lunedì, Ottobre 25

La cyberguerra si combatte anche in ospedale Gli strumenti informatici possono salvare la vita delle persone, ma gli scarsi livelli di sicurezza possono causare danni enormi. Ne parliamo con l’avvocato Stefano Mele.

0

La notizia arriva dall’America e ha contorni piuttosto inquietanti: 35 mila persone, portatori di pacemaker, sarebbero a rischio di un attacco informatico che potrebbe alterare il funzionamento del proprio strumento salva-vita, con serie conseguenze per la propria salute. In un’epoca in cui il rischio di un conflitto appare sempre più concreto, sapere che la guerra e le strategie belliche si sono evolute a tal punto non può non creare una viva preoccupazione. L’avvento di internet, oltre a essere stato portatore di notevoli innovazioni, ha aperto ulteriori fronti da tenere sotto attenta considerazione. In un mondo sempre più connesso, un attacco informatico potrebbe in rapido tempo paralizzare letteralmente uno o più Stati, gettando caos e scompiglio. Per questa ragione, così come nei tempi passati si costruivano mura e fortificazioni in difesa della città, così oggi occorre progettare sistemi che scongiurino e prevengano i ben più subdoli attacchi informatici. L’esempio del virus WannaCry, che ha bloccato, fra i tanti enti, il sistema sanitario del Regno Unito non più tardi di un anno fa, suona ancora oggi come monito.

Ma come potrebbero gli hacker colpire le strutture ospedaliere e che tipo di danno possono arrecare? Gli attacchi che possono essere portati sono di vario tipo e possono creare danni immani, su vari livelli. Il primo e più evidente riguarda i pazienti che, ricoverati, possono subire le conseguenze di un attacco informatico, sia direttamente, attraverso la modifica dei parametri dei macchinari a cui sono legati o da cui dipende la loro vita, sia indirettamente, attraverso la modifica delle cartelle cliniche o delle prescrizioni mediche, sempre più riportate su computer e nelle reti interne alla struttura ospedaliera: cambiando la diagnosi di una malattia, o mischiando i dati delle storie cliniche di più pazienti, si mette seriamente a repentaglio la loro salute. La questione delle informazioni ospedaliere è inoltre molto importante: a una struttura ospedaliera, infatti, le persone rilasciano tutti i propri dati sensibili, che vengono opportunamente riportati e registrati nei registri informatici della struttura. Hackerando il sistema, si possono cancellare anni e anni di storie cliniche o si possono rubare i dati (che i ladri potrebbero rivendere o rilasciare previo il pagamento di un ingente riscatto). Gli ospedali, inoltre, sono spesso dei centri di ricerca avanzati, che spendono ingenti cifre per sviluppare nuovi metodi di cura: un furto di dati di questo tipo rovinerebbe anni e anni di lavoro e porterebbe a un enorme spreco di risorse. E perché non considerare il rischio di una modifica di questi dati delle ricerche, falsando per sempre i risultati con gravi ripercussioni anche a livello della reputazione del centro e degli operatori che vi operano? In poche parole, non c’è un aspetto della sanità che è esente da rischio.

Di questo e di altri aspetti inerenti alla cyber security abbiamo parlato con Stefano Mele, avvocato e uno dei massimi esperti nell’ambito della sicurezza informatica. La questione, infatti, è notevolmente complessa, poiché il pericolo può arrivare da ovunque: “Potenzialmente, tutti i device sanitari che non sono stati progettati avendo alla base un solido principio di sicurezza (security by design), costituiscono un rischio enorme. E questo vale all’interno del mercato di qualsiasi strumento che utilizzi una tecnologia di comunicazione per scambiare i dati”. Il problema è molto serio: “Si stanno mettendo sul mercato miliardi di strumenti cyber fisici che, al loro interno, hanno o un bassissimo livello di sicurezza informatica o, addirittura, ne sono completamente prive”. Bisogna considerare che, se uno scarso livello di sicurezza di un elettrodomestico può essere pericoloso, per quanto riguarda gli strumenti sanitari, il rischio è notevolmente maggiore: “Quelli sanitari devono essere predisposti con un’attenzione ancora maggiore: la sicurezza deve essere il primo punto di partenza della progettazione. Il robot che aiuta il chirurgo in sala o da remoto, per esempio, può essere un bersaglio molto sensibile: può essere interrotta la comunicazione nel corso dell’operazione, rendendolo inoperoso, o può essere utilizzato per fare altro rispetto alle intenzioni dell’operatore. Più alto è il rischio e più alta deve essere l’attenzione nella progettazione”.

