Sicurezza informatica nel settore sanitario: un regolamento atteso da tempo

L'assistenza sanitaria e molti processi medici non sono più possibili in modo efficiente senza l'informatica, il che è reso chiaro da termini come tomografia computerizzata o cartelle cliniche elettroniche. Sempre più spesso, i dispositivi supportati dall'IT supportano o prendono il sopravvento sui processi medici: Nell'ufficio del medico, gli ultrasuoni o i monitor della pressione sanguigna forniscono la base per il processo decisionale del personale; la tecnologia all'avanguardia utilizza anche i Big Data: i dispositivi a ultrasuoni all'avanguardia, per esempio, possono evidenziare direttamente le aree cospicue nell'immagine da un punto di vista medico. L'intelligenza artificiale riconosce i modelli e fornisce aiuti al processo decisionale, ma è ancora lontana dall'essere in grado di prescrivere decisioni da sola. Alla fine, il professionista medico deve avere la competenza per interpretare correttamente i risultati e trarre conclusioni. D'altra parte, ci sono già macchine automatiche che lavorano in modo indipendente: Per esempio, dispositivi di infusione che erogano una certa quantità di farmaci in un certo periodo di tempo, o macchine di laboratorio che misurano ed elaborano i risultati.

Interfacce e sistemi obsoleti come rischi per la sicurezza

A differenza di qualche decennio fa, i dispositivi medici come i pacemaker oggi hanno interfacce per leggere i dati e regolare i parametri. Nell'ambiente stazionario, queste interfacce sono comuni e necessarie per la manutenzione e la configurazione. Tuttavia, questo apre opportunità di uso improprio se non sono protetti da accessi non autorizzati. Si pone la questione di quanto facilmente si possa accedere a un'interfaccia e da quale ambiente. I componenti sono controllabili via radio o via Internet? Le probabilità di tali attacchi non sono state definitivamente chiarite, ma è concepibile una manipolazione esterna, che è particolarmente delicata per IT come i pacemaker, che riguardano direttamente le persone.

In generale, la manipolazione e l'alterazione dei dati da parte di persone non autorizzate, che supportano il medico nel prendere una decisione, è critica - che si tratti di un'operazione sulla gamba sbagliata o di valori di laboratorio sbagliati. I componenti manipolati possono essere pericolosi anche nella produzione di farmaci, quando i sistemi informatici supportano il dosaggio dei rapporti di miscelazione.

Un'altra difficoltà nel garantire la sicurezza informatica è che, a causa dei costi elevati, i dispositivi e le attrezzature mediche sono utilizzati per un lungo periodo di tempo: L'investimento in procedure di imaging (ad esempio, tomografi computerizzati) deve essere ammortizzato e le macchine rimangono in uso per un tempo corrispondentemente lungo, soprattutto perché richiedono elevate esigenze ai produttori e all'omologazione. Di conseguenza, si continuano a utilizzare apparecchiature che, dal punto di vista informatico, non sono più all'avanguardia, poiché funzionano con sistemi operativi e componenti vecchi e senza protezione antivirus, ma che, dal punto di vista medico, continuano a soddisfare il loro scopo. In ogni singolo caso, l'operatore deve soppesare i rischi associati alla tecnologia informatica obsoleta, se questi sono accettabili o se e quali misure devono essere prese per ridurre o eliminare completamente i rischi. Questo non è sempre possibile: se una generazione di pacemaker ha una lacuna di sicurezza, non tutti possono necessariamente essere sostituiti, poiché ci possono essere pazienti per i quali la procedura rappresenta un rischio medico inaccettabile.

Nel settore sanitario, c'è sempre uno scontro di interessi: il personale pensa alle proprie esigenze per soddisfare i processi aziendali, la direzione dell'ospedale pensa ai KPI economici e, a causa della carenza di personale qualificato e della pressione sui costi, gli esperti di sicurezza informatica non sono in tutti gli ospedali. Richiede competenze per gestire l'infrastruttura IT in modo sicuro e gli sforzi non sono al passo con le esigenze. I lavoratori qualificati sono costosi e gli ospedali competono con le industrie che possono offrire condizioni migliori per i lavoratori qualificati. Questo quadro determina il livello di sicurezza - se si verifica un attacco, non è sufficiente incolpare l'ospedale. Gli attacchi agli ospedali con crypto Trojan in particolare sono aumentati negli ultimi anni, ma la situazione delle minacce varia - alcune aree hanno il necessario know-how e la consapevolezza delle minacce, altre no. Sfortunatamente, non ci sono soluzioni semplici per scenari (minacce) complessi.

La sicurezza informatica impedisce la manipolazione e l'accesso non autorizzato

In generale, l'informatica è considerata sicura quando le persone non autorizzate non possono danneggiare i pazienti e la manipolazione è impossibile. Questo include anche l'uso scorretto, quando il personale qualificato preme accidentalmente un pulsante sbagliato, l'IT riconosce l'errore e segue. L'approccio "secure by design" può raggiungere questo obiettivo: i dispositivi sono intrinsecamente sicuri e diventano vulnerabili solo quando vengono deliberatamente aperti o modificati, il che può essere ridotto attraverso ambienti di distribuzione definiti. Un altro principio della sicurezza informatica è la segmentazione. Se le reti funzionali sono separate - l'area amministrativa dai processi aziendali, l'amministrazione dall'area medica - gli hacker, per esempio, hanno meno tempo facile e il malware non si diffonde facilmente perché bisogna superare ulteriori ostacoli di sicurezza all'interno dell'IT.

Manca una regolamentazione mirata

Un problema centrale per l'informatica nel settore sanitario risiede nella mancanza di regolamentazione e nell'inesistenza di specifiche concrete per la sicurezza informatica. L'argomento è stato in uno stato di flusso per circa due o tre anni ed è sempre più al centro dell'attenzione normativa.

La regolamentazione deve concentrarsi sui prodotti che entrano in contatto diretto con gli esseri umani e il cui uso improprio può danneggiarli. I sistemi informativi ospedalieri, come strumento centrale, hanno anche interfacce con dispositivi medici e devono essere sicuri. Tuttavia, la regolamentazione deve essere effettuata con un senso di proporzione: L'informatica non deve decidere per il medico, che può anche compensare gli errori della tecnologia con le sue conoscenze. È quindi necessario effettuare una valutazione dei rischi.

Al fine di creare un livello uniformemente alto di protezione nella sicurezza informatica, è necessario raggiungere un level playing field per tutti i produttori e i partecipanti. Questo può essere raggiunto con specifiche e obiettivi concreti definiti dalle autorità di regolamentazione. Nel fare ciò, è necessario conciliare diversi interessi. Se un prodotto non può essere utilizzato rapidamente a causa delle sue procedure di autenticazione e sicurezza, questo può danneggiare il paziente tanto quanto una mancanza di sicurezza informatica: I defibrillatori - che contengono molto IT attraverso i loro sensori - non richiedono l'autenticazione, per esempio, perché questo richiederebbe troppo tempo in caso di emergenza.

Conclusione

Si deve garantire che le persone non autorizzate non possano usare l'IT nei dispositivi e nei sistemi medici contro il paziente e che i componenti e i sistemi siano aperti solo alle persone autorizzate. Le aziende specializzate in sicurezza informatica, come SRC Security Research & Consulting GmbH di Bonn, possono aiutare in questo caso. La regolamentazione è necessaria per creare degli standard di sicurezza - anche se qui è necessario un senso di proporzione. Perché un'eccessiva regolamentazione può anche causare danni.