Ricerca e cura

sanità

22 Maggio 2023

---

«Negli ultimi 5 anni sono stati registrati tra 150-200 attacchi hacker a dispositivi medici». Il motivo è «estorcere soldi alle aziende che li producono - dimostrandone fragilità della sicurezza - o per minare la salute di personaggi politici. I dispositivi medici sono oggetti vulnerabili perché sempre più connessi e che ad oggi non hanno nessun tipo di normativa che ne garantisce la sicurezza da questo punto di vista». A spiegarlo all'Adnkronos Salute è Gaetano Marrocco, professore ordinario di Campi Elettromagnetici dell'Università Tor Vergata di Roma e coordinatore del corso di studi in Ingegneria Medica, dipartimento di Ingegneria Civile e Ingegneria informatica. Nell'ambito delle attività di ricerca svolte in collaborazione con il Centro di competenza Cyber 4.0, l'Università Tor Vergata ha realizzato l'Osservatorio 'C4h - Cyber4health', una piattaforma per la sicurezza informatica dei dispositivi medici, tra le prime al mondo nel suo genere, finalizzata a fornire una base di conoscenze tecniche e legislative sulla vulnerabilità dei dispositivi medici, soprattutto wireless, rispetto a eventuali attacchi informatici ed elettromagnetici. «Gli smartwatch, i pacemaker, i defibrillatori, le pompe di insulina, i neuro-stimolatori - aggiunge Marrocco - sono una finestra aperta da dove può uscire ma anche entrare e si può fare da lontano inviando un segnale malevole».

L’ultimo caso di attacco hacker ha riguardato l’Azienda sanitaria Abruzzo 1 che include Avezzano, Sulmona, L’Aquila. I criminali informatici si sono impossessati di cartelle cliniche, referti di analisi genetiche, valutazioni psicologiche di minori, documenti di inventario, ma anche di dati personali relativi ai dipendenti. Si tratta di uno degli attacchi più gravi degli ultimi mesi, secondo l'Agenzia nazionale per la cybersicurezza che avrebbe dimensioni pari a 500 gb. In merito si è espresso anche il Garante per la protezione dei dati personali che ha ricordato come chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali - e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo - incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato. Un reato questo ancora più odioso, perché riguarda dati sanitari, quali in particolare informazioni su patologie e cure mediche di persone in condizioni di vulnerabilità e fragilità. L'Autorità avverte pertanto di non scaricare dal dark web e non condividere con terzi gli archivi potenzialmente riconducibili alla Asl 1 Abruzzo.

Marocco racconta che «ci sono stati casi di personalità diplomatiche in visita in alcuni paesi a rischio che hanno avuto fastidi fisici causati dal bombardamento magnetico generato a distanza». L'Osservatorio vuole stimolare una cultura di 'Cyber-Physical Security by Design' che, partendo dalla conoscenza delle problematiche già accertate o plausibili, possa mitigare i rischi già nella fase di definizione del dispositivo medicale e della catena di valore da esso abilitata. «Mettendo insieme le competenze sui dispositivi medici, sulle reti informatiche, sull'elettromagnetismo, abbiamo creato una piattaforma dove sono stati raccolti i dati sulla vulnerabilità dei dispositivi medici analizzando anche gli articoli scientifici che si sono occupati del tema. Poi è stato assegnato ai sistemi utilizzati un punteggio di vulnerabilità, 'Common Vulnerability Scoring System (Cvss), anche in base all'impatto sulla salute del paziente», ricorda il docente. «Il tema della sicurezza cyber-fisica dei dispositivi medici assume una significativa rilevanza per produttori, ospedali e pazienti soprattutto nell'attuale, e futuro, scenario di crescente interconnessione», sottolinea Marrocco. Oggi ci sono milioni di dispositivi complessi, «ad esempio i pacemaker, ma anche dispositivi impiantati 'stupidi' - spiega - ovvero che oggi non hanno una attività di rilevazione ma domani potranno averla. Penso alle protesi di anca, di ginocchio, quelle dei denti, oggi hanno una funzione solo meccanica ma presto saranno sensorizzate con una piccola unità di elaborazione. Ad esempio, una banale protesi può diventare intelligente e misurare la temperatura o capire se c'è una infezione. Ma a quel punto moltiplicheremo per mille gli oggetti vulnerabili». Il messaggio finale del professor Marrocco, è che «non dobbiamo avere paura», ma l'obiettivo del lavoro «è che le problematiche legate alla sicurezza» contro gli attacchi hacker e quelle «di garantire sempre la salute dei pazienti, diventino dei requisiti quando si progettano i dispositivi».