Gli ingegneri clinici-AIIC della Liguria hanno proposto lo scorso 16 Marzo 2023 – nella splendida cornice del Castello “Simon Boccanegra”, sito all’interno dell’area dell’Ospedale Policlinico San Martino di Genova – un evento che ha visto il “tutto esaurito” con oltre 100 partecipanti complessivi provenienti anche da Piemonte, Lombardia, Toscana ed Emilia Romagna. La giornata – che aveva per tema Cybersecurity nelle apparecchiature elettromedicali: strumenti operativi ed esperienze a confronto ed era coordinata da Marcello Saddemi e Andrea Fisher, referenti liguri di AIIC – si è aperta con i saluti istituzionali del Direttore Generale del Policlinico San Martino, Marco Damonte Prioli, del Presidente AIIC Umberto Nocco, di Georgia Cesarone in rappresentanza dell’ordine degli Ingegneri della Provincia di Genova, di Mauro Giacomini in rappresentanza della corso di studi di Ingegneria Biomedica dell’Ateneo genovese. Il workshop ha registrato anche la partecipazione di Agostino Ghiglia, membro dell’Autorità garante per la Privacy, il quale ha sottolineato l’importanza di eventi come questo, la disponibilità dell’Autorità a collaborare con associazioni professionali come AIIC e le Istituzioni Sanitarie, evidenziando altresì la necessità di prevedere la sicurezza informatica come vincolo di progetto nella realizzazione dei dispositivi medici e dei servizi sanitari digitali di nuova concezione.
Numerosi e di altissimo livello i relatori e i moderatori che si sono succeduti nella mattinata. Nella prima sessione, moderata da Gino Spada di ASL 3 Genovese, gli ingegneri Rosso, Verbicaro e Dessypris (rispettivamente Direttore, Dirigente e Collaboratore Esperto dell’U.O. ICT del Policlinico San Martino, che ormai da oltre 10 anni vede fuse le funzioni di gestione sistemi informativi e ingegneria clinica), hanno sottolineato con un taglio molto concreto l’esperienza del Policlinico. Nella seconda sessione, moderata da Dario Padrone (ASL 2 Savonese), gli ingegneri Pellerano di Liguria Digitale, Scaramuzzino dell’Azienda Sanitaria Zero del Piemonte e Salute dell’Azienda Sanitaria Giuliano-Isontina del Friuli Venezia Giulia, hanno rappresentato il punto di vista dei “soggetti aggregatori” e in generale delle realtà “in house” o comunque di livello sovra-aziendale nel garantire un supporto decisivo alle aziende sanitarie nell’adeguamento delle misure di monitoraggio e protezione dalle crescenti minacce di natura informatica, veicolate anche attraverso gli elettromedicali, oltre che alla normativa nazionale e comunitaria in materia. La seconda parte della mattinata con la terza e quarta sessione, moderate rispettivamente da Massimo Canevari (ASL 5 Spezzina) e Piepaolo Vandone (di Liguria Digitale), ha visto il contributo delle aziende coordinato da Vodafone e Florence Consulting le quali hanno illustrato alcuni case study, esperienze dirette di contrasto alle minacce informatiche attraverso strumenti concreti di prevenzione e risoluzione delle stesse, quali il monitoraggio continuo e non invasivo degli IoMT, le Clinical SOC e l’approccio ZERO Trust. L’ultima sessione in particolare è stata impreziosita dall’intervento di Paolo Poletti (già Generale della Guarda di Finanza, Vicedirettore AISI e oggi docente di Diritto e pratica della cybersicurezza presso l’Università Link di Roma). Tra gli argomenti, Poletti ha ricordato le misure di sicurezza degli ambienti OT che includono «Medical Things» e l’importanza del contratto con i fornitori di dispositivi interconnessi oltre a confermare la necessità di prevedere la sicurezza come uno degli elementi intrinseci nella progettazione di un servizio sanitario digitale attraverso l’adozione della security by design.
Numerosi gli spunti di riflessione emersi soprattutto in relazione alla problematica determinata dalla legislazione concorrente e a volte confliggente tra Regolamento (UE) 2017/745 MDR e Direttiva NIS,
oltre alla necessità di presa di coscienza del problema da parte dei fabbricanti di Dispositivi Medici e degli Enti Notificati, i quali non possono più esimersi dall’affrontare la problematica della cybersecurity nell’ambito del processo produttivo e di certificazione del DM.