EON_641

EON EWS n . 641 - MAGGIO 2020 15 fornitori di servizi sanitari. Ecco le loro riflessioni sulla sicurezza informatica: • Siete consapevoli del fatto che dei dispositivi medicali non protetti collegati in rete possono essere utilizza- ti come teste di ponte per infiltrarsi nella rete e nei server dell’organizzazione, consentendo a un crimina- le informatico di installare malware o di rubare le car- telle cliniche elettroniche? Ben il 95% degli intervistati era a conoscenza di questo problema. Tutti erano d’ac- cordo sul fatto che la “si- curezza dei dispositivi me- dicali” deve essere in cima alla lista delle priorità per tutti quelli collegati alle reti sanitarie. • Ritenete che la FDA stia facendo abbastanza per incoraggiare i produttori a fornire dispositivi medicali sicuri e protetti? Le rispo- ste sono state contrastan- ti. Il cinquantacinque per cento degli intervistati non è soddisfatto delle attuali linee guida della FDA. Tra le ragioni di questa insoddi- sfazione vi sono le seguenti motivazioni: - Le linee guida della FDA dovrebbero richiedere ai produttori di dispositivi me- dicali di fornire informazioni dettagliate per rendere più facile per gli operatori sani- tari il confronto dei livelli di sicurezza e di protezione secondo i quali è stato rea- lizzato il prodotto. L’auspicio è che il requisito di pubbli- care l’elenco dei compo- nenti software utilizzati nel prodotto (SBOM, Software Bill Of Material) sia d’aiuto in questo senso. - L’FDA dovrebbe richiede- re ai produttori di dispositivi medicali di aderire a uno standard ben specificato, a maggior ragione vista la criticità delle attività in cui vengono utilizzati questi dispositivi. Il 30% degli in- tervistati è soddisfatto del- le linee guida della FDA e il restante 15% ha scelto di non rispondere o non ne sapeva abbastanza per esprimere un parere. • Se siete un fornitore di servizi sanitari, la vostra or- ganizzazione ha una politi- ca che obbliga a effettuare test di sicurezza rigorosi sui dispositivi medicali come parte del processo di ap- provvigionamento? Quasi tutti i dirigenti IT e i medici intervistati stavano inve- stendo in modo sostanziale nella protezione delle loro reti interne. Tuttavia, solo i maggiori fornitori di servizi sanitari avevano le risorse e il personale per istituire politiche e procedure uffi- ciali atte a garantire che i di- spositivi medicali acquistati siano prodotti utilizzando le migliori pratiche del setto- re per la programmazione sicura e la sicurezza infor- matica. • “Le organizzazioni di pic- cole dimensioni non pos- sono permettersi di dedi- care del personale interno alla verifica delle caratte- ristiche di sicurezza infor- matica dei prodotti che ac- quistiamo”, ha spiegato un medico. “Il più delle volte siamo costretti a dipende- re dalla parola o dalla re- putazione del produttore o, nel nostro caso, del distri- butore. Il problema è che tutti vengono hackerati”. I produttori di dispositivi medicali dovrebbero alle- viare l’onere in capo alle strutture sanitarie, miglio- rare l’ecosistema dei di- spositivi medicali e forni- re un livello di sicurezza a garanzia del paziente molto più elevato. Fin dalla progettazione iniziale del prodotto, dovrebbero utiliz- zare del software rigorosa- mente collaudato all’inter- no dei loro dispositivi per evitare malfunzionamenti e vulnerabilità del prodot- to. I dispositivi medicali collegati in rete dovrebbe- ro seguire i principi definiti nelle linee guida dell’FDA e utilizzare tecniche di si- curezza informatica in gra- do di difendersi da crimina- li informatici evoluti e ben finanziati. Le nuove linee guida SBOM proposte devono informare chiaramente il settore sanitario dei rischi e delle capacità dei dispo- sitivi medicali collegati in rete. Infine, dovrebbe es- serci una distribuzione più equa della responsabilità per la messa in sicurezza dell’IoT per applicazioni medicali. Saranno i produt- tori di dispositivi medicali che considerano la sicu- rezza e la protezione come la loro priorità assoluta ad avere successo nel merca- to dell’IoT per applicazioni medicali e, soprattutto, a mantenere i pazienti al si- curo dai danni informatici. • “Penso che le linee gui- da della FDA abbiano fatto molta strada e che stiano continuando a migliorare”, ha dichiarato Courtney Young, un avvocato senior specializzato nella gestio- ne del rischio di Medmarc , che assicura e fornisce servizi di gestione del ri- schio ai produttori di dispo- sitivi medicali. “Consiglio ai produttori di dispositivi medicali come mitigare il rischio e cerco di aiutarli a capire che le linee gui- da della FDA devono es- sere considerate come un punto di partenza, non un punto di arrivo. Sono del- le fondamenta sulle quali partire per costruire una casa sicura”. • I dispositivi e i sistemi medicali critici per la vita umana devono essere soggetti a requisiti di si- stema matematicamente provati e sicuri, come nel caso dell’industria aero- spaziale? I medici e i re- sponsabili della sicurezza con cui abbiamo parlato sono d’accordo sul fatto che i dispositivi medicali life-critical debbano esse- re più sicuri e più protetti dei dispositivi medici non life-critical. Hanno anche affermato che le misure di sicurezza di altri settori in- dustriali dovrebbero esse- re immediatamente esami- nate e valutate per la loro applicabilità ai dispositivi medicali. • Infine, gli intervistati era- no concordi sul fatto che un ente di accreditamen- to indipendente dovrebbe certificare la sicurezza e la protezione dei sistemi medicali di supporto vitale e dei dispositivi salvavita. Hanno anche dichiarato che tale ente dovrebbe es- sere composto da soggetti che siano parti interessa- te del settore della sanità, senza la supervisione del governo. A TTUALITÀ