Nel maggio 2017 si è verificato il primo noto attacco ransomware su apparecchiature medicali. Si è trattato del famoso WannaCry, che ha compromesso strumentazione radiologica e dispositivi elettromedicali in diversi ospedali, costretti a interrompere e riprogrammare gli appuntamenti.
Come per gli altri settori critici, gli attacchi informatici e le violazioni di dati hanno un impatto rilevante anche nel settore sanitario, sempre più fortemente dipendente dalle apparecchiature medicali. Negli ultimi anni si è assistito più volte a ospedali costretti a chiudere il pronto soccorso o le sale operatorie, indice del fatto che gli impatti non riguardano solo i dati ma addirittura la vita e il benessere dei pazienti. Basti pensare che fra i dispositivi medicali spesso attestati in rete troviamo pompe per insulina, defibrillatori cardiaci, pacemaker cardiaci artificiali e ventilatori, scanner per risonanza magnetica, solo per citarne alcuni.
Nel mondo di oggi, le apparecchiature medicali sono collegate a tutti gli altri dispositivi di un ospedale per monitoraggio, per manutenzione e per raccogliere dati, inviare informazioni, conservare diagnosi e referti: stiamo parlando dell’Internet of Medical Things (IoMT). Le strutture sanitare devono proteggere tali dispositivi da attacchi informatici e tutelare adeguatamente i dati personali e sensibili dei propri pazienti, registrati e archiviati in questi dispositivi medici.
Per definire una strategia di cyber security che sia completa ed efficace contro le vulnerabilità e i rischi cyber occorre tenere presente l’intero ecosistema IoMT: produttori dei dispositivi, fornitori e manutentori dei sistemi, produttori di software, system integrator, fornitori di connettività, la sicurezza informatica interna e (non da ultimo) gli utenti finali.
Ad aiutare tutto questo, i dispositivi medici dovrebbero essere progettati pensando alla sicurezza, ovvero a software sviluppato secondo best practice di sicurezza, sistemi operativi non obsoleti, capaci di aggiornarsi agevolmente e da modalità sicure di accesso, trattamento e conservazione dei dati.
Sottolineiamo inoltre che, in caso di violazione di dati, la responsabilità primaria e ultima è della struttura sanitaria (titolare dei dati) e NON il fornitore di servizi.
Fonte: https://thehackernews.com/2022/01/are-medical-devices-at-risk-of.html