Nel mondo di oggi è sempre più diffuso l’uso della telemedicina o il ricorso a dispositivi medici integrati dall’intelligenza artificiale, ma nonostante i progressi nel campo della medicina e dell’ingegneria biomedica, i progressi nel campo della cybersecurity presentano ancora delle vulnerabilità. Proprio contro queste ultime è necessario adottare livelli di sorveglianza sempre più elevati a tutela dei pazienti e dei loro dati personali, ma anche a difesa delle strutture critiche del Paese.

Gli attacchi da parte di gruppi di hacker sono sempre più frequenti e possono causare danni più o meno gravi alle infrastrutture tecnologiche, ma possono causare danni anche dal punto di vista economico oltre che sociale.

Dalla Direttiva NIS alla Direttiva NIS 2

La Direttiva NIS (Direttiva 2016/1148) sulla sicurezza delle reti e dei sistemi informativi è stata recepita nell’ordinamento italiano nel 2018 con il D.Lgs. n. 65 (decreto legislativo NIS). Il Governo italiano nella fase di recepimento della direttiva si è limitato ad incorporare nel decreto legislativo quanto previsto dalla Direttiva NIS. Solo in un secondo momento all’entrata in vigore del D.Lgs. n. 65/2018 ha deciso di procedere ad un rafforzamento della normativa in materia di sicurezza informatica.

Quando si parla di Direttiva NIS si fa riferimento ad un testo normativo comunitario introdotto per ampliare e rafforzare settori come quello dell’energia, delle banche, della sanità, delle infrastrutture digitali.

In particolar modo si deve far riferimento all’articolo 7 della direttiva NIS perché il decreto legislativo del 2018 prevede l’adozione di una strategia nazionale per la cybersecurity da parte della Presidenza del Consiglio.

Il testo della direttiva e il decreto legislativo di recepimento fissano una strategia e individuano una serie di misure da adottare in caso di attacchi informatici e in caso di violazione delle infrastrutture digitali del Paese con la previsione di un piano di valutazione dei rischi proprio per implementare periodicamente il sistema di sicurezza informatica.

La Direttiva NIS 2 (Direttiva 2022/2555) è stata introdotta come profondo ‘aggiornamento’ e revisione della Direttiva NIS e dovrà essere recepita dagli Stati membri UE entro il 17 ottobre 2024.

Un intervento legislativo resosi necessario alla luce dei sempre più frequenti e aggressivi attacchi informatici oltre che per istituire una rete europea di organizzazioni di collegamento per le crisi informatiche e per far si che gli Stati membri UE seguano una normativa unica per tutti.

La necessità di questo intervento legislativo è dettata da ragioni non solo informatiche, ma anche politiche e geopolitiche.

Questo rappresenta un ulteriore passaggio verso l’introduzione e definizione di una vera e propria strategia cyber di cui l’Unione Europea si sta dotando introducendo e predisponendo una serie di innovazioni proprio a garanzia del corretto funzionamento dei servizi digitali e per evitare che questi siano oggetto di attacchi informatici da parte di intrusioni esterne e da parte di malware.

Nel Report Clusit 2023 è stato evidenziato come “gli attacchi cyber hanno registrato nel 2022 a livello globale e nazionale il valore più elevato di sempre e la maggior percentuale di crescita annua”.

Infatti il ‘cuore’ della NIS 2 riguarda le infrastrutture critiche dei Paesi europei perché viene esteso il ‘cordone’ di sicurezza nazionale perché viene fatta una distinzione tra i settori in essenziali e importanti. Nei settori essenziali rientrano la sanità e i servizi sanitari.

La direttiva NIS-NIS 2 è uno degli strumenti normativi per la regolamentazione della cybersicurezza dei dispositivi medici. Certo non si tratta di una implementazione semplice perché si deve tenere conto anche dei testi di legge degli stati membri UE, ma si deve far riferimento anche al Cybersecurity Act, al GDPR.

Il rischio di attacchi alle infrastrutture informatiche del settore healthcare

La nuova Direttiva NIS 2 avrà un impatto notevole nel settore healthcare e in particolar modo nel settore dei dispositivi medici.

L’obiettivo principale è garantire un sistema di sicurezza informatica nel settore medico-sanitario. Si tratta di una questione tanto delicata quanto attuale vista la sempre più evidente digitalizzazione dei servizi sanitari.

Nel caso in cui si verificasse un attacco informatico gli effetti potrebbero presentare un impatto fortemente negativo in termini di protezione dei dati dei pazienti mettendo a rischio la loro sicurezza.

