Il programma di certificazione medica per dispositivi di cybersecurity è un processo volto a garantire che i dispositivi medici siano progettati e implementati in modo da proteggere la sicurezza e la privacy dei dati dei pazienti. I dispositivi medici devono soddisfare specifici requisiti di sicurezza per proteggere i dati dei pazienti da accessi non autorizzati, modifiche o divulgazioni.
Esistono diverse norme e standard che regolano la sicurezza dei dispositivi medici, come ad esempio la norma ISO 27001 per la gestione della sicurezza delle informazioni e la norma IEC 62304 per la sicurezza dei dispositivi medici. I dispositivi medici possono essere certificati da organismi di certificazione indipendenti, come ad esempio il National Institute of Standards and Technology (NIST) o l’Ente Italiano di Normazione (UNI).
La valutazione del rischio è un passaggio fondamentale nel processo di certificazione, poiché consente di identificare le vulnerabilità e le minacce potenziali ai dati dei pazienti. I dispositivi medici devono essere progettati e implementati con misure di sicurezza adeguate, come ad esempio l’autenticazione degli utenti, la crittografia dei dati e la protezione contro le minacce di rete.
La certificazione HIPAA (Health Insurance Portability and Accountability Act) è richiesta per i dispositivi medici che gestiscono dati protetti di salute (PHI) negli Stati Uniti. La certificazione CE (Conformité Européene) è richiesta per i dispositivi medici che sono commercializzati nell’Unione Europea. La certificazione ISO 13485 è una norma internazionale per la gestione della qualità dei dispositivi medici, che include anche requisiti di sicurezza.
Ecco alcuni esempi di casi di violata sicurezza dei dispositivi medici con conseguente disturbo o altro al paziente:
• Attacco ransomware al sistema di gestione dei dati dei pazienti: nel 2017, il sistema di gestione dei dati dei pazienti di un ospedale inglese è stato attaccato da un ransomware, che ha criptato tutti i dati dei pazienti. Ciò ha portato a una sospensione delle attività mediche e a una perdita di accesso ai dati dei pazienti.
• Vulnerabilità nel software di un defibrillatore: nel 2017, è stata scoperta una vulnerabilità nel software di un defibrillatore che poteva essere utilizzata per accedere al dispositivo e alterare le impostazioni. Ciò avrebbe potuto portare a una somministrazione di elettricità non necessaria o a una mancata somministrazione di elettricità in caso di necessità.
• Attacco al sistema di monitoraggio dei pazienti: nel 2019, il sistema di monitoraggio dei pazienti di un ospedale americano è stato attaccato da un gruppo di hacker, che ha rubato i dati dei pazienti e ha pubblicato le informazioni online.
• Vulnerabilità nel sistema di gestione delle infusioni: nel 2019, è stata scoperta una vulnerabilità nel sistema di gestione delle infusioni di un ospedale che poteva essere utilizzata per alterare le dosi di farmaci somministrati ai pazienti.
• Attacco al sistema di diagnostica per immagini: nel 2020, il sistema di diagnostica per immagini di un ospedale è stato attaccato da un gruppo di hacker, che ha rubato le immagini mediche dei pazienti e ha pubblicato le informazioni online.
• Vulnerabilità nel software di un dispositivo di monitoraggio della pressione sanguigna: nel 2020, è stata scoperta una vulnerabilità nel software di un dispositivo di monitoraggio della pressione sanguigna che poteva essere utilizzata per alterare le letture della pressione sanguigna.
• Attacco al sistema di gestione dei dati dei pazienti di un’azienda di assistenza sanitaria: nel 2020, il sistema di gestione dei dati dei pazienti di un’azienda di assistenza sanitaria è stato attaccato da un gruppo di hacker, che ha rubato i dati dei pazienti e ha pubblicato le informazioni online.
Questi sono solo alcuni esempi di come la violata sicurezza dei dispositivi medici possa avere conseguenze negative per i pazienti. È importante che le aziende sanitarie e i produttori di dispositivi medici prendano misure per proteggere la sicurezza dei loro sistemi e dispositivi per prevenire tali incidenti.
In sintesi, il programma di certificazione medica per dispositivi di cybersecurity è un processo importante per garantire la sicurezza e la privacy dei dati dei pazienti, e richiede la conformità a specifici requisiti di sicurezza e norme internazionali.
