Seguridad de ICS en el cuidado de la salud: por qué las vulnerabilidades de software representan una amenaza para la seguridad del paciente
La falta de ciberseguridad en el cuidado de la salud es una de las amenazas más importantes para la santidad de la industria global del cuidado de la salud. Esto se hace evidente por el hecho de que en 2020 más de 18 millones de registros de pacientes se vieron afectados por ataques cibernéticos exitosos en el sistema de salud de EE. UU.
Los profesionales de la salud no deben tomar este tema a la ligera, ya que los activos financieros y la propiedad intelectual están en riesgo. Además, los profesionales de TI deben abordar los problemas de seguridad de los datos de atención médica, es decir, los registros médicos electrónicos (EHR), al mismo tiempo que se comprometen a ayudar a los pacientes a superar las consecuencias de las infracciones de seguridad de la atención médica. Solo en 2021, más de 40 millones de registros individuales fueron violados, y estos números están aumentando.
veamos como seguridad ICS las vulnerabilidades pueden amenazar la seguridad del paciente y del hospital.
La necesidad de sistemas de control industrial (ICS) en entornos sanitarios
Los hospitales manejan rutinariamente información confidencial de alto valor de pacientes, médicos, diagnosticadores y otras partes interesadas. Esto incluye activos con alto valor monetario como información de identidad personal, información de salud del paciente, cuentas bancarias y números de tarjetas de crédito.
Para nuestro bienestar, estos sistemas y procesos deben funcionar de manera óptima en todo momento. Sin embargo, si los actores maliciosos acceden a nuestros ecosistemas de atención médica, muchas cosas podrían salir mal, desde marcapasos y bombas de insulina comprometidos hasta filtraciones de datos integrales.
Cualquier falta de seguridad de los dispositivos médicos puede causar estragos en una organización de atención médica. Sin embargo, la amenaza a menudo proviene del interior, en forma de error humano, alteraciones no planificadas e interrupciones, todo lo cual puede ser peligroso. Al mismo tiempo, el software defectuoso también debería tener parte de la culpa. Las vulnerabilidades de software y el código defectuoso en los dispositivos médicos pueden poner en peligro la seguridad y la ciberseguridad del paciente.
Esto ha llevado a una mayor necesidad de la implementación de la seguridad del Sistema de Control Industrial (ICS) en el cuidado de la salud. Si bien «ICS» es un término genérico que recuerda a fábricas y servicios públicos, la ubicuidad de estos dispositivos en los centros de atención médica plantea la necesidad de una mayor seguridad en esta área.
La sólida seguridad de ICS para dispositivos médicos permitiría a los proveedores de atención médica tomar medidas defensivas para reducir el riesgo de explotación. Las mejores prácticas incluyen minimizar la exposición de estos dispositivos a la red, aislar los sistemas de control por completo cuando sea posible y usar VPN para cualquier tarea administrativa.
Priorizar la seguridad y protección del paciente
La información médica personal (PHI, por sus siglas en inglés) está protegida por la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés), que establece que la información pasada, presente y futura de cualquier persona proporcionada a un proveedor de atención médica debe recopilarse, almacenarse, compartirse y mantenido bajo las convenciones HIPAA.
Los hospitales necesitan una ciberseguridad estricta, ya que el gobierno de EE. UU. ha advertido sobre nuevos ataques de malware en los sistemas de atención médica. Estos ataques están aumentando a un ritmo alarmante y representan una grave amenaza para los hospitales y los pacientes al bloquear el acceso a información médica importante. En el tercer trimestre de 2021, 68 ataques de ransomware se llevaron a cabo contra instituciones de salud.
Los grupos de rescate apuntan a la atención médica con más frecuencia porque creen que al atacar esta industria, pueden obtener dinero rápidamente debido a la necesidad urgente de datos médicos y la notoriedad generalizada creada por dicho ataque.
Además, los ciberdelincuentes también amenazan con publicar o vender los datos en línea, lo que está generando que más empresas estén dispuestas a pagar el rescate que nunca. Las autoridades federales trabajan continuamente para educar al sector de la salud sobre la prevención del ransomware.
