AFFILIAZIONE
università degli studi di trieste
AUTORE PRINCIPALE
Ing. Bava Michele
VALUTA IL CHALLENGE
GRUPPO DI LAVORO
dott.ssa Cardis Chiara – università degli studi di trieste, trieste
dott. Noto Andrea – università degli studi di trieste, trieste
Ing. Bava Michele – università degli studi di trieste, trieste
AREA TEMATICA
Interoperabilità dei dispositivi medici e cybersecurity
ABSTRACT
In ambito sanitario da anni le tecnologie sanitarie e quelle dell’informazione hanno e continuano ad avere un forte impatto sui processi di cura e sulla salute. Il complesso mondo IT-medicale di sistemi, tecnologie e persone, nato inizialmente come aggregato di insiemi di sistemi connessi alla rete dati aziendale e processi comunque delimitati all’interno di un perimetro, si sta sempre più volgendo fuori, in uscita rispetto alla superficie aziendale, proponendo dispositivi medici (DM), sistemi software, tecnologie e portatori di interesse che frastagliano tale superficie, aumentandone le dimensioni, rendendo sempre più difficoltoso capire come o dove attualmente si trova il confine tra ciò che sta dentro l’azienda e ciò che sta fuori. Tale superficie che in sicurezza informatica si definisce “superficie di attacco” che una azienda o l’intero servizio sanitario nazionale espone a possibili violazioni, frodi, sistemi e software malevoli, in un ambito complesso come quello attuale, non fa che aumentare di continuo. La sanità digitale con quel connubio sorprendente di dispositivi medici, sistemi e reti IT, tecnologie mobile quali il 4G e il 5G, con dispositivi come gli smartphone e la possibilità di “ubiquitous computing” che è uno dei paradigmi dell’IoT che tali sistemi consentono, espone cittadini, aziende, professionisti dell’IT in sanità, ingegneri clinici a tutta una serie di rischi e di opportunità come mai prima.
Solo una attenta pianificazione ed analisi sia tecnica che organizzativa che mira alla protezione del patrimonio di sistemi, asset, server e risorse e dall’altro ad una formazione continua, il tutto unito al rispetto delle normative sia in materia di privacy e di security, può permettere una seria presa di coscienza dei rischi e della necessità di proteggersi aumentando la propria resilienza e percezione del rischio stesso.
Questo lavoro si pone come scopo quello di presentare il risultato dello studio di alcuni metodi quantitativi per l’analisi e la gestione del rischio dei DM, insieme all’utilizzo di alcuni strumenti, in particolare sistemi e tecnologie ICT (Medigate, IoT Defender, TrendMicro EDGE IPS) con i quali una volta identificato il rischio (fase IDENTIFY del Framework per la Cybersecurity del NIST) si possano mettere in atto controlli e misure (fase PROTECT) che mitighino e riducano il rischio stesso (fasi DETECT, RESPOND, RECOVER) fino a portarlo a livelli accettabili, ovvero sia controllabili che osservabili.
