Guía de Ciberseguridad en el sector sanitario

La asistencia sanitaria está cada vez más conectada, ya que las empresas de tecnología médica actualmente fabrican más de 500.000 diferentes tipos de dispositivos médicos, como dispositivos portátiles y dispositivos médicos implantables.

El mercado de Internet de las cosas médicas en Europa se espera que crezca hasta los 40 mil millones en 2022.

Al mismo tiempo, un estudio mostró que los hospitales de EE.UU. tienen entre 10 y 15 dispositivos conectados por cama, que ejemplifica cómo la proliferación de soluciones de tecnología médica ha cambiado por completo el panorama de las TIC en las organizaciones sanitarias de todo el mundo.

La creciente interconexión de dispositivos médicos y el uso de conexiones remotas para su mantenimiento; la necesidad de monitorear continuamente a los pacientes, incluso los que están fuera del hospital; el uso de teléfonos inteligentes para acceder a información de salud por parte de pacientes y médicos; y la falta de presupuesto para servicios y soluciones de ciberseguridad hace que el sector sanitario sea especialmente vulnerable.

Aquí tienes una guía completa con las distintas acciones que deben llevarse a cabo para garantizar la ciberseguridad en sanidad.

Analiza las vulnerabilidades

La industria de la salud está plagada de una gran cantidad de problemas relacionados con la seguridad cibernética.

Estos problemas van desde malware que compromete la integridad de los sistemas y la privacidad de los pacientes hasta ataques de denegación de servicio distribuido (DDoS) que interrumpen la capacidad de las instalaciones para brindar atención al paciente.

Mientras que otros sectores de infraestructura crítica también experimentan estos ataques, la naturaleza de la misión de la industria de la salud plantea desafíos únicos.

Para la atención médica, los ataques cibernéticos pueden tener ramificaciones más allá de la pérdida financiera y la violación de la privacidad.

Es muy importante que en tu hospital o centro médico analices todas las vulnerabilidades existentes para evitar ser víctima de un ciberataque que cause importantes daños al servicio.

Principales vulnerabilidades

Las principales vulnerabilidades a las que se enfrenta el sector sanitario son:

  1. Muchas empresas de atención médica tienen dispositivos heredados o anticuados que ejecutan software o sistemas operativos obsoletos. Las preocupaciones sobre el presupuesto, los recursos y las operaciones a menudo pueden impedir la práctica de reemplazar software y dispositivos antes de que lleguen al final de su vida útil, dejándolos más susceptibles a un ataque.
  2. A menudo, los caminos más fáciles para los atacantes se encuentran en la gestión integrada del edificio, la seguridad física y los dispositivos clínicos.Estos dispositivos a menudo están fuera del control de TI, o se pasan por alto, y pueden permanecer sin parches durante años, proporcionando un punto de entrada potencial para actores hostiles.
  3. Las redes de atención médica a menudo están diseñadas para minimizar los costes y maximizar la eficiencia, creando redes planas que son objetivos fáciles para los atacantes. Todo lo demás queda en segundo plano, a menudo incluyendo la ciberseguridad.
  4. Las organizaciones de atención médica están hipercentradas en su misión principal: salvar vidas y ayudar a los pacientes, y los riesgos de ciberseguridad no están  en la vanguardia de sus mentes. Todo lo demás queda en segundo plano. Hay muy poca tolerancia para la instalación de parches que pueden causar conflictos con el software patentado de dispositivos médicos.
  5. Muchas empresas de atención médica aprovechan proveedores externos para administrar y ejecutar sus sistemas, lo que puede introducir una cantidad significativa de riesgo. En lugar de atacar directamente a organizaciones grandes y bien financiadas con capacidades cibernéticas avanzadas, los actores hostiles a menudo intentan comprometer a un proveedor externo más pequeño que tiene acceso a la organización objetivo, evitando de manera efectiva todos los controles de seguridad de la entidad más grande y proporcionando acceso directo a sus redes.
  6. A menudo, las empresas de atención médica operan como organizaciones descentralizadas. Compuestas por grupos de proveedores semiautónomos y ubicaciones de servicios, estas organizaciones están descentralizadas de una manera que hace que sea mucho más difícil priorizar las inversiones en seguridad cibernética, establecer estándares y exigir el cumplimiento.

Protege tu hardware

Los dispositivos móviles (portátiles, tablets, teléfonos inteligentes, medios de almacenamiento portátiles) tienen
un mundo de oportunidades para liberar los registros electrónicos de salud desde el escritorio.