Proprio per questo motivo le autorità europee e nazionali oltre che transnazionali hanno preso in seria considerazione la necessità di intervenire a livello legislativo.

Ciò che ogni singolo Stato membro UE deve garantire ai cittadini è la sicurezza anche nel settore informatico e digitale soprattutto in un settore come quello medico-sanitario che sta sperimentando con sempre più frequenza la telemedicina. Infatti, la sicurezza dei dati dei pazienti e dei pazienti stessi è sempre stata al centro e proprio per questo motivo è necessario rafforzare sempre più questo campo.

I dispositivi elettromedicali sono sempre più usati soprattutto nei reparti di cardiologia basti pensare ai pacemaker o ai defibrillatori impiantati sottopelle. Si tratta di dispositivi salvavita, quindi, è fondamentale garantire la loro sicurezza sia nel funzionamento sia nella registrazione e trasmissione dei dati, quindi significa far sì che i software siano sicuri e protetti a livello informatico.

I dispositivi elettro-medicali sono sempre più diffusi e quindi anche la quantità di dati che vengono trasmessi sono sempre più grandi.

Per inviare i dati clinici-medici, questi dispositivi sono dotati di una antenna che comunica via wireless inviando segnali ad una centrale di monitoraggio che trasmetterà questi dati ai server dell’azienda produttrice del dispositivo elettromedicale.

Questi dispositivi sono poi dotati di un’altra antenna che invia i segnali per il monitoraggio e per l’assistenza e manutenzione degli stessi nel caso in cui dovessero sorgere o verificarsi anomalie nel loro corretto funzionamento.

È fondamentale che la sicurezza dei pazienti venga messa al primo posto.

Ad esempio i pacemaker sono dotati di una tecnologia che consente, in caso di malfunzionamento del software, di passare in modalità “failsafe” proprio per far si che continui a funzionare finchè il pacemaker non viene riprogrammato.

Tuttavia questi dispositivi salvavita sono sempre più soggetti a vulnerabilità perché spesso i software sono obsoleti o non hanno adeguate funzionalità di sicurezza informatica o spesso sono le infrastrutture informatiche degli ospedali ad essere obsolete o non sempre aggiornate.

Sono diversi i casi in cui gli ospedali si sono trovati ad affrontare attacchi informatici o data breach. Questi casi dimostrano come, nel nostro Paese, i sistemi di sicurezza della Pubblica Amministrazione siano penetrabili e attaccabili mettendo a rischio la protezione dei dati sanitari dei pazienti.

L’obiettivo di questi attacchi hacker è sicuramente chiedere un riscatto per sbloccare il sistema informatico attaccato, ma anche rubare i dati personali per poi rivenderli nel dark web.

Cosa fare per evitare il verificarsi di queste situazioni?

È fondamentale che si comprenda quanto importante sia garantire e tutelare i dati personali e quanto importante sia avere delle infrastrutture digitali aggiornate e moderne che siano protette da sistemi di sicurezza informatica costantemente implementati.

Subire un attacco hacker da parte di una PA significa vedere andare in blocco i computer, vedere infettata l’infrastruttura su cui viaggiano i dati che vengono criptati. Quindi immaginare che un ospedale possa subire un attacco hacker (come già avvenuto) significa mettere a repentaglio quantità impressionante di dati sanitari che raccontano la storia clinica dei pazienti.

Ma la Pubblica Amministrazione italiana sta seguendo questa strada?  Anche grazie ai fondi PNRR stanno cercando di investire fondi in questo settore ormai strategico, si tratta pero di un percorso lungo. Certo già da diversi anni si doveva pensare ad una implementazione delle infrastrutture strategiche, ma come spesso accadde l’Italia in questo ambito si trova sempre un po’ più indietro rispetto ad altri Stati europei e non.

Il PNRR con la Missione 6 “Salute” prevede proprio una implementazione della telemedicina puntando all’innovazione, ricerca  e digitalizzazione del SSN prevedendo misure per rinnovare-ammodernare-rafforzare le strutture tecnologiche e digitali già esistenti e per crearne di nuove e rafforzando l’infrastruttura tecnologica e gli strumenti per la raccolta-elaborazione e analisi dei dati perché spesso si tratta di infrastrutture obsolete e facilmente penetrabili da gruppi hacker e questo rappresenta un elevato rischio peer la sicurezza e corretto funzionamento del sistema.

Giulia Cavallari- Giovane Avanti!