L’internet delle cose nella sanità: vantaggi e rischi

Il settore deve integrare la sicurezza nei dispositivi fin dall’inizio, anziché aggiungerla in seguito. L’Internet delle cose, nota anche come IoT sta rapidamente assumendo un ruolo di primo piano nell’esperienza dei consumatori e nell’economia globale. Tuttavia, l’IoT può avere anche un notevole impatto sui singoli individui. Nel mondo della sanità, determinati dispositivi medicali collegati in rete sono sempre più intrecciati nel tessuto dell’IoT. Si tratta di apparecchiature indossabili, da ingerire temporaneamente o addirittura inserite nel corpo umano a scopo terapeutico, farmacologico o per la salute e il benessere in generale.

Il report intitolato “L’Internet delle cose nella sanità: vantaggi e rischi”, sponsorizzato da Intel Security e redatto dall’Atlantic Council, approfondisce le problematiche della sicurezza e le opportunità sociali per i dispositivi medicali collegati in rete. Fornisce raccomandazioni all’industria, alle autorità di regolamentazione e ai professionisti medici al fine di massimizzare il valore per i pazienti e ridurre al minimo i rischi per la sicurezza derivanti dal software, dal firmware e dalla tecnologia di comunicazione presenti in tali dispositivi.

I VANTAGGI

Gli individui possono indossare i dispositivi collegati alla rete per avere maggiori informazioni su sé stessi: sulla dieta, sui programmi di attività fisica e sui loro parametri vitali. I medici sono in grado di regolare e ottimizzare gli impianti medicali, quali i pacemaker, in modo rapido, più accurato e spesso senza il bisogno di procedure mediche invasive. negli ospedali i nuovi dispositivi vengono connessi alla rete per consentire monitoraggi e terapie più efficaci e meno costosi. Secondo una stima, queste tecnologie potrebbero far risparmiare alla sanità 63 miliardi di dollari nell’arco di 15 anni, con una riduzione dal 15% al 30% dei costi per le apparecchiature ospedaliere.[1]
Il report sottolinea il delicato equilibrio presente fra la promessa di una nuova era tecnologica e la capacità della società di gettare basi sicure, sia nella tecnologia sia nelle comunicazioni, per questi innovativi dispositivi.

RIDUZIONE DEI RISCHI POTENZIALI

I vantaggi della sanità in rete sono legati a quattro aree critiche sovrapposte, fra cui i guasti accidentali che erodono la fiducia. nel caso di guasti gravi, le società diventerebbero diffidenti nei confronti dei dispositivi medicali in rete, ritardandone l’adozione di anni o decenni. La protezione della riservatezza dei pazienti e dei dati sanitari sensibili è la seconda ovvia area critica, dato che gli hacker malintenzionati considerano le informazioni sanitarie particolarmente preziose. Il sondaggio 2015 sullo stato globale della sicurezza delle informazioni di PwC (Global State of Information Security Survey 2015), mostra che nel 2014 le violazioni delle informazioni, segnalate da utenti e fornitori dei servizi sanitari, hanno compiuto un balzo del 60%, un aumento quasi doppio rispetto a quello riscontrato in altri settori.[2]
I guasti di origine dolosa sono preoccupanti, perché i dispositivi medicali in rete sono vulnerabili quanto qualsiasi altra tecnologia connessa. Attivisti informatici, ladri, spie e persino terroristi cercano di sfruttare le vulnerabilità informatiche per commettere reati e portare devastazione. Quando attraverso un dispositivo connesso e inserito in una persona viene commesso un crimine informatico, le conseguenze possono avere un risvolto personale e pericoloso. Gli attacchi che mirano alle persone con l’intento di provocare danni fisici sono improbabili. È però molto alta la probabilità di attacchi in grado di causare danni molto diffusi. In teoria, un malware mirato può diffondersi tramite Internet e colpire chiunque abbia un dispositivo vulnerabile. Tale scenario si è materializzato nei sistemi informatici aziendali e nei sistemi di controllo industriale, come dimostrato dal sofisticato attacco Stuxnet. Attualmente lo sviluppo e la produzione dei dispositivi medicali si concentra sulle preferenze dei produttori e sulle necessità dei pazienti. Al fine di affrontare i rischi potenziali, l’industria e i governi devono altresì volgere la propria attenzione sul mettere in atto una serie onnicomprensiva di normative o migliori pratiche di sicurezza per i dispositivi in rete.
Diverse raccomandazioni aiutano ad adottare l’innovazione riducendo al minimo i rischi per la sicurezza. Secondo questo report il settore deve integrare la sicurezza nei dispositivi fin dall’inizio, anziché aggiungerla in seguito. Come l’ex CTo di McAfee, Stuart McClure, ha testimoniato nel 2012 dinanzi al Comitato della Camera dei rappresentanti per la Sicurezza nazionale Statunitense: “La sicurezza informatica deve essere incorporata in apparecchiature, sistemi e reti fin dall’inizio della loro progettazione”[3].

NORMATIVE IN EVOLUZIONE

Il report consiglia di migliorare continuamente la collaborazione privato-privato e pubblico-privato. Va garantito un maggior coordinamento, anziché maggiori normative, perché le autorità non sempre tengono il passo con i progressi tecnologici. Devono poter ricevere le opinioni di tutte le parti interessate tramite dei forum collaborativi e trasparenti, che assicurino la piena indipendenza dell’autorità di regolamentazione senza dare adito a sospetti di collusione con l’industria. Dal canto loro, i protagonisti del settore industriale devono continuare a migliorare la comunicazione reciproca. Il report raccomanda inoltre un’evoluzione nel paradigma di approvazione dei dispositivi medicali al fine di incentivare le innovazioni, allo stesso tempo consentendo alle organizzazioni sanitarie di rispettare le politiche di regolamentazione e proteggere l’interesse pubblico. Alcuni produttori di dispositivi medicali resistono all’innovazione e continuano a proporre tecnologie obsolete, perché sanno che queste ultime ricevono facilmente il placet delle autorità di regolamentazione. Tale problema potrebbe essere risolto tramite una procedura di approvazione semplificata, che incoraggerebbe sia l’inclusione della sicurezza nella fase progettuale sia, come minimo, la possibilità di correggere i sistemi dopo la loro adozione. Infine, il report suggerisce di dare una voce indipendente al pubblico, soprattutto ai pazienti e alle loro famiglie, per raggiungere l’equilibrio tra efficacia, usabilità e sicurezza quando un dispositivo viene implementato e utilizzato.

PER SAPERNE DI PIÙ

Scarica il rapporto completo: http://www.mcafee.com/us/resources/reports/rp-healthcare-iot-rewards-risks.pdf

NOTE

  1. Peter C. Evans e Marco Annunziata, “Industrial Internet, Pushing the Boundary of Mind and Machines” (Internet industriale, spingere il confine di mente e macchine), http://www.ge.com/sites/default/files/Industrial_Internet.pdf, rapporto di GE citato dalla scheda informativa del NIST sui sistemi ciber-fisici: http://www.nist.gov/public_affairs/factsheet/cyberphysicalsystems2015.cfm
  2. http://usblogs.pwc.com/cybersecurity/the-prognosis-for-healthcare-payers-and-providers-rising-cybersecurity-risks-and-costs/
  3. Dichiarazione di Stuart McClure al Comitato della Camera dei Rappresentanti per la Sicurezza Nazionale Statunitense, Sottocomitato Vigilanza, Indagini e Gestione, 24 aprile 2012.

A cura di McAfee

Articolo pubblicato sulla rivista Safety & Security – Marzo 2015

Condividi sui Social Network:

Articoli simili