Ciberseguridad para los entornos hospitalarios
09 julio 2020
Por Miguel Ángel Thomas, Socio Responsable de Ciberseguridad en everis Aeroespacial y Defensa.
Tags:
Ciberseguridad para los entornos hospitalarios

Una de las principales causas del cierre temporal de un servicio esencial como es el hospitalario y centros sanitarios, ha sido los tristemente famosos ciberataques, especialmente de ramsonware.

Estos ataques han evidenciado el mejorable estado de la seguridad de la información y la ciberseguridad de los centros sanitarios o de aquellas organizaciones - privadas o públicas - que los dirigen. La importancia de la seguridad de estas organizaciones radica en que en el entorno hospitalario se maneja toda clase de información sensible (protegida por GDPR), desde la historia clínica de los pacientes, hasta los registros de altas y bajas, además de toda la relativa al personal, médicos, nóminas, control de maquinaria asistencial, control de stock del material hospitalario, incluso la gestión de los turnos de comida de los pacientes. Muchos de estos datos pueden generar el interés de los ciberdelincuentes ya que su sustracción permite poner en jaque a todo un sistema sanitario.

Hay que tener presente que en el entorno hospitalario existen toda clase de máquinas dedicadas a los tratamientos y mejoras de salud de los pacientes, como respiradores, bombas de perfusión, aquellas que controlan las constantes vitales de las personas hospitalizadas, incluso todo un complejo sistema de alertas que indican al personal sanitario si hay complicaciones en el estado de un paciente que requieran de una inmediata intervención. Ciertos ciberataques pueden -incluso- modificar los parámetros o configuraciones de dispositivos de asistencia vital, lo que puede implicar un tratamiento erróneo al paciente y con ello causar los evidentes riesgos para la vida de este.

Por ello es clave establecer una sólida estrategia de ciberseguridad que ha de reposar sobre tres pilares clave: Securización del Edge, es decir, el lugar donde se genera el dato, auditorías periódicas que permitan parametrizar las estrategias de ciberseguridad ajustándolas a las necesidades de cada entorno hospitalario y la ejecución de protocolos de buenas prácticas que contribuyan a evitar que los profesionales del entorno hospitalario se conviertan en el eslabón débil de la cadena de seguridad en las organizaciones sanitarias, algo que -sin duda- será aprovechado por los ciberdelincuentes.

Aunque en el imaginario de algunas organizaciones, el ciberdelincuente es un agente que actúa desde la soledad de un sótano, la realidad es bien distinta. Se trata de organizaciones perfectamente organizadas, sin moral y cuyo único fin es hacer el mal por un precio. Estudian en detalle cuáles van a ser sus víctimas y cuentan con una elevada tecnificación de sus herramientas, sus procesos y sus “profesionales”, de manera que antes de atacar evalúan si les resulta más rentable arremeter contra una gran corporación, que posiblemente cuente con contramedidas de seguridad, o asaltar a 100.000 pymes, que cuentan con barreras más débiles. O a todo un sistema sanitario, donde el aumento constante de la esperanza de vida, está dificultando considerablemente la actuación de los servicios sanitarios, que tienen que atender a muchos más pacientes, lo que -a la par- supone más datos que poder sustraer.

En lo concerniente a la securización del Edge, los dispositivos médicos, como son los sensores portátiles, los monitores y todas las aplicaciones usadas, ayudan a gestionar las ingentes cantidades de datos de pacientes para que el personal sanitario pueda atender sus dolencias. Sin embargo, puede llegar a ser un problema recoger toda esa información si no es posible usarla inmediatamente. Por eso es conveniente que la información que generan los dispositivos se pueda procesar en el mismo dispositivo, y ese es el riesgo que los ciberdelincuentes pueden explotar.

Con la desaparición del perímetro de defensa favorecido por la proliferación de los dispositivos móviles, los CISO ya no diseñan estrategias basadas en la defensa del perímetro, van más allá y buscan tener los dispositivos securizados en origen. De ahí que sea clave establecer líneas de colaboración con los fabricantes de dispositivos de electromedicina, en donde la protección del propio dispositivo -de un modo aislado- es fundamental para garantizar la seguridad del paciente.

Las auditorías y Assessments de Ciberseguridad en entornos hospitalarios son esenciales, con especial atención en entornos críticos, como UCIs y quirófanos. En este caso la protección de los elementos interconectados tanto con redes internas como externas son las que van a garantizar la seguridad. En este caso la heterogeneidad de dispositivos y el incorrecto inventariado del mismo complican la gestión de la seguridad.

En paralelo a todas estas consideraciones, los trabajadores y los procesos deben ser una prioridad si se quieren eliminar brechas de ciberseguridad y es en ese contexto donde la integración de Inteligencia Artificial a los sistemas de seguridad contribuyen a paliar las posibles equivocaciones que por distintas razones puede provocar el personal sanitario, ya que -de forma automática- la IA es capaz de anticiparse a eventuales errores humanos y subsanarlos antes incluso de que supongan un problema de ciberseguridad y para los pacientes. De este modo se pueden mitigar las amenazas derivadas del comportamiento de los propios profesionales debido a malas prácticas a la hora del uso del material informático, principalmente. Esta situación se complica debido al bajo nivel en las medidas de protección existentes en muchos casos.

Los ciberdelincuentes no descansan, por eso es fundamental invertir en mitigar los riesgos de ciberseguridad, ya que a la postre las consecuencias de un ciberataque pueden arruinar la viabilidad de una organización, y, en este tipo de entornos, la afectación a la vida de los pacientes.