El Internet de las Cosas Médicas: la protección de los cada vez más vulnerables sistemas informáticos
Las organizaciones sanitarias se enfrentan a una gran variedad de retos cibernéticos. Algunos de estos desafíos son la reducción de los presupuestos de IT, la conformidad total con la protección de datos, el aumento del riesgo de sufrir un ciberataque y la protección de la información más valiosa que existe: los datos médicos confidenciales que los ciberdelincuentes tanto codician. La digitalización del sector sanitario ha hecho que el Internet de las Cosas Médicas (IoMT por sus siglas en inglés) sea un área en constante crecimiento dentro de esta industria. Los dispositivos conectados que utilizan los enfermeros y médicos –desde los que monitorean de forma remota a los pacientes hasta los sensores de los hospitales– han transformado el sector mejorando los resultados de la atención sanitaria de muchos pacientes.
Sin embargo, los dispositivos IoMT también son una de las mayores preocupaciones para la seguridad de las organizaciones sanitarias. Según unos datos recientes publicados por Irdeto, hasta un 80% de las empresas que se dedican a la tecnología médica ha sufrido un ciberataque en los últimos cinco años, y es que, actualmente, el aumento de la cantidad de dispositivos tecnológicos que se conectan a amplias redes ha creado nuevas vías de exposición para las organizaciones sanitarias.
Numerosos puntos de acceso
Aquellos actores de amenazas que han perfeccionado sus tácticas de extorsión ven al sector sanitario hiperconectado como un objetivo muy lucrativo debido a su gran número de puntos de acceso. Los datos de los pacientes son extremadamente valiosos y, normalmente, la historia clínica electrónica (HCE) de una persona incluye su nombre completo, número de la seguridad social, historial médico, información bancaria, tarjetas de crédito y nombres de familiares; es decir, una gran cantidad de información muy preciada por los hackers.
Además, una de las mayores vulnerabilidades del sector sanitario es su compleja infraestructura informática, que cuenta con un número muy elevado de puntos de acceso y dispositivos conectados. Las tecnologías operativas incluyen desde resonancias magnéticas conectadas, iPads y ordenadores de sobremesa utilizados por el personal hasta routers inalámbricos en los hospitales y otros dispositivos electrónicos que pueden conectarse a una red.
En este contexto, el ransomware sigue siendo la principal amenaza cibernética para los hospitales. Un ejemplo es el ataque al sistema sanitario irlandés que tuvo lugar hace meses y que afectó a un total de 54 hospitales. Es más, este incidente provocó que la sanidad pública irlandesa tuviera que cerrar todo su sistema informático, dejando a la institución afectada durante varios meses después. Otro episodio que merece la pena nombrar es el que le sucedió al servicio nacional de salud británico, el NHS, que todavía sigue lidiando con las secuelas del hackeo WannaCry que padeció hace más de cuatro años y que afectó a cientos de miles de clínicas y hospitales en el Reino Unido.
El impacto de la tecnología operativa
Es importante recordar lo mucho que el IoMT y la tecnología operativa, también llamada OT, han transformado al sector sanitario, especialmente en los últimos años. La OT ha facilitado la investigación médica innovadora, ha permitido que profesionales de la salud y pacientes siguieran conectados durante uno de los periodos más difíciles a los que el sector de la sanidad se ha tenido que enfrentar y también ha ayudado a que el personal sanitario trabaje a distancia, algo que antes muchas organizaciones consideraban imposible.
En este contexto, es fundamental que los profesionales de la sanidad refuercen sus conocimientos en materia de ciberseguridad por dos simples razones: por un lado, la tecnología médica transformadora conlleva una gran responsabilidad y, por otro, los actores de las amenazas están constantemente vigilando las redes sanitarias para encontrar alguna vulnerabilidad que puedan explotar. Las formaciones de ciberseguridad atractivas, desde vídeos de simulación de phishing hasta sesiones grupales sobre cómo utilizar correctamente los sistemas OT, pueden ser útiles a la hora de generar conciencia de ciberseguridad entre los profesionales sanitarios.
No obstante, el problema reside en que tanto los médicos como los enfermeros que usan dispositivos y redes de trabajo vulnerables están ocupados atendiendo a pacientes y, a menudo, no disponen del tiempo suficiente para reforzar sus conocimientos en seguridad. Esto supone un particular reto para los departamentos de seguridad informática, sobre todo porque las amenazas internas son responsables de más de la mitad (60%) de las violaciones de datos.
