Un attacco riportato da Intuitive Surgical, azienda americana che produce il noto sistema chirurgico robotico Da Vinci, rende all’improvviso attuale il tema della cybersecurity in una sanità sempre più digitale. Vediamo che cosa è successo.
Cosa è accaduto nell’attacco a Intuitive Surgical
L’email in Italia è arrivata venerdì sera 13 marzo alle 19:16 nella casella dei chirurghi, presumibilmente di quelli che utilizzano il robot o hanno partecipato ai training. Un messaggio uguale è arrivato nelle caselle dei colleghi di altri paesi. L’oggetto era ambiguo – “Avviso importante sulle informazioni al cliente”, una frase in italiano che mostra una traduzione affrettata, e lontana dal cuore del problema.
Il testo, più preciso, rendeva ragione della gravità della situazione, per quanto in termini diplomatici. “Vi scriviamo per informarvi che Intuitive ha determinato che alcune informazioni contenute nei nostri sistemi aziendali interni sono state consultate da una terza parte non autorizzata a seguito di un incidente mirato di phishing informatico”, recitava il testo. “Prendiamo seriamente la privacy e la sicurezza di tutti i dati che ci sono stati affidati e vi contattiamo per essere trasparenti in modo tempestivo”, proseguiva l’azienda.
Le informazioni, spiegava Intuititive Surgical, “sono state ottenute tramite l’accesso compromesso di un dipendente alla rete amministrativa aziendale di Intuitive. Non sono state ottenute dai nostri sistemi da Vinci o Ion o dalle nostre piattaforme digitali”. “I nostri sistemi da Vinci e Ion e le nostre piattaforme digitali, inclusi i video, non sono stati e non sono tuttora interessati. Sono sicuri e operativi”.
“Non vi è alcun impatto sulle nostre operazioni o sul lavoro che svolgiamo a supporto dei nostri clienti”. Frasi volte a rasserenare pazienti e chirurghi sulla sicurezza delle procedure: eseguire un intervento con l’ausilio di un robot richiede un affidamento totale alla tecnologia. Il medico, infatti, è seduto dietro a una console e opera guardando il corpo del paziente attraverso dei monitor; nelle mani, solo un joystick, che, assieme a una pedaliera posizionata sul pavimento, consente di manovrare il robot. Pinze e altri ferri penzolano da una serie di bracci meccanici che sono in grado di replicare le torsioni, trazioni e controtrazioni del personale umano, con precisione più che millimetrica. E senza che la mano tremi. Imparare a comandare il robot richiede anni di pratica e corsi di specializzazione; utilizzarlo presuppone una fiducia totale nella tecnologia, nella sua sicurezza e nel fatto che non ci siano intoppi.
Quali dati sono coinvolti nell’attacco a Intuitive Surgical
Secondo Intuitive Surgical, le informazioni visionate dai criminali informatici i provengono dai propri sistemi amministrativi e “includono alcune informazioni aziendali e di contatto dei clienti, nonché dati aziendali e dei dipendenti di Intuitive”.
Per gli operatori sanitari e gli amministratori sanitari si tratterebbe di nome e cognome, titolo e specializzazione, email, numero di telefono e indirizzo della struttura ospedaliera. Per quanto riguarda, invece, Intuitive Surgical, sarebbero state visionate informazioni sulle procedure DaVinci e Ion (come tipo e durata della procedura), il completamento di corsi di formazione Intuitive, reclami segnalati dagli ingegneri dell’assistenza sul campo di Intuitive, attività di coinvolgimento degli operatori sanitari quali partecipazione a eventi, mentoring o proctoring, e rimborsi.
