L’agenzia regolatoria americana Food and Drug Admisnistration (FDA) ha pubblicato sul suo sito la versione finale delle linee guida sulla cyber-sicurezza dei dispositivi medici “Postmarket management of cybersecurity in medical devices“.
Un documento che risponde alle crescenti preoccupazioni degli utenti dei dispositivi medici, tra cui sempre maggiore diffusione trovano quelli indossabili o per il monitoraggio domiciliare, che trasmettono in tempo reale le informazioni ai sanitari che hanno in cura il paziente. Non solo: sempre più frequenti sono anche i tentativi d’intrusione nelle reti informatiche ospedaliere, che registrano i dati provenienti dalla miriade di dispositivi utilizzati in ambito clinico. Una realtà, quella della cyber-sicurezza, ormai ben assodata e in continua evoluzione, che semplifica la vita del paziente e l’operatività dei medici da un lato, ma che si porta dietro dall’altro anche i timori circa la possibilità che hacker violino la sicurezza dei dispositivi ed entrino in possesso di dati sensibili dei pazienti.
La cyber-sicurezza dei dispositivi medici parte fin dalla loro progettazione, suggerisce la linea guida FDA, che approccia in modo specifico le procedure necessarie per assicurare la sicurezza delle informazioni anche nella gestione post-marketing del dispositivo. Le misure di sicurezza pre-marketing erano state oggetto di una precedente linea guida pubblicata nell’ottobre 2014.
Il rischio in materia di cyber-sicurezza può essere prevenuto, secondo la nuova linea guida, attraverso l’implementazione da parte dei fabbricanti dei dispostivi di sistemi adeguati a identificarne le vulnerabilità, anche attraverso la collaborazione con i ricercatori e gli altri attori attivi nel settore (“coordinated vulnerability disclosure policy”). Il miglioramento continuo della qualità del prodotto durante l’intero suo ciclo di vita, inoltre, è un’altra misura di sicurezza preventiva fondamentale. La linea guida suggerisce l’adozione degli standard NIST (National Institute of Standards and Technology) per la progettazione delle infrastrutture che gestiscono la sicurezza dei dispositivi. Un suggerimento che potrebbe subire ulteriori sviluppi in futuro, come risposta delle autorità regolatorie alle nuove strategia che gli hacker di tutto il mondo sviluppano quotidianamente.
