Imagínese esto. Usted es un administrador encargado de proporcionar los servicios básicos y cubrir las necesidades diarias en 1.000 camas de un hospital multiespecialidad urbano. Una mañana, se da cuenta de que todos los sistemas de monitoreo de los pacientes junto a la cama (dispositivos similares a computadores que muestran los signos vitales del paciente, como los latidos del corazón y la presión arterial) han dejado de funcionar, dejando a los médicos y a las enfermeras a ciegas.
Tras una inspección más detallada, se da cuenta de que las funciones críticas de la UCI, como el suministro de oxígeno, y la infraestructura clave para las operaciones quirúrgicas, como las máquinas de anestesia, están dejando de funcionar una por una, poniendo en peligro la vida de varios pacientes y paralizando los procedimientos médicos. Mientras intenta minimizar el peligro y averiguar por qué está ocurriendo esto, le informan de que el sistema de climatización del hospital ha fallado.
En medio del caos, una persona anónima lo contacta diciendo ser el responsable de este ciberataque a la tecnología operativa (OT) del hospital y empieza a exigir una importante suma de dinero para reanudar los servicios del hospital.
El ejemplo anterior es el típico comportamiento de un ciberataque a los sistemas de OT de un hospital. El escenario anterior puede ir más allá y afectar a los sistemas de TI del hospital, poniendo en peligro los registros del hospital y posiblemente conduciendo a una violación de datos de la información sanitaria sensible.
Aunque los ciberataques afectan a los sistemas de OT de varios sectores, desde la industria automotriz hasta la aviación, últimamente es el sector de la salud el que está siendo más explotado.
Aumentan los ciberataques en el sector sanitario
Los ciberataques en el sector sanitario ya no se limitan a las TI. A medida que los dispositivos y la infraestructura médica se vuelven más “inteligentes”, la superficie de ataque para los incidentes de seguridad también aumenta.
Según un informe, las organizaciones sanitarias han experimentado el mayor costo promedio de una violación de la seguridad de los datos por undécimo año consecutivo. El costo promedio de una violación de la seguridad de los datos en el sector sanitario fue de $9,23 millones, casi el doble que en el sector financiero (que ocupa el segundo lugar en términos de costo por violación de la seguridad de los datos).
En 2021, se produjeron en promedio dos violaciones de la seguridad de los datos sanitarios por día. Algunas de las causas de las infracciones de seguridad más comunes fueron:
∙ Correo electrónico empresarial comprometido.
∙ Ransomware.
∙ Un servidor de red hackeado.
∙ Phishing.
∙ Un incidente de TI.
Teniendo en cuenta lo anterior, veamos cómo puede minimizar las ciberamenazas que afectan a los sistemas de TI y OT de su organización sanitaria.
Formas de proteger la TI y la OT en el sector de la salud
Restringir el acceso a los dispositivos
Los atacantes pueden tomar el control de las instalaciones del hospital con sólo conectar un dispositivo extraíble o un computador portátil y luego ejecutar un script que podría hacer que las instalaciones sanitarias queden inservibles.
Una forma de mitigarlo es bloquear el uso de dispositivos de almacenamiento externo. Esto se puede hacer con una solución de control de dispositivos que le permita vigilar los dispositivos y los puertos periféricos. También puede examinar los dispositivos conectados y analizar el comportamiento de los usuarios.
Configurar el control de acceso
Desde el cirujano en jefe hasta la enfermera practicante, todo el personal del hospital necesita un acceso rápido y fácil a los datos para fomentar una buena experiencia al paciente. Un control de acceso adecuado garantiza que cada usuario tenga el acceso necesario, reduciendo la necesidad de proporcionar acceso administrativo.
Si el personal sanitario necesita acceder a recursos que requieren privilegios de administrador, usted puede elevar temporalmente sus privilegios para que puedan realizar su trabajo sin problemas. El control de acceso protege sus datos, facilita la rendición de cuentas supervisando el acceso de los usuarios y garantiza el cumplimiento de la normativa de TI.
Habilitar la autenticación multifactor
Si se aplica la autenticación multifactor, los usuarios tendrán que proporcionar dos o más capas de autenticación para acceder a la información de su organización. De esta manera, incluso si la contraseña de un empleado se ve comprometida, los otros factores de autenticación impedirán que los atacantes accedan.
Estos factores de autenticación adicionales suelen ser una contraseña de un solo uso basada en el tiempo, un escáner biométrico o un código de una aplicación de autenticación. La autenticación multifactor ofrece cientos de ventajas y es quizás el mecanismo de ciberdefensa más sencillo que las organizaciones pueden establecer.
Utilizar el cifrado
El cifrado de datos significa simplemente hacer que la información sensible de su organización, como los registros hospitalarios y los datos de los pacientes, sea ilegible para cualquiera que no deba tener acceso a ella, como los usuarios no autorizados o los hackers.
Esto es especialmente útil en caso de un ataque de ransomware. Incluso si sus datos se ven comprometidos, los atacantes no podrán divulgar el contenido de los datos, lo que mantendrá a su organización fuera de peligro; sólo tiene que asegurarse de tener una copia de seguridad adecuada.
Automatizar los parches y las actualizaciones de software críticas
La tecnología sanitaria ha avanzado rápidamente, pero las organizaciones sanitarias no pueden permitirse el lujo de restar importancia a la aplicación de parches y a la actualización de su software. Además de aplicar parches y actualizaciones manualmente, es importante automatizar estos procesos para limitar la exposición de la TI sanitaria a las vulnerabilidades. Los sistemas sin parches siguen siendo uno de los principales objetivos de los ciberataques, por lo que instalar parches y actualizaciones de software tan pronto como se publiquen es lo más sensato.
Trabajar sólo con proveedores certificados
Desde la comunicación y el almacenamiento en la nube hasta la facturación y el software de TI, su organización sanitaria utilizará diversos proveedores de terceros para registrar, procesar y almacenar información crítica. Por otro lado, estas herramientas también tendrán que lidiar con la información crítica de los pacientes de otras partes interesadas, como el equipo de seguros o las instituciones financieras.
Los hackers pueden aprovechar cualquier debilidad en todas esas interacciones con terceros proveedores y usar la información de forma indebida. Y lo que es peor, si uno de los proveedores con los que trabaja es víctima de un ciberataque, existe la posibilidad de que también afecte a su organización.
Una forma de evitar estos peligros es comprobar si el proveedor cumple con la HIPAA. Si un proveedor cumple con la HIPAA, esto significa que sigue un conjunto estandarizado de medidas de seguridad para proteger la confidencialidad y seguridad de la información sanitaria cuando se transfiere, recibe, maneja o comparte. Existen otras normativas de cumplimiento, como PCI DSS y NIST 800-171, que tienen un conjunto adicional de prácticas para proteger la información privada.
Conclusión
El campo de la asistencia sanitaria nunca ha estado tan impulsado por la tecnología. Desde la telemedicina hasta las mascarillas capaces de detectar unas 800 enfermedades, cada vez será más difícil gestionar y proteger estos complejos dispositivos. En la época en que la OT sanitaria apenas estaba iniciando, una forma de proteger estos sistemas era aislarlos de la red.
Sin embargo, esto ya no es suficiente. A medida que los sistemas de TI y OT se vuelvan más avanzados y desempeñen un rol más importante en la mejora de nuestras vidas, será interesante ver cómo evolucionan nuestras soluciones de seguridad y gestión de endpoints actuales para proteger la próxima generación de infraestructuras sanitarias.
