Ciberseguridad en la Industria Farmacéutica

La industria farmacéutica tiene acceso a algunos de los datos más críticos disponibles. Eso, junto con las estrictas pautas de privacidad de la industria con respecto a la protección de la información de salud protegida, resalta la necesidad del sector de contar con programas efectivos de gestión de la ciberseguridad.

La industria de la salud está adoptando rápidamente el uso de recursos como proveedores externos, herramientas de automatización y subcontratación para mejorar la eficiencia operativa. Sin embargo, estos cambios han traído una nueva ola de amenazas cibernéticas que anteriormente la industria de la salud desconocía o ignoraba.

Como resultado, las empresas farmacéuticas tienen una necesidad urgente de establecer marcos y programas de ciberseguridad sólidos para proteger los datos confidenciales de los pacientes y la propiedad intelectual.

Ciberseguridad e industria farmacéutica

La ciberseguridad y la mitigación de riesgos se han convertido rápidamente en una de las principales prioridades para las empresas farmacéuticas a medida que adoptan la transformación digital. Estas empresas recopilan grandes cantidades de datos y, por lo general, tienen acceso a información confidencial, como información de salud, las patentes de medicamentos y los datos relacionados con las tecnologías farmacéuticas.

Esto significa que una brecha en la red de una organización puede tener consecuencias graves, como propiedad intelectual robada y datos de ensayos clínicos, daño a la reputación, pérdida de ingresos e incluso litigios. Se pueden perder o dañar datos de investigación valiosos, lo que requiere la repetición de ensayos clínicos completos y la absorción de los costes asociados. Los precios de las acciones pueden caer en picado y la imagen de una marca puede verse empañada.

Tener una estrategia integral de ciberseguridad para salvaguardar esos activos digitales se ha convertido en una parte esencial de los protocolos de seguridad de cualquier empresa. Las empresas que no priorizan la creación de estrategias de ciberseguridad sólidas, flexibles e integrales dejan vulnerables sus valiosos datos.

En general, la industria farmacéutica en su conjunto no ha estado a la vanguardia en términos de prácticas de ciberseguridad, aunque los ataques de ciberseguridad de alto perfil y muy publicitados en los últimos años han actuado como una llamada de atención para muchas empresas. Aunque ha habido un aumento en el interés y un nuevo sentido de urgencia, cuando se trata de mejorar los protocolos de ciberseguridad en empresas individuales, todavía hay algunos desafíos que enfrentan muchas empresas farmacéuticas.

Recursos digitales

Los activos más valiosos de una empresa farmacéutica suelen ser fórmulas secretas para medicamentos patentados y otras grandes cantidades de datos estrictamente confidenciales.

Esto hace que las empresas farmacéuticas sean atractivas para los delincuentes porque estos datos son increíblemente valiosos y pueden venderse fácilmente en la web oscura o rescatarse a empresas que están desesperadas por proteger la propiedad intelectual sobre la que su empresa ha construido su negocio.

Personas

Incluso la estrategia de ciberseguridad más hermética y mejor diseñada solo es efectiva si sus empleados saben cómo implementarla correctamente, cuál es su función cuando se trata de salvaguardar los activos de su empresa y a quién deben informar los problemas potenciales. Los empleados mal capacitados son un desafío al que se enfrentan muchas empresas, tanto dentro como fuera de la industria farmacéutica.

Fusiones y adquisiciones

Las fusiones y adquisiciones son parte de la vida diaria en la industria farmacéutica y esto plantea un desafío único desde la perspectiva de la ciberseguridad.

Cuando una empresa es adquirida por otra empresa, o las dos empresas se fusionan, puede haber muchos cambios, lo que significa que las estrategias y enfoques de ciberseguridad pueden cambiar de la noche a la mañana. También significa que si los datos de una empresa se ven comprometidos, o si se descubre que no han tenido el cuidado suficiente para salvaguardar sus activos antes de que se finalice una fusión o adquisición, podría comprometer el trato y dejar a la empresa vulnerable a problemas legales.

Protocolos de ciberseguridad

Todas las organizaciones deben tener protocolos de ciberseguridad robustos pero flexibles para protegerse contra la amenaza de los ataques de ciberseguridad. Esto requiere tener un modelo operativo general, roles y responsabilidades bien definidos, contratos sólidos, lidiar con la integración de terceros, monitorizar las amenazas, comunicar las vulnerabilidades de manera efectiva y garantizar que la ciberseguridad siga siendo una prioridad de seguridad máxima.

