Un tipo di sistema per anestesia che è stata usata negli ospedali del NHS può essere hackerato e controllato in remoto.
E quanto affermano gli esperti della CyberMDX, una società di Healthcare cyber security, che hanno svolto una ricerca in collaborazione con US Department of Homeland Security.
Un bravo hacker sarebbe in grado di modificare la dose di anestetico da somministrare ad un paziente, ed anche gli allarmi, progettati per allertare gli anestesisti in caso di pericolo, potrebbero essere disattivati.
GE Healthcare, azienda che produce le macchine in questione, ha affermato che non esiste un “rischio diretto per il paziente”.
Ma la ricerca di CyberMDX ha verificato che i dispositivi Aespire e Aestiva 7100 e 7900, prodotti dalla GE Healthcare, potrebbero essere presi di mira dagli hacker se lasciati accessibili sulle reti internet.
Il Nottingham University Hospitals (NUH) ha confermato alla BBC che “un piccolo numero” di dispositivi era attualmente in uso presso le proprie strutture, ma sono in fase di graduale eliminazione.
“Nessuna delle macchine per anestesia è connessa a Internet o alla rete ospedaliera, quindi c’è un rischio molto basso intorno a queste macchine“, ha dichiarato un portavoce del NUH alla BBC. Inoltre ha affermato: “Attualmente stiamo verificando questi sistemi per anestesia in uso in tutta l’Inghilterra“.
Elad Luz, capo della ricerca di CyberMDX, ha detto di essere a conoscenza degli ospedali negli Stati Uniti e in Asia che hanno utilizzato anche gli stessi dispositivi.
GE Healthcare ha dichiarato che è convinta che un attacco informatico “non introduca rischio clinico o rischio per il paziente”. Inoltre la società ha dichiarato alla BBC che non aveva in programma di rilasciare alcun aggiornamento di sicurezza per le macchine per l’anestesia, ma che gli ospedali dovrebbero utilizzare protocolli di rete sicuri per proteggersi da potenziali attacchi.
L’esperto di sicurezza informatica Ken Munro ha convenuto che i dispositivi medici dovrebbero essere isolati all’interno di reti informatiche, ma ha aggiunto: “francamente non accade in molte reti ospedaliere“.
La GE Healthcare dovrebbe assumersi la sua parte di responsabilità: “GE ha assolutamente un ruolo da svolgere in questo e devono assolutamente costruire dispositivi con una forte sicurezza” ha poi aggiunto.
Un hacker malintenzionato potrebbe tentare di accedere alla rete di un ospedale, localizzare una delle macchine e quindi regolarne le impostazioni, ha affermato il Prof Harold Thimbleby, esperto in sicurezza informatica dei dispositivi medici presso la Swansea University, e ha ricordato il WannaCry, un’epidemia di ransomware che si è diffusa attraverso le reti informatiche del NHS nel 2017, per illustrare come un attacco potrebbe svolgersi: “Come con WannaCry, un attacco di phishing può ottenere l’accesso e quindi un utente malintenzionato può fare ciò che vuole“.
La probabilità di causare un danno ad un paziente, a causa di un attacco verso questi dispositivi, sarebbe stata “incredibilmente piccola”, ha detto il dott. Helgi Johannsson, consulente anestesista e membro del Consiglio del Collegio Reale degli Anestesisti.
Reference: BBC