Estos equipos de IT, normalmente pequeños y a menudo desbordados de trabajo, pueden constituir otra vulnerabilidad para el sector sanitario si no consiguen cumplir con todas las exigencias necesarias para tener una ciberseguridad adecuada. La realidad es que el departamento informático necesita ayuda adicional para proteger los datos tan valiosos de los pacientes, ya que con frecuencia sus presupuestos son recortados y estos equipos se ven abocados a hacer mucho con poco.
Así pues, ¿cómo puede el sector sanitario cumplir con la normativa y proteger eficazmente los importantes datos de los pacientes y su vulnerable infraestructura de IT utilizando dispositivos IoMT con un presupuesto en declive y un alto riesgo de amenazas internas? La solución está en la gestión de los accesos privilegiados.
Soluciones tecnológicas para una defensa de primera
Las soluciones sólidas de gestión del acceso privilegiado (PAM) cumplen con todos los requisitos de seguridad necesarios. Al configurar un componente de gestión de los accesos, los equipos de seguridad obtienen visibilidad y control sobre los accesos privilegiados. De esta forma, los managers pueden definir privilegios para cualquier usuario, garantizando que este solo pueda ver determinados sistemas y realizar las tareas para las que está autorizado.
Los equipos de seguridad, además de asignar privilegios, también necesitan poder monitorear las actividades de inicio de sesión y cualquier acción que los usuarios con privilegios ejecuten mientras están dentro del sistema. Esto les ayuda a identificar actividades inusuales en la red antes de que se produzca un posible incidente de seguridad.
Por su parte, las organizaciones sanitarias pueden mejorar aún más su seguridad adoptando funciones de gestión de sesiones automatizadas y en tiempo real. Esto significa que el Session Manager puede detectar y supervisar por sí mismo la actividad inapropiada, además de tener la capacidad de cerrar automáticamente una sesión de este tipo o de emitir alertas en tiempo real, para que así los administradores puedan examinarla más de cerca antes de tomar las medidas necesarias. Para las organizaciones sanitarias es fundamental poder cerrar automáticamente las sesiones inusuales en los sistemas OT o emitir alertas en tiempo real para los equipos de seguridad, ya que esto puede detener en seco a los actores de amenazas.
Las soluciones PAM que tienen la capacidad de registrar todas las sesiones ofrecen una pista de auditoría que sirve para cumplir con la normativa y que puede utilizarse como herramienta para formar a los empleados. Así se prepara y ayuda al personal sanitario a reconocer si los equipos, como los escáneres de resonancia magnética, se han actualizado incorrectamente o han sufrido una verdadera avería mecánica, es decir, otro método útil a la hora de identificar actividades inusuales que pueden constituir una amenaza para la organización.
Las soluciones de ciberseguridad adecuadas deben evitar que la prestación de los servicios se vea afectada. Estas también tienen que implementarse de forma rápida y sencilla, estar orientadas a los resultados para garantizar la mitigación de las vulnerabilidades e incorporar los principios de seguridad desde el diseño. De este modo se logra minimizar la carga de trabajo de los equipos informáticos, al mismo tiempo que se maximiza la seguridad de todos los sistemas.
La educación en materia de ciberriesgos también es clave para superar los retos a los que se enfrentan los profesionales sanitarios. Tal y como hemos mencionado antes, se ha demostrado que las formaciones atractivas son muy eficaces. Además, las organizaciones sanitarias pueden reforzar su seguridad poniendo a prueba periódicamente las habilidades y conocimientos de sus empleados mediante vídeos de simulación de phishing.
La combinación de la tecnología con la educación para obtener los mejores resultados
Durante la pandemia, el IoMT transformó las organizaciones del sector sanitario. No obstante, todos estos nuevos sistemas y dispositivos que las organizaciones sanitarias adoptaron se han vuelto una fuente de riesgos y desafíos: las superficies de ataque se han ampliado y todo el sector sanitario ha tenido que actuar rápidamente para reforzar sus defensas mientras los ciberdelincuentes siguen vigilando de cerca las redes vulnerables.
Por esta razón, si el sector sanitario desea adelantarse al cambiante panorama de las amenazas actuales, es imprescindible que combine la implementación de plataformas de ciberseguridad eficaces con la formación de su plantilla. Cualquier estrategia cibernética completa debe proporcionar acceso remoto seguro, permitir las auditorías y el cumplimiento de la normativa y formar a todos los empleados para mantenerlos actualizados en materia de riesgos. En definitiva, las soluciones seguras y las formaciones periódicas en ciberseguridad conseguirán que las organizaciones sanitarias estén totalmente preparadas para operar en un mundo digital y luchar contra cualquier amenaza externa.