine è: dispositivi medici sicuri ed efficaci.

L’obiettivo di questa guida europea è anche un altro: coprire la catena di approvvigionamento dal produttore all’utente finale (inclusi importatore e distributore).

A livello dell’Unione Europea, andrebbe menzionato anche il regolamento UE sulla cyber sicurezza 2019/881. Regolamento che introduce un quadro di certificazione in riferimento a prodotti, servizi e processi TIC (tecnologie dell’informazione e della comunicazione)

 

CYBER SECURITY E SANITÀ DIGITALE EUROPEA: TUTTI I PUNTI

I temi specifici del Medical Device Coordination Group per la sicurezza informatica sono:

– privacy e protezione dei dati;

– indagini cliniche condotte allo scopo di mostrare la conformità dei dispositivi;

– valutazione della conformità;

– sistemi di sorveglianza post-mercato;

– piani e rapporti, rapporti periodici di aggiornamento sulla sicurezza;

– rapporti e analisi di incidenti gravi e correttivi di sicurezza;

– reportistica di tendenza, documentazione tecnica, valutazione clinica e follow-up post-mercato.

Francesco Ciamo CEO di Più Sicurezza

Francesco Ciano

2 Commenti.