Configuraciones incorrectas de dispositivos médicos: una amenaza importante para los ICS
Garantizar la seguridad de los pacientes que utilizan dispositivos médicos comienza con la gestión de activos, es decir, el registro de todos los dispositivos IoT médicos en un entorno sanitario.
Es vital comprender las configuraciones de seguridad de IoT médica y cualquier vulnerabilidad que pueda comprometer la seguridad del paciente. Las configuraciones incorrectas, cuando no se solucionan, pueden dar lugar a violaciones de la privacidad, especialmente en los portales de bases de datos públicas. Es aún más importante cuando considera que muchos de estos dispositivos son viejos, están desactualizados y utilizan sistemas operativos al final de su vida útil. Puede resultar muy difícil actualizar las configuraciones de los dispositivos o aplicar parches de seguridad.
Los dispositivos móviles han facilitado el acceso y el intercambio de datos, pero esto también ha generado un mayor riesgo de violaciones de la privacidad, robo de identidad, ransomware y otros ataques cibernéticos. Muchos institutos de salud permiten iniciar sesión en portales desde dispositivos móviles. Estos dispositivos móviles no están asegurados o no tienen ningún estándar de seguridad. Los dispositivos no seguros tienen altas posibilidades de ataques de ransomware, malware y violación de la privacidad.
Los sistemas que permiten la administración de dispositivos IoT médicos deben estar protegidos con autenticación multifactor y métodos de autorización confiables para obtener acceso.
También es importante señalar que los hospitales de todo el mundo utilizan dispositivos médicos con las contraseñas predeterminadas vinieron con. Esta es una clara invitación para que un atacante tome el control de los dispositivos y manipule su comportamiento, poniendo en riesgo la seguridad del paciente.
Además, muchos de estos dispositivos médicos conectados se quedan con SSH, FTP y otros protocolos de gestión estándar. abierto para cualquiera con los medios para acceder a ellos. De hecho, en ocasiones incluso están conectados a Internet, desprotegidos y sin ningún cortafuegos que impida el acceso.
En muchos casos, la descarga de aplicaciones y software maliciosos de fuentes no verificadas y no confiables es una gran razón para las violaciones de privacidad en dispositivos móviles. Estos ataques pueden comprometer la seguridad de los datos de los empleados dentro del portal o la aplicación médica.
El costo de ignorar la ciberseguridad para los hospitales
Costo de más de 600 ataques de ransomware contra instituciones de salud de EE. UU. más de $ 21 mil millones en 2021. Otro informe de estimaciones el costo promedio de un ataque cibernético de atención médica en $ 6.45 millones. Los ataques maliciosos a hospitales cuestan en promedio 4,45 millones de dólares.
Los sistemas de seguridad cibernética débiles y obsoletos pueden ser la razón principal de tales infracciones y pérdidas financieras. Es mejor invertir en tecnología nueva y más confiable para la ciberseguridad que perder toneladas de dinero en este tipo de ataques.
Proteja su hospital e instituciones de salud
Los hospitales y las entidades médicas son objetivos muy atractivos para los actores malintencionados y los ciberatacantes. Es fundamental proteger los datos confidenciales de estas instituciones contra posibles riesgos cibernéticos. La incapacidad de tomar las medidas necesarias y la falta de seguridad de los datos del hospital y del paciente bajo HIPAA pueden resultar en sanciones y acciones legales contra las personas y departamentos responsables.
No se puede negar que la implementación de dispositivos médicos conectados a Internet ha sido muy rápida, sin dejar tiempo para que los expertos en TI automaticen la administración o los procesos de actualización de estos dispositivos.
Es imperativo que los proveedores de servicios de salud tomar en serio la seguridad de su ICS, corrija o actualice el software según sea necesario, y pase a dispositivos verdaderamente inteligentes. Estas prácticas pueden ayudarlos a administrar y mitigar el riesgo en la infraestructura existente para garantizar que se cumplan los objetivos de privacidad y seguridad del paciente.