E non bisogna pensare che, quando presenti, i sistemi di sicurezza siano così inaccessibili. Continua l’avvocato Mele: “Non occorrono grandi competenze informatiche per portare a termine un attacco informatico di questo tipo: è alla portata di chiunque abbia un interesse a compiere una simile azione. Facendo l’esempio del pacemaker, se fosse presente all’interno del corpo di un capo di Stato o di un dittatore, uno Stato avversario potrebbe intervenire per bloccarne il funzionamento; lupi solitari possono creare panico all’interno della cittadinanza divulgando compromettenti informazioni a riguardo; le compagnie produttrici potrebbero esporre al pubblico le falle degli strumenti delle aziende concorrenti, e così via”.

In uno scenario del genere, è indispensabile dotarsi di un apparato legislativo che si proponga di inquadrare la questione a un livello più ampio e generale della sicurezza informatica. In Europa ci si sta lavorando da qualche tempo e, proprio fra pochi giorni (il 9 maggio), entrerà in vigore un importantissimo documento: “Si tratta della direttiva NIS, il primo sforzo dell’Unione Europea per armonizzare e adeguare il livello di sicurezza informatica di tutti gli Stati membri. Al momento, si occuperà principalmente di quelle aziende che possono essere identificate come infrastrutture critiche nazionali, ossia quelle che erogano servizi essenziali per i cittadini (le telecomunicazioni, i trasporti, i servizi bancari e finanziari,…)”. Si tratta di un inizio, ma a livello europeo si sta già lavorando ai prossimi sviluppi, specificatamente per quanto riguarda la sicurezza degli apparati hardware e software. Spiega infatti l’avvocato Mele: “è in studio uno schema di certificazione unico sulla sicurezza dei beni, dei servizi e degli apparati hardware e dei programmi software. È un grandissimo passo in avanti e un grandissimo aiuto al mercato, non solo per le aziende, che potranno certificare in maniera univoca in tutti i Paesi dell’UE la loro capacità di sviluppare software sicuro, ma anche per i cittadini europei che si vedranno garantiti da questo punto di vista”. E in Italia come ci si sta muovendo? “Oltre a recepire la direttive europee presenti e future”, ci spiega l’avvocato Mele, “le iniziative italiane riguardano perlopiù lo sviluppo di cultura della sicurezza informatica, andando a creare dei centri di ricerca specifici sul tema della cyber security, primo passo per la creazione di competenze in materia”.

Benché si stia lavorando per porre un argine a quello che, con ogni probabilità, sarà la più grande sfida del futuro, i pericoli ci sono e sono molti. L’avvocato Mele ha un’idea piuttosto netta in proposito: “In questo momento nessuno può dirsi immune da un attacco informatico, su qualsiasi livello. Si potrebbe dire che, oggi, il mercato è diviso in due categorie: quelli che hanno subito un attacco informatico e quelli che ne hanno subito uno ma non se ne sono ancora accorti”.

L’informazione che non paghi per avere, qualcuno paga perché Ti venga data.

Hai mai trovato qualcuno che ti paga la retta dell’asilo di tuo figlio? O le bollette di gas, luce, telefono? Io no. Chiediti perché c’è, invece, chi ti paga il costo di produzione dell'Informazione che consumi.

Un’informazione che altri pagano perché ti venga data: non è sotto il Tuo controllo, è potenzialmente inquinata, non è tracciata, non è garantita, e, alla fine, non è Informazione, è pubblicità o, peggio, imbonimento.

L’Informazione deve tornare sotto il controllo del Lettore.
Pagare il costo di produzione dell’informazione è un Tuo diritto.
"L’Indro" vuole che il Lettore si riappropri del diritto di conoscere, del diritto all’informazione, del diritto di pagare l’informazione che consuma.

Pagare il costo di produzione dell’informazione, dobbiamo esserne consapevoli, è un diritto. E’ il solo modo per accedere a informazione di qualità e al controllo diretto della qualità che ci entra dentro.

In molti ti chiedono di donare per sostenerli.

Noi no.

Non ti chiediamo di donare, ti chiediamo di pretendere che i giornalisti di questa testata siano al Tuo servizio, che ti servano Informazione.

Se, come noi, credi che l’informazione che consumiamo è alla base della salute del nostro futuro, allora entra.

Entra nel club L'Indro con la nostra Membership

Condividi.

Sull'autore

End Comment -->