Immagine tratta da diagnostica PET
Pur diffidando in genere delle previsioni, tendo a dar credito a coloro che preannunciano una esplosiva crescita dei dispositivi connessi in internet nei prossimi anni.
Gartner stima che entro il 2020 saranno presenti in internet 26 miliardi di dispositivi e il 15% di questi avrà a che fare con il mondo sanitario. Le nostre politiche di sicurezza attuali sono in grado di gestire reti di qualche migliaio di dispositivi: per le organizzazioni sanitarie di maggiori dimensioni si parla di reti in grado di gestire qualche migliaio di stazioni di lavoro e diverse centinaia di dispositivi medici ed è pensabile che con i sistemi attuali si possa arrivare a gestire qualche decina di migliaia di dispositivi. Tuttavia, è opinione comune fra gli addetti ai lavori che non sia possibile gestire in maniera efficiente e sicura reti di centinaia di migliaia di dispositivi.
In particolare appare particolarmente sfidante la necessità di gestire in un contesto di rete dispositivi wearable, o comunque portatili, che non si possono considerare stabilmente collocati in contesti di rete protetti, come i contesti aziendali, nei quali è normalmente possibile operare un controllo perimetrale dai malware attraverso tecniche di firewalling o comunque di filtering.
Fra pochissimi anni esisteranno centinaia di migliaia di dispositivi che saranno stabilmente collocati fuori dal dominio di sicurezza aziendale che comunque saranno parte integrante di un ecosistema che scambia dati sanitari con l’organizzazione sanitaria e con i professionisti ad essa afferenti – medici di medicina generale, specialisti, ecc… -.
Appare sempre più evidente che non sarà possibile gestire numeri così elevati di dispositivi senza una accurata progettazione delle politiche di sicurezza. La sicurezza dell’ecosistema dovrà necessariamente essere fondata su di una corretta identificazione dei dispositivi: che dovrà essere garantita anche in caso di colloqui instaurati in contesti di rete non sicuri. L’identità del dispositivo dovrà essere garantita attraverso tecniche crittografiche che dovranno impedire una fraudolenta impersonificazione. Se questo avverrà, allora non sarà necessario verificare ulteriormente la liceità della comunicazione con il professionista sanitario: in altri termini diminuirà fortemente la necessità di identificare la persona, in quanto l’identità del paziente sarà derivabile dall’identità del dispositivo che esso indossa o possiede. Naturalmente questo varrà nel caso il dispositivo sia impiantato sul paziente o nel caso il dispositivo non sia dissociabile dalla persona: il dispositivo potrebbe semplicemente cessare di funzionare se allontanato dal paziente a cui è associato. A garanzia di ciò il dispositivo dovrebbe poter essere associabile ad una caratteristica biometrica unica della persona.
In definitiva quindi, ogni dispositivo che indosseremo dovrà essere unico, unico come la persona a cui sarà accanto. Questa è la sfida che ci aspetta.
PG.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.
