Debolezze nella tecnologia medica
Simile a un blackout, i virus potrebbero interrompere le strutture ospedaliere e le attrezzature mediche - possibilmente causando guasti. La professoressa Ursula Sury, vicedirettrice di HSLU ed esperta di SQS per gli audit sulla protezione dei dati, spiega in un'intervista a Management & Quality quali potenziali punti deboli circolano nella tecnologia medica e quali leggi e norme vengono applicate.
C'è un'alimentazione elettrica autosufficiente in ogni sala operatoria. Se viene a mancare la corrente, le batterie si accendono automaticamente. L'"over-break" dei dispositivi vitali è ritardato forse di qualche millisecondo. Ma quanto potrebbe essere grave la situazione se un sistema di dispositivi o il servizio di dispositivi fossero violati e manipolati?
Sembra sempre più reale che gli estorsori organizzati a livello globale cerchino di causare danni negli ospedali, come sottolineano gli studi (vedi "Vulnerabilità degli ospedali svizzeri agli attacchi informatici"). Ospedali e strutture svizzere sono già stati infettati da virus informatici DoS (Denial of Service).
Simile a un blackout, i virus della crittografia possono bloccare singole strutture operative o causare ulteriori interruzioni. Durante il carnevale di Neuss, nella Renania, un ospedale ha dovuto chiudere i suoi server perché erano stati violati. Oltre a una perdita da sei a sette cifre, l'ospedale non è stato in grado di trattare altri pazienti gravemente feriti - per giorni.
Come si potrebbero evitare questi rischi informatici nelle istituzioni svizzere e quali contromisure legali si potrebbero adottare contro di essi? Intervista con la professoressa Ursula Sury, esperta di protezione dei dati
Prof. Sury, quanto è difficile spiare o alterare i dati dei dispositivi medici?
Questo dovrebbe essere chiesto, in ultima analisi, a un esperto informatico. Tuttavia, è generalmente noto che i dispositivi in rete non adeguatamente protetti in aree ospedaliere sensibili e pubbliche possono essere scremati e manipolati. Questo può essere prevenuto con rigorose misure di protezione IT, obblighi corrispondenti nei contratti con i fornitori e i provider IT e assicurando una gestione sicura da parte dei dipendenti.
Siete a conoscenza di casi in cui l'attrezzatura è stata manomessa in modo tale da causare un malfunzionamento?
In generale sì, ma non nello specifico. Tuttavia, penso che le funzionalità sbagliate nei dispositivi me-dizinali portino i problemi maggiori. Inoltre, i dati sensibili potrebbero essere trasmessi in chiaro per scopi statistici (marketing).
La responsabilità è completamente assunta dopo un attacco di hacking anonimo?
Difficile. Bisogna documentare tutto - i concetti di sicurezza (vedi "virus dormienti") e tutti i processi e le procedure. In caso di responsabilità, si pone sempre la questione della colpa, vale a dire se le lacune di sicurezza si sono verificate in un ospedale a causa di un'omissione dimostrabile.
Quali misure legali sono utili per proteggere dall'accesso non autorizzato?
Il principio del consenso si applica principalmente. I pazienti o i residenti delle case di cura devono essere messi al corrente dei loro diritti e obblighi per quanto riguarda la legge sulla protezione dei dati.
"Bisogna provarlo", dice la professoressa Ursula Sury.
Pensa che l'archiviazione di dati sensibili nei dispositivi e nelle nuvole sia oggi legalmente regolata?
Sì, ci sono sufficienti regolamenti legali come la legge svizzera sulla protezione dei dati (DSG 10a). Purtroppo, questi requisiti legali non sono molto rispettati al momento. - Tuttavia, è sempre una questione quintessenziale di misure di protezione operative e di trattamento dei dati.
La messa in rete della tecnologia medica è una maledizione o una benedizione per il sistema sanitario?
Un fatto che deve essere benedetto!
