Autori »
Lista completa degli autori
Area tematica
ICT ed informatica medica
Abstract
INTRODUZIONE: Sempre più dispositivi medici (DM) sono connessi alla rete dati ospedaliera generando una serie di problematiche sia dal punto di vista della sicurezza informatica che della privacy. L’Agenzia per l’Italia Digitale (AgID) indica tra le classi di misure minime di sicurezza ICT, che devono essere obbligatoriamente seguite, la valutazione e correzione continua delle vulnerabilità dei sistemi collegati alla rete dati. Lo scopo dello studio è quello di rilevare e identificare le vulnerabilità e stimare, per ogni DM selezionato, un Indice per la Valutazione dei Rischi (IVR) basato su diversi fattori di rischio con pesi calcolati attraverso un modello statistico.
MATERIALI E METODI: Lo studio è stato svolto presso l’Ufficio Sistema Informativo del Servizio di Ingegneria Clinica dell’Ospedale IRCSS materno-infantile “Burlo Garofolo“ di Trieste. Sono stati selezionati 41 DM connessi alla rete dati e per ognuno di essi, utilizzando un software per la scansione, sono state rilevate e identificate le vulnerabilità. Ad ogni DM è stato assegnato un punteggio, basandosi sul Common Vulnerability Scoring System (CVSS), costruendo una scala di valutazione delle criticità. Quindi sono stati scelti e perfezionati i fattori di rischio, includendo la valutazione delle vulnerabilità, e sono stati divisi all’interno di tre categorie di cui una relativa alla sicurezza informatica. Una volta assegnati, per ogni DM, i punteggi a ciascun parametro e ricavato un IVR basato su uno standard internazionale quale termine noto del modello, questi sono stati forniti in input al modello stesso ottenendo in output i pesi per ogni fattore di rischio e l’IVR per ogni DM.
RISULTATI: Classificando correttamente tutti i DM, 33 su 41 ad alto rischio e 8 su 41 a basso-medio rischio, il modello statistico (logistico) utilizzato ha fornito in output una stima dell’IVR accurata risultando perfettamente predittivo, con una sensibilità ed una specificità del 100%. I parametri relativi alla sicurezza informatica, tra cui la valutazione delle vulnerabilità, sono risultati significativi nel modello stesso.
CONCLUSIONI: Nell’ottica di un sistema efficace di protezione dalle minacce informatiche e di valutazione del rischio dei DM connessi alla rete dati ospedaliera, lo studio fornisce un metodo e un modello, l’IVR, utilizzabile all’interno delle realtà ospedaliere come uno degli strumenti per soddisfare i requisiti relativi alla valutazione del rischio per la cybersecurity e la privacy.
Autori
Andrea Parisi università degli studi di trieste trieste italy
Riccardo Zangrando irccs materno-infantile “burlo garofolo” trieste italy
Francesco Barbagli irccs materno-infantile “burlo garofolo” trieste italy
Francesca Deluca irccs materno-infantile “burlo garofolo” trieste italy
Michele Bava irccs materno-infantile “burlo garofolo” trieste italy