Todo esto presenta un desafío importante para cualquier empresa, pero implementar un sistema como este puede resultar particularmente oneroso para las empresas farmacéuticas debido a la naturaleza extremadamente confidencial de su propiedad intelectual, el hecho de que sus activos más valiosos pueden estar sujetos a estricta privacidad y el hecho de que las adquisiciones y fusiones pueden alterar las formas establecidas de hacer las cosas.

Por qué los ciberdelincuentes se dirigen a las empresas farmacéuticas

Al igual que muchas otras industrias, las empresas farmacéuticas están experimentando una rápida transformación digital y se recopilan y administran más datos que nunca en línea, lo que lleva a estas organizaciones a convertirse en objetivos más destacados de los ataques cibernéticos.

Los datos robados a las compañías farmacéuticas y de atención médica son extremadamente valiosos, ya que los piratas informáticos pueden vender información personal del paciente en la web oscura, que incluye el historial de direcciones, información financiera y números de seguridad social, que luego se pueden usar para cometer el robo de identidad. Alternativamente, cualquier dato no vendido puede ser rescatado a las empresas de las que fue robado para que los datos críticos, como los resultados de los ensayos o los datos clínicos, puedan seguir avanzando.

Ciberamenazas que impactan en la industria farmacéutica

La industria farmacéutica se ve obligada a sortear muchos desafíos y obstáculos nuevos que anteriormente el sector ignoraba como irrelevantes para la industria.

Considera estas 5 amenazas de ciberseguridad que afectan a las organizaciones farmacéuticas:

Proveedores de terceros

Muchas compañías farmacéuticas dependen de los servicios de los proveedores de terceros para llevar a cabo las operaciones diarias y mejorar la eficiencia, tales como centros de tratamiento, los proveedores de seguros, y los fabricantes.

Si cualquier proveedor externo dentro de su ecosistema experimentara una violación de datos, tu organización se vería afectada operativamente y probablemente asumiría parte del daño a la reputación y al daño financiero. Por eso es importante tener una visibilidad completa en toda tu red que permita monitorizar continuamente la ciberseguridad de los proveedores externos.

Secuestro de datos

En algunos casos, los ataques de ransomware han provocado el cierre permanente de las organizaciones. Desde 2016, la industria farmacéutica y de la salud de EE.UU. experimentó casi 200 incidentes de ransomware que resultaron en un coste estimado de 157 millones de dólares.

Vale la pena señalar que es poco probable que los piratas informáticos de ransomware busquen datos de pacientes; en cambio, buscan interrumpir las operaciones para aprovechar un rescate de las organizaciones a cambio de datos robados y propiedad intelectual.

Ataques de phishing

La frecuencia de los ataques de phishing, o el intento fraudulento de acceder a información crítica haciéndose pasar por una fuente o entidad confiable, va en aumento. Una forma común de llevar a cabo ataques de phishing es mediante el uso de cuentas de correo electrónico comprometidas.

Los piratas informáticos utilizan nombres de organizaciones o sustituciones de caracteres para explotar el instinto humano y engañar a las personas para que hagan clic en los correos electrónicos infectados. Por esta razón, se recomiendan más medidas de seguridad, como la autenticación de múltiples factores y el acceso limitado a la red de los empleados.

Internet de las cosas

La industria de la salud, incluida la industria farmacéutica, ha adoptado el Internet de las cosas de todo corazón. Si bien esto facilita el acceso a documentos críticos y datos de pacientes o el uso de big data para rastrear tendencias, toda esta información trata sobre la salud, que viene con desafíos de privacidad únicos.

Dependiendo de dónde opere, las nuevas y estrictas regulaciones de privacidad, como el RGPD, pueden significar que los protocolos de ciberseguridad descuidados podrían dejarles vulnerables a litigios legales, así como a ataques de ciberseguridad.

El Internet de las cosas aumenta el riesgo de experimentar un incidente de ciberseguridad y puede generar una mayor incertidumbre en torno a la cadena de controles que sigue a dónde se generan o crean los datos y dónde finalmente terminan.

Error o negligencia del empleado

Los empleados son uno de los principales impulsores de las filtraciones de datos en casi todas las industrias. La alta gerencia y el personal de alto nivel no son los únicos empleados que deben ser cautelosos con los ataques cibernéticos externos, ya que es más probable que la gerencia y el personal de nivel inferior sean el objetivo.

