"Cuando un hacker toma el control de todos los dispositivos médicos conectados en un hospital de Dallas y amenaza con matar a un paciente cada hora si no se cumplen sus exigencias, el equipo de Cyber debe encontrar la fuente y averiguar cómo accedieron a un sistema de seguridad hermético ". Ese es el resumen de la trama de un episodio del drama criminal CSI: Cyber , que se emitió a finales de 2015.
El episodio demostró ser profético al predecir dos tendencias de ataque que han surgido en los últimos 18 meses. El primero está dirigido a hospitales por ciberdelincuentes: en 2016, al menos 14 hospitales fueron atacados con ransomware. Según los informes, un hospital de Los Ángeles pagó $ 17,000 para recuperar el acceso a los registros médicos que muestran el historial de tratamiento, los resultados de las radiografías, las tomografías computarizadas y otras pruebas médicas.
A principios de este año, el Servicio Nacional de Salud del Reino Unido se vio severamente afectado por el ataque WannaCry ransomware, lo que provocó que se cancelaran las operaciones y se cerraran las salas de hospital. Después de todo, los hospitales administran algunas de las TI más críticas para la misión en el mundo, lo que los convierte en un objetivo principal para los hackers malintencionados que buscan hacer demandas costosas.
La segunda tendencia fue que el hacker explotara vulnerabilidades en dispositivos inteligentes en el hospital para permitir el ataque. El equipo de CSI: Cyber descubrió que el pirata informático originalmente obtuvo acceso a la red del hospital a través de un televisor inteligente (los investigadores de Check Point descubrieron una vulnerabilidad muy similar poco después de que el programa se emitió originalmente), lo que le permite controlar de forma remota los dispositivos médicos conectados.
Innovación para salvar vidas, seguridad limitada
Los riesgos de ataques como este no pueden descartarse fácilmente. El sector de la salud ha adoptado el Internet of Things (IoT) con entusiasmo, con un cálculo que valora la industria mundial de la salud de IoT en más de $ 100 mil millones para 2020.
Por un lado, es fácil ver por qué. Los dispositivos inteligentes tienen un gran potencial para salvar vidas: recopilan y analizan datos de salud que antes eran inaccesibles; permiten a los profesionales de la salud brindar rápida y remotamente asesoramiento y tratamiento personalizados; La combinación de big data y aprendizaje automático dentro de IoT significará más innovaciones en el cuidado de la salud que nunca antes.
Por otro lado, esta proliferación de tecnología conectada tiene implicaciones preocupantes para la integridad de los datos sensibles del paciente y el buen funcionamiento de las organizaciones sanitarias. Los dispositivos de IoT de Healthcare necesitan poder proteger los datos que recopilan, transmiten y almacenan de intercepción maliciosa. Eso significa que si no han sido diseñados y fabricados con una seguridad robusta 'integrada' desde cero, son vulnerables.
Desafortunadamente, esto sucede a menudo porque los dispositivos médicos aprobados por las Administraciones de Alimentos y Medicamentos pueden requerir una nueva certificación para su uso después de una actualización, lo que agrega un gasto y demora considerables a los ciclos de actualización, incluso cuando existen vulnerabilidades, y por lo tanto muchos dispositivos permanecer vulnerable muchos años después de que los parches de seguridad relevantes hayan sido emitidos e implementados en otros entornos.
Evaluar los riesgos
Entonces, ¿qué tan vulnerables son los dispositivos de IoT de salud para atacar? Para evaluar esto, es importante distinguir entre los diferentes tipos de dispositivos disponibles y sus usos previstos.
Hay dispositivos médicos portátiles, tanto equipos externos como bombas de insulina y dispositivos implantados como marcapasos. Es fácil ver cómo una intervención letal se puede hacer remotamente controlando el dispositivo: esto se puede hacer directa y deliberadamente, o simplemente amenazar como parte de un intento de extorsión.
Luego, hay dispositivos fijos dentro de los hospitales, como dispensadores inteligentes de farmacias o estaciones de quimioterapia. Una vez más, es preocupante la posibilidad de que los ciberdelincuentes interfieran con la atención del paciente (niveles potencialmente peligrosos para la vida) al hackear el dispositivo. Las mismas rutas de datos que permiten a los médicos realizar ajustes en el rendimiento de los dispositivos también se pueden usar maliciosamente, si el pirata informático puede obtener acceso. Como se mencionó anteriormente, es posible obtener acceso a las redes utilizadas por dispositivos médicos al infectar otro dispositivo, como un televisor inteligente o tableta, y moverse lateralmente dentro de las redes del hospital ... a menos que esas redes estén cuidadosamente segmentadas.
Diagnosis y remedio
Todo esto podría parecer una imagen sombría. Pero hay muchas maneras en que los diseñadores y fabricantes de dispositivos de IoT para el cuidado de la salud, así como las organizaciones y las personas que los implementan, pueden mitigar estos riesgos.
En primer lugar, la "privacidad por diseño", que, dicho sea de paso, también es necesaria para cualquier organización sujeta al próximo GDPR de la UE, debería ser parte integral del diseño de todos los dispositivos de IoT de atención médica. Del mismo modo, un ciclo de vida de desarrollo de software seguro (S-SDLC), que incorpora modelos de amenazas, debe ser adoptado por todos los fabricantes como una cuestión de rutina.
Y segundo, cuando las organizaciones de atención médica comienzan a construir un ecosistema de IoT, deben asegurarse de tener un sistema de seguridad móvil y de punto final apropiado. Un enfoque integrado, que garantiza que todos los dispositivos estén protegidos con una sola arquitectura de seguridad, es la mejor estrategia. Dicha solución debe cubrir aspectos como el descubrimiento de dispositivos, la segmentación de la red y proporcionar protección contra los posibles vectores múltiples de ataque avanzado basados en soluciones de prevención de amenazas. Todos los aspectos anteriores se deben orquestar centralmente con una sola plataforma que proporcione políticas coherentes en los diversos segmentos de red.
El Internet de las cosas puede ser un cambio que salve vidas en la forma en que el sector sanitario brinda atención al paciente, pero también puede ser una invitación abierta a ciberdelincuentes maliciosos que desean extorsionar pagos, robar datos y causar daños reales. Los diseñadores, fabricantes, profesionales y pacientes deben trabajar juntos para mantener este nuevo paisaje en buen estado de salud.
¿En busca de soluciones tecnológicas?