Pero estas oportunidades también presentan amenazas a la privacidad y seguridad de la información, como:

  • Debido a su movilidad, estos dispositivos son fáciles de perder y vulnerables al robo.
  • Debido a que los dispositivos móviles pueden usarse en lugares donde otros puedan ver el dispositivo,
    debes tener cuidado para evitar la visualización no autorizada de la información de salud que se muestra en el.
  • No todos los dispositivos móviles están equipados con fuertes controles de autenticación y acceso. Estos deberían tener una protección a través de contraseñas. Si no se proporciona protección con contraseña, se deben tomar medidas adicionales para proteger la información de salud como un control físico del dispositivo.
  • Los dispositivos portátiles a menudo se utilizan para transmitir y recibir datos de forma inalámbrica. Estas comunicaciones inalámbricas deben estar protegidas contra escuchas e intercepción. Se recomienda no transmitir información electrónica de salud a través de redes públicas sin cifrado.

Controles de acceso

Para minimizar el riesgo para la información electrónica de salud al configurar de manera efectiva los dispositivos, son importantes las contraseñas. La contraseña, sin embargo, es solo la mitad de lo que constituye las credenciales de un usuario de ordenador. La otra mitad es la identidad del usuario o nombre de usuario.

Estas credenciales (nombre de usuario y contraseña) se utilizan como parte de un sistema de control de acceso
en el que los usuarios tienen determinados derechos para acceder a los datos dentro.

Configura los dispositivos para conceder acceso electrónico a la información de salud solo a personas autorizadas.
La configuración de los permisos de acceso a los archivos debe hacerlo una persona con derechos autorizados sobre el sistema.

Antes de establecer estos permisos, es importante identificar qué archivos deben ser accesibles para qué miembros del personal.

Limita el acceso a la red

Debido a la sensibilidad de la información de atención médica y al hecho de que debe estar especialmente protegida, se deben utilizar herramientas que permitan a personas externas obtener acceso a la red de consultorios de atención médica con extrema precaución.

La información de salud electrónica que fluye por la red inalámbrica debe estar protegida, es crucial asegurar la señal inalámbrica para que solo aquellos a quienes se les permite acceder a la información pueden captar la señal.

Los enrutadores inalámbricos deben ser configurados para operar solo en modo encriptado.

Y también es importante usar una VPN para proteger la conexión.

Protege tu software

La mayoría del software requiere actualizaciones periódicas para mantenerlo seguro y agregar funciones.

Mantener el software actualizado es fundamental para mantener un sistema seguro, ya que muchas de estas actualizaciones corrigen vulnerabilidades encontradas en el producto.

En centros médicos y hospitales más grandes, este «parcheo» puede ser una tarea diaria, donde varios proveedores pueden emitir actualizaciones frecuentes. En los pequeños, puede que no sea necesario monitorizar continuamente las nuevas actualizaciones.

Debemos verificar:

  • Las cuentas de usuario de los ex empleados están deshabilitadas de manera adecuada y oportuna.
  • Ordenadores y cualquier otro dispositivo, como discos duros, que tengan datos almacenados en ellos deben «limpiarse» antes de tirarlos.
  • Los archivos de datos antiguos se archivan para almacenamiento si es necesario, o se limpian del sistema si no son necesarios.
    • El software que ya no se necesita debe desinstalarse completamente.

Usa un firewall

Debes instalar un firewall para protegerte contra intrusiones y amenazas de fuentes externas.

Mientras el antivirus ayudará a encontrar y destruir el software malicioso que ya ha entrado, el trabajo de un firewall es evitar que los intrusos entren. En resumen, el antivirus puede considerarse como un control de infecciones mientras que el firewall tiene el papel de prevención de enfermedades.

Un firewall puede tomar la forma de un producto de software o un dispositivo de hardware. En cualquier caso, su trabajo es inspeccionar todos los mensajes que ingresan al sistema desde el exterior y decidir, de acuerdo con criterios predeterminados, si el mensaje debe ser permitido o no.

Instala un antivirus

La forma principal en que los atacantes comprometen los ordenadores es a través de virus y código malicioso que explota vulnerabilidades en la máquina. Incluso un ordenador que tiene la última seguridad en las actualizaciones de su sistema operativo y aplicaciones puede estar en riesgo debido a defectos no detectados.

Por lo tanto, es importante usar un producto que proporciona protección actualizada continuamente. El software antivirus está ampliamente disponible, bien probado para ser confiable, y cuesta relativamente poco. Después de su instalación, es importante mantenerlo actualizado.

Sin el software antivirus, los datos de salud pueden ser robados, destruidos o desfigurados, y los atacantes podrían tomar el control de la máquina.

Asegura tus datos

La protección de la información debe ser una prioridad para cualquier persona que trabaje en la atención médica. Las organizaciones sanitarias que tienen las medidas de seguridad adecuadas en torno a la información personal limitarán el riesgo de sufrir una violación. Si ocurriera una violación, estará mejor preparada para responder a la misma. 