Los tipos comunes de delitos cibernéticos que aprovechan el comportamiento humano para obtener información confidencial incluyen cebos, pretextos y quid pro quo. Es por eso que la capacitación educativa de los empleados y el conocimiento de los métodos de ataque comunes son cruciales para mantenerse diligentes contra los piratas informáticos.

Ciberataques en la industria farmacéutica y COVID-19

Un ejemplo de un ciberataque pasado y sus efectos dañinos es el ataque de ransomware de 2017 contra Merck and Co., denominado NotPetya, que paralizó 30.000 dispositivos de usuarios finales y 7.500 servidores. El malware causó mil millones de dólares en daños, pérdida de ventas y recursos para recuperarse del incidente. Además, la violación paralizó las instalaciones de producción de Merck para la vacuna líder contra el virus del papiloma humano. En otro caso, Roche y Bayer, importantes empresas farmacéuticas, confirmaron que experimentaron un ciberataque causado por el malware Winnti.

La pandemia actual de COVID-19 ha aumentado el valor y el enfoque en la industria farmacéutica, tanto el público como los actores de amenazas están muy interesados ​​en la actividad de esta industria.

El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) informó que los piratas informáticos, casi con certeza que operan como parte de los servicios de inteligencia rusos, están apuntando a organizaciones que desarrollan una vacuna contra el coronavirus en el Reino Unido, EE.UU. y Canadá.

En otros casos, los actores de amenazas utilizaron el malware WellMess y WellMail para cargar y descargar archivos de máquinas infectadas. APT29, una amenaza persistente avanzada, se ha enfocado en la investigación y el desarrollo de vacunas mediante el escaneo de direcciones IP de dispositivos específicos en busca de vulnerabilidades para permitir a los piratas informáticos obtener credenciales de inicio de sesión en sistemas críticos.

Es cada vez más importante contar con medidas de seguridad y planes de respuesta a incidentes, ya que los ciberdelincuentes están interfiriendo con la investigación y el desarrollo oportunos de un medicamento COVID-19.

Medidas de ciberseguridad a implementar

Los riesgos de una ciberseguridad deficiente deberían ser una motivación suficiente para que las empresas farmacéuticas protejan su información, pero, sorprendentemente, a menudo no es así. Existe una correlación positiva entre el software de seguridad cibernética más sofisticado y los ataques y las infracciones más sofisticados.

Los equipos de seguridad han caído en la trampa de esperar ataques y concentrarse en responder, en lugar de minimizar la probabilidad de que ocurra un ataque en primera instancia. Los sistemas deben revisarse periódicamente de forma proactiva, en lugar de cambiarlos como medidas reactivas.

A pesar de las filtraciones de datos altamente publicitadas dirigidas a la industria farmacéutica en los últimos años, una amplia gama de empresas del sector carecen de prácticas de ciberseguridad adecuadas para impedir los ataques. Sin embargo, la situación actual de COVID-19 ha generado un aumento en el interés y un sentido de urgencia para mejorar la postura de ciberseguridad de las empresas farmacéuticas.

Aquí hay algunas medidas básicas que las organizaciones pueden implementar para superar los desafíos de la ciberseguridad.

Crear una cultura de seguridad

Los fabricantes de medicamentos deben capacitar a los empleados para que comprendan las amenazas cibernéticas y las mejores prácticas que pueden seguir para proteger la información confidencial y los sistemas críticos. Un programa de concientización sobre seguridad ayuda a alentar y permitir que los empleados desempeñen un papel activo en la estrategia de seguridad general de una empresa.

Clasificar los datos

La comunidad biocientífica debe clasificar los datos confidenciales, como los compuestos y las fórmulas de medicamentos, que constituyen el elemento vital de sus organizaciones. El sector debe identificar tanto la información en reposo como en tránsito y las aplicaciones críticas y los usuarios que acceden a los datos. Posteriormente, los equipos de seguridad pueden proporcionar protección por capas en los niveles de aplicación y datos.

Implementar controles de acceso de seguridad confiables para mitigar las amenazas internas

Las empresas deben implementar medidas de seguridad adecuadas, como puertas de enlace de seguridad de correo electrónico, firewalls y redes privadas virtuales, para examinar los paquetes de red y determinar el curso de acción adecuado. Las prácticas de administración de identidad y acceso privilegiado pueden ayudar a limitar las rutas de amenazas internas y proporcionar pistas de auditoría sólidas.

Respaldo de datos

Los fabricantes de medicamentos deben respaldar los datos con regularidad y separarlos del entorno de producción. En caso de un ataque de ransomware, la víctima puede recuperar información cifrada de una copia de seguridad probada.

