Los hackeos de sistemas médicos dan miedo, pero los hackeos de dispositivos médicos podrían ser aún peores

El viernes, un ciberataque importante afectó a los sistemas de salud de todo el mundo. En Gran Bretaña, donde el ataque afectó a los sistemas de TI de los hospitales, los médicos no podían acceder al historial de los pacientes. Se desviaron las ambulancias y se retrasó la atención de emergencia.

Lamentablemente, atacar los sistemas de TI de los hospitales es solo la punta del iceberg en lo que respecta a las cibervulnerabilidades en el sector de la salud. Los hackeos de dispositivos médicos implantados o portátiles son una amenaza aún más aleccionadora.

Investigadores de Bélgica y el Reino Unido han demostrado que es posible transmitir señales potencialmente mortales (si no mortales) a dispositivos médicos implantados como marcapasos, desfibriladores y bombas de insulina. Un laboratorio de catéteres en un centro de Virginia cerró temporalmente cuando malware se descubrió en los ordenadores de apoyo a la cirugía cardíaca. En otros tres casos similares, se encontró un malware capaz de abrir el acceso «por la puerta trasera» a la red de TI de un hospital en un software que residía en los aparatos de rayos X, analizadores de gases en sangre y comunicaciones. Más recientemente, los investigadores que investigan la ciberseguridad de los dispositivos médicos proporcionaron al Centro de Dispositivos y Salud Radiológica de la Administración de Alimentos y Medicamentos (FDA) una lista de vulnerabilidades de dispositivos médicos identificados a través de su trabajo continuo, y el año pasado dos vendedores comerciales revelaron vulnerabilidades en bombas de insulina y un enfermero sistema de suministro de inventario eso podría comprometer la atención y proporcionar acceso encubierto a la red.

Centro Insight

• Hacer bien la ciberseguridad

  Patrocinado por Accenture

  Proteger a su empresa en un mundo complejo.

Estos dispositivos son cada vez más comunes en el cuidado de la salud. Impulsado por el envejecimiento de la población, el aumento de las enfermedades crónicas y los avances tecnológicos, el mercado de los dispositivos médicos electrónicos está a punto de alcanzar una estimación 398 000 millones de dólares en 2017. Pero si bien el mercado se expande a un ritmo esperado de 3% al año al menos hasta 2022, las redes de TI de los hospitales seguirán siendo lentas a la hora de abordar los desafíos de ciberseguridad de larga data que plantean problemas de privacidad y de salud potencialmente mortales. Las encuestas a los líderes de TI de la salud revelan que gran parte de sus presupuestos de ciberseguridad seguirán centrados en proteger las redes empresariales mediante seguridad de infraestructura, centro de datos y nube, mientras que los marcos regulatorios gubernamentales e industriales emergentes proporcionan solo orientación sin sanciones significativas, lo que facilita a los líderes de TI del sistema de salud despriorizar los riesgos que presentan los dispositivos médicos. Además, un desafío importante es la presencia continua en el mercado de los dispositivos fabricados antes de 2014, cuando se publicaron las directrices de la FDA. (Por ejemplo, en 2013, el edad media de un escáner de resonancia magnética en los Estados Unidos tenía 11,4 años.)

Sin embargo, hay algunas medidas básicas que los directores de TI de los hospitales pueden tomar para reducir el riesgo y proteger a los pacientes, los dispositivos, las redes y los datos:

Evalúe la ciberseguridad de los dispositivos durante el aprovisionamiento. Evalúe estos riesgos a la par con la eficacia clínica. Hable abiertamente con los vendedores sobre sus preocupaciones y expectativas en caso de que se identifiquen vulnerabilidades en el futuro. En 2014, la Organización Internacional de Normalización desarrolló unas directrices para la divulgación de posibles vulnerabilidades en los productos. Es importante familiarizarse e incorporar los aspectos adecuados en sus políticas y procedimientos, y estar atento a una norma revisada en 2019.

Exija una ciberhigiene básica. Las soluciones alternativas para los usuarios finales y los grupos de TI en la sombra socavan incluso la mejor arquitectura y políticas de seguridad. Interactúe de forma proactiva con los usuarios finales para evitar el incumplimiento de las políticas de seguridad. Asegúrese de que las políticas, procedimientos y sistemas de traiga su propio dispositivo tengan el mismo nivel de protección que los dispositivos en red. Lo antes mencionado SILBIDO una encuesta reveló que solo el 56,3% de pacientes agudos y el 35,5% de no agudos estaban implementando activamente importantes protocolos de gestión de dispositivos móviles. Por último, exija el uso de software antivirus y antimalware.  UN Encuesta HIMSS de 2016 descubrió que solo el 84% de los proveedores de atención aguda y el 90% de los no agudos utilizan estas defensas de primera línea. Los administradores de TI deberían pensar como los proveedores de cuidados: es mejor prevenir una infección que tratarla.

Acceda de forma proactiva a los riesgos y corrija las vulnerabilidades. Céntrese especialmente en los dispositivos antiguos y trabaje directamente con los fabricantes y proveedores para actualizar todos los dispositivos lo antes posible. A finales de 2016, la FDA proporcionó información útil pero no vinculante guía para los dispositivos ya aprobados y en el campo. Proporciona un marco razonable para evaluar los riesgos de ciberseguridad a lo largo del ciclo de vida del producto. También dan instrucciones específicas sobre cómo abordar un riesgo de ciberseguridad identificado en todo el ecosistema de TI de la salud sin alarmar a los pacientes ni a los proveedores ni avisar a los posibles piratas informáticos y a otras personas interesadas en explotar una vulnerabilidad conocida. La directriz más importante es la declaración de la FDA de que los fabricantes pueden ponerse en contacto y solucionar los problemas de seguridad sin tener que volver a presentar un dispositivo para su recertificación. Antes de esta guía explícita, muchos fabricantes se mostraron reacios a realizar cambios que pudieran considerarse una modificación fundamental, lo que provocó la necesidad de volver a certificar.

Manténgase alerta e informado. En 2013, Orden ejecutiva 13961 estableció una serie de organizaciones y centros de intercambio y análisis de información para fomentar la formación de comunidades de voluntarios que puedan compartir información de forma segura en una región o un sector en respuesta a las amenazas emergentes. La membresía incluye notificaciones seguras de las amenazas emergentes y acceso a los líderes de muchas de las principales empresas de fabricación de dispositivos y a vendedores de confianza cuyos productos, fabricación y procesos de respuesta poscomercialización cumplen ciertos criterios. El coste de participar es mínimo en comparación con el coste financiero y de relaciones públicas de eliminar una infracción evitable.

Los directores de TI de los hospitales reconocen claramente que los dispositivos médicos y portátiles conectados en red representan seguridad puntos débiles. Sin embargo, con los recursos limitados y una serie de nuevos desafíos normativos y empresariales que priorizar, es muy probable que reducir las amenazas que representan los dispositivos médicos siga ocupando un lugar destacado en sus listas. La ciberseguridad sigue siendo secundaria a los fines médicos, incluso si la ciberseguridad pudiera provocar lesiones graves o la muerte. Sin sanciones reales por incumplimiento, no está claro si los riesgos de los dispositivos superarán otras prioridades de TI sanitarias de la competencia. Los pacientes se merecen algo mejor.