Il Congresso sta finalmente prendendo sul serio la sicurezza informatica medica

Anni di campanelli d’allarme di esperti di sicurezza informatica sulle vulnerabilità dei dispositivi medici vengono finalmente ascoltati dal Congresso. I senatori hanno proposto questa settimana un nuovo disegno di legge che richiederebbe alla Food and Drug Administration di emettere linee guida sulla sicurezza informatica più regolarmente e di condividere informazioni sui dispositivi vulnerabili sul suo sito web.

La normativa, segnalata per la prima volta da CyberScoop, viene dal Sens. Jacky Rosen (D-Nev.) e Todd Young (R-Ind.). Il disegno di legge arriva poche settimane dopo che l’esperto di sicurezza informatica Joshua Corman ha testimoniato davanti a una commissione del Senato sulle vulnerabilità dei dispositivi medici agli attacchi informatici e pochi mesi dopo che i leader della FDA hanno chiesto al Congresso ad aprile di dedicare più finanziamenti e autorità all’agenzia sulla sicurezza informatica dei dispositivi.

Gli esperti avvertono da anni che i dispositivi medici connessi a Internet sono i principali bersagli degli hacker e che il settore sanitario non è preparato ad affrontare la minaccia, che mette in pericolo sia i dati dei pazienti che la salute dei pazienti. Tutto, dalle pompe per infusione di farmaci ai letti d’ospedale, può essere connesso a Internet, lasciandoli aperti allo sfruttamento.

Al momento, non ci sono requisiti per la frequenza con cui la FDA deve formulare raccomandazioni su come i produttori di dispositivi medici dovrebbero proteggere i loro dispositivi. L’ultima guida è stata pubblicata nel 2018. L’agenzia ha pubblicato una nuova bozza di guida nell’aprile di quest’anno. La legislazione proposta da Rosen e Young richiederebbe alla FDA di emanare linee guida ogni due anni. Richiederebbe inoltre che l’agenzia inserisca informazioni su eventuali problemi con i dispositivi sul proprio sito Web e offra supporto agli operatori sanitari e alle aziende su tali problemi.

L’emissione di linee guida regolari per le aziende di dispositivi medici potrebbe garantire che i dispositivi più recenti in arrivo sul mercato siano più sicuri contro le minacce informatiche note. Ma ciò non aiuta molto con i dispositivi in ​​uso oggi, che non sono sicuri, o aiutano le organizzazioni sanitarie a tenere d’occhio i problemi emergenti. Molte organizzazioni non dispongono di personale dedicato alla sicurezza informatica e faticano a tenere sotto controllo lo stato dei dispositivi che utilizzano. Gli aggiornamenti sul sito Web della FDA potrebbero rendere le informazioni più accessibili.

Anche con questo slancio, le lacune nella sicurezza informatica dell’assistenza sanitaria e dei dispositivi medici sono enormi. Gli attacchi sono in aumento e le organizzazioni non dispongono di risorse sufficienti per fermarli. Nella sua testimonianza al Senato, Corman ha affermato di aver sempre pensato che qualcuno sarebbe dovuto morire prima che le autorità di regolamentazione prendessero provvedimenti sulla sicurezza informatica dei dispositivi medici. Fortunatamente, ha detto, la FDA ha iniziato a lavorare sul problema prima che ciò accadesse: l’agenzia ha emesso il primo avviso su un dispositivo specifico nel 2015. E l’attenzione al problema nell’ultimo anno con l’aumento della gravità e della frequenza degli attacchi informatici sta aiutando a guidare i cambiamenti inoltrare.

Ma gli attacchi continuano, le organizzazioni non hanno ancora le risorse per fermarli e ci vorrà molto più lavoro per rafforzare le protezioni. “Sono più preoccupato per la sicurezza informatica dell’assistenza sanitaria statunitense di quanto non lo sia mai stato”, ha affermato Corman nella sua testimonianza scritta.

Leave a Reply

Your email address will not be published.