Una buena opción es también adoptar un enfoque completamente diferente a la seguridad cibernética, como una «Arquitectura de Zero Trust».

Hasta ese momento, la accesibilidad se limita solo a aquellos que tienen la autoridad o las credenciales pertinentes para acceder.

La arquitectura de Zero Trust recuerda un poco a ser menor de edad y tratar de entrar en ese club nocturno del que todos tus amigos mayores de 18 no pueden dejar de hablar. Sin identificación, no puede ser examinado de manera segura.

Aunque esto podría no ser adecuado para las empresas farmacéuticas, se pueden aplicar los mismos principios para un enfoque de arriba hacia abajo de la seguridad cibernética. Los altos directivos deben revisar todas las prácticas y enfoques, teniendo en cuenta los niveles aceptables de riesgo en cada nivel de la jerarquía empresarial.

Para futuras mejoras, los procesos y planes de implementación claros deben definirse a fondo y el personal debe estar identificado para ayudar a impulsar, administrar y seguir siendo responsable. La capacitación debe convertirse en un ejercicio mensual y potencialmente semanal para garantizar que las personas estén constantemente al tanto de las últimas tendencias, amenazas y problemas relacionados con la seguridad cibernética y la industria farmacéutica.

Ejemplos de ataques a farmacéuticas

Aunque es desafortunado que cualquier empresa experimente un incidente de ciberseguridad, como un pirateo o una violación, los incidentes de ciberseguridad se pueden utilizar como herramientas educativas que pueden informar mejor las políticas actuales de ciberseguridad de la empresa.

Ataque de NotPetya a Merck

Uno de los ataques de ciberseguridad más importantes contra una compañía farmacéutica en la historia reciente, como indicábamos anteriormente, afectó a Merck & Co., que emplea a más de 69.000 personas y es una de las compañías farmacéuticas más antiguas y más grandes del mundo.

Merck fue una de las docenas de empresas afectadas por un ataque masivo de ransomware en 2017 y sufrió interrupciones operativas en todo el mundo, obligó a la empresa a detener la producción de nuevos medicamentos y afectó significativamente los ingresos de la empresa durante el año.

Los empleados de Merck de todo el mundo abrieron sus computadoras y se encontraron completamente excluidos de los sistemas de la empresa e incapaces de trabajar. El incidente fue causado por la cepa de ransomware NotPetya, que también se utilizó para atacar a otras empresas.

Ataques de WannaCry

En 2017, las redes de atención médica de todo el mundo se vieron afectadas por los ataques de ransomware WannaCry, que excluyeron a los profesionales de la salud de los registros de salud de los pacientes. En total, más de 230.000 computadoras en 150 países se vieron afectadas y causaron daños por miles de millones de dólares, lo que prácticamente cerró los sistemas de salud en todo el mundo.

Wicked Panda usa WINNTI para apuntar a Bayer

En 2018, el fabricante de medicamentos Bayer descubrió que sus redes informáticas habían sido infectadas con software malicioso. La compañía decidió monitorizar y analizar de manera encubierta el software antes de purgarlo de sus sistemas, y aunque no descubrieron evidencia de robo de datos ni indicios de que algún dato personal estuviera comprometido, el incidente sigue siendo inquietante.

Bayer pudo determinar que los piratas informáticos estaban usando un malware llamado WINNTI, que permitía a los usuarios no autorizados acceder a sistemas privados de forma remota y les daba a los ciberdelincuentes tiempo para buscar vulnerabilidades internas que pudieran ser potencialmente explotadas. Según el portavoz de Bayer, la empresa y sus expertos en seguridad creen que el grupo Wicked Panda, con sede en China, inició el ataque.

Conclusión

La industria farmacéutica, al igual que la industria de la salud, debe tomar medidas positivas para resolver el potencial de fallos graves de seguridad cibernética que existen en algunas organizaciones en la actualidad.

La adopción de enfoques como los modelos de confianza cero puede parecer innecesario al principio, pero la protección que brindan es invaluable.

Todas las empresas farmacéuticas deben asegurarse de que exista una arquitectura sólida de ciberseguridad para brindar protección en todos los niveles de la organización. Hoy en día, es una necesidad para las principales empresas farmacéuticas emplear CIO y CISO calificados para ayudar a administrar estos marcos, y solo así, pueden esperar protegerse contra la amenaza cada vez más volátil, coordinada y calculada de los ciberdelincuentes.