La protección de los datos es una parte esencial para prevenir o mitigar una violación de la atención médica.

El primer paso para implementar esta protección es saber dónde se almacenan los datos confidenciales, cómo se transmiten y cómo se usan. 

La identificación de estos testamentos le permite a una organización determinar qué protecciones deben implementarse para cada dispositivo, lo que permite implementar medidas de seguridad más exhaustivas. 

Además, los centros sanitarios deben llevar a cabo las siguientes actuaciones.

Evaluación de riesgos en seguridad

Con esta evaluación se podrá determinar dónde pueden faltar las medidas de seguridad. Una vez que se identifican las brechas, las organizaciones deben crear planes de remediación para garantizar la protección de la información personal.

Es importantes que estas evaluaciones de riesgos se realicen anualmente.

Cifrado

Cifrar los datos sirve también para reducir el riesgo de violaciones de datos en la atención médica. Los datos cifrados no se pueden ver sin una clave de descifrado, por lo que es lo más efectivo para su protección.

Formación

Capacitar a los empleados en las políticas y procedimientos de la organización, así como en los requisitos de seguridad.

La mayoría de las infracciones de salud ocurren como resultado de un error humano. Los empleados deben estar capacitados sobre lo que constituye la información personal y cómo manejarla adecuadamente.

Además, los empleados deberían poder reconocer los correos electrónicos de phishing y qué hacer si sospechan que un correo electrónico es malicioso.

Evaluar a proveedores

Las entidades sanitarias tienen la obligación de garantizar que los proveedores con los que están trabajando tengan las medidas adecuadas para la protección de la información personal. Si el vendedor carece de medidas de seguridad, debe implementar salvaguardas adecuadas antes de que se les permita recibir esos datos personales.

También deben firmarse acuerdos de socios comerciales con todos los proveedores antes de compartir información personal. Estos acuerdos limitan la responsabilidad de ambas partes en caso de incumplimiento, ya que afirman que cada parte ha aceptado cumplir con sus obligaciones para proteger esa información y que son responsables de su propio cumplimiento.

Ciberataques en el sector sanitario

La industria del cuidado de la salud, y los hospitales en particular, son el objetivo número uno de los ataques de ransomware. Para 2020, se espera que estos ataques se cuadrupliquen.

Solo en Francia, se han reportado 478 incidentes de ciberseguridad a la Agencia de Sistemas de Información Médica Compartida (ASIP) desde octubre de 2017.

Estos son los más importantes.

Wanacry

En mayo de 2017, el ataque cibernético WannaCry se dirigió al Servicio Nacional de Salud (NHS) del Reino Unido. Al explotar una vulnerabilidad de Windows, los piratas informáticos lograron infectar al menos 16 centros de salud y 200.000 ordenadores, lo que llevó a la cancelación de casi 20.000 citas y paralizó más de 1.200 equipos de diagnóstico.

Ataque DDoS

En 2015 un hacker lanzó un ataque DDoS (Denegación de servicio distribuida) contra el Boston Children’s Hospital. Se estima que el hospital, cuya página de donaciones fue cerrada por el ataque, perdió 300.000 dólares en reparaciones a su sistema informático.

Medjacking o secuestro de dispositivos médicos

La tecnología es cada vez más común en las instituciones de salud. Esta prevalencia creciente aumenta el riesgo de «medjacking», o secuestro de dispositivos médicos, como lo demuestra el fallo de seguridad que los investigadores descubrieron en los respiradores y máquinas de anestesia de General Electric. Esta vulnerabilidad, que según el Departamento de Seguridad Nacional de los EE.UU. es fácilmente explotable.

Phishing

El phishing es la amenaza cibernética más extendida. Un empleado del centro médico de la universidad de Montpellier fue víctima de este ataque en marzo de 2019, cuando abrió un correo electrónico que contenía un virus que infectó más de 600 ordenadores. Afortunadamente, el hospital estaba utilizando redes internas independientes, lo que evitó que el virus se propagara a todas sus 6.000 máquinas.

Error humano

Aunque los ataques maliciosos son los más frecuentes, los incidentes a veces pueden ser el resultado de negligencia o falta de información. Tal fue el caso en abril de 2018, cuando un empleado de Independence Blue Cross, una aseguradora de salud estadounidense, publicó accidentalmente un archivo que contenía la información médica y personal de casi 17.000 pacientes en línea. La compañía tardó dos meses en detectar este error humano.

Estos incidentes son un recordatorio de la importancia de educar a los empleados, incluidos los profesionales de la salud, sobre buenas prácticas de ciberseguridad.