Protección de dispositivos médicos: nueva guía de H-ISAC en la antesala de la regla de la FDA
El cuarto trimestre destaca en todo el ecosistema sanitario por innumerables razones. Los aseguradoras tienen su temporada alta de inscripción abierta, y los proveedores compiten para completar los exámenes anuales de sus paneles de pacientes.
En el sector de tecnología de la información sanitaria (HCIT), el otoño de 2023 también marca un hito importante: a partir del 1 de octubre, la Administración de Alimentos y Medicamentos (FDA) de EE. UU. ejercerá su autoridad para rechazar las presentaciones previas a la comercialización de los fabricantes de dispositivos médicos si no incluyen las capacidades de software de ciberseguridad y actualización.
Ya iba siendo hora. Según un informe reciente del FBI, el 53 % de los dispositivos médicos conectados y otros dispositivos del Internet de las cosas (IoT) de los hospitales presentan vulnerabilidades críticas conocidas; un tercio de los dispositivos sanitarios del IoT tienen un riesgo crítico identificado que podría afectar a su funcionamiento y funciones técnicas.
Los dispositivos pirateados son un peligro para pacientes de todo el mundo
En particular, la American Hospital Association citó las advertencias de la FDA de que algunas bombas de insulina podrían estar en riesgo de ataque por parte de hackers. No se trata precisamente de una noticia nueva: en 2011, este problema salió en los titulares cuando un investigador del congreso Black Hat USA demostró cómo las bombas de insulina inalámbricas podrían ser objeto de un ataque remoto de tal manera que podría causar la muerte de los pacientes.
Sin embargo, dado el crecimiento exponencial de los dispositivos de HCIT, especialmente de tecnología de gestión de la diabetes, como se indica en el informe de mediados de 2023 de FitchSolutions sobre temas clave relacionados con los dispositivos médicos y las tendencias del mercado, los peligros podrían incrementarse.
"Es una preocupación importante para el país, y también para otros países", declaró el Dr. Mark Jarrett, asesor superior de salud de Northwell Health a WNYW-TV New York, al decir que existe un "riesgo para la vida" de los pacientes.
Las tecnologías heredadas son las más expuestas
La integración de dispositivos que realizan la monitorización remota de pacientes, administran medicamentos y proporcionan atención virtual ofrece enormes beneficios clínicos y financieros.
Sin embargo, dado que la nueva ley de la FDA no se aplica a los millones de dispositivos médicos que ya se utilizan, es decir, a las tecnologías heredadas que carecen de actualizaciones de seguridad esenciales o protocolos de cifrado, existe una amplia superficie de ciberataque, lo que puede tener implicaciones en todo el ecosistema sanitario.
"Hemos estado viviendo con ese riesgo y seguiremos viviendo con ese riesgo", también declaró Vikrant Arora, director de seguridad de la información de Hospital for Special Surgery (HSS), a WNYW.
Planes de contingencia de respuesta ante incidentes
Sin embargo, a diferencia de muchos otros hospitales más pequeños, los que carecen de departamentos para supervisar y actualizar los sistemas, y los que tienen una inestabilidad financiera que podría conducir al cierre , HHS cuenta con numerosos planes de contingencia.
"En el caso de que un dispositivo se vea comprometido, existe una guía de respuesta sobre cómo responder ante un incidente sin que tenga un impacto significativo en la atención al paciente, añadió Arora.
Esos protocolos están en consonancia con las recomendaciones del Centro de Análisis e Intercambio de Información Sanitaria (H-ISAC). El nuevo White paper de H-ISAC, Improving Medical Device Security by Moving From Shared to Defined Responsibility (Mejora de la seguridad de los dispositivos médicos pasando de la responsabilidad compartida a la responsabilidad definida) incluye orientación fundamental en torno a los complejos procesos de actualización, aplicación de parches y gestión de vulnerabilidades.
Comunicación de las recomendaciones clave
En el pasado, presentaba un desafío importante el hecho de que grupos como las organizaciones de atención sanitaria y los fabricantes de dispositivos médicos asumieran que tareas como el refuerzo, el control de acceso y la gestión de vulnerabilidades los gestionaría la otra parte, lo que daba lugar a vulnerabilidades no abordadas.
La guía de H-ISAC incluye un enfoque más definido que propugna una mayor comunicación y trabajo en equipo para establecer una matriz de responsable/aprobador/consultado/informado (RACI).
Las recomendaciones clave son:
Definir las responsabilidades de las tareas entre las partes interesadas para reducir el riesgo general de fracaso
Utilizar una matriz de asignación de responsabilidades para definir las obligaciones de las tareas para todas las partes que emplean dispositivos médicos (H-ISAC proporciona una plantilla global y personalizable recomendada)
Actualizar continuamente (y comunicar las actualizaciones) a las matrices
Comprender la distribución de responsabilidades de las soluciones de software operativas, desde los dispositivos médicos de "caja negra" a los servicios en la nube
La falta de seguridad puede costar dinero y vidas
El informe de H-ISAC es posterior al aviso de CISA acerca del software no compatible o al final de su vida útil. Aunque es comprensible la falta de inversión de capital en nuevos equipos, especialmente en el caso de organizaciones con escasez de efectivo que se enfrentan a unos costes operativos desorbitados tras la pandemia, la historia muestra que los efectos de no abordar las posibles amenazas a la seguridad podrían ser críticos.
Los ataques de ransomware tienen como objetivo las vulnerabilidades
En 2017, piratas informáticos norcoreanos explotaron una vulnerabilidad de Windows (denominada EternalBlue) en los ataques de ransomware WannaCry. Aunque Microsoft aplicó un parche para esta vulnerabilidad, las ediciones no compatibles, como Windows XP y Windows 8, eran vulnerables.
Se calcula que el 90 % del Servicio Nacional de Salud (NHS) del Reino Unido empleaba Windows XP, un sistema operativo que Microsoft dejó de actualizar en 2014. Los ataques de WannaCry obligaron a los centros del NHS a cancelar miles de citas y operaciones programadas, con unas implicaciones financieras de aproximadamente 92 millones de libras esterlinas.
El peligro de las contraseñas predeterminadas
A pesar de los ataques de alto perfil, El IDC señaló recientemente que "no es extraño que los dispositivos médicos conserven aún sus contraseñas y ajustes predeterminados, los cuales pueden descubrirse fácilmente en los manuales publicados online por los atacantes".
El informe de CISA menciona que el uso de contraseñas y credenciales fijas o predeterminadas es "peligroso y eleva significativamente el riesgo para la seguridad nacional, la seguridad económica nacional, y la salud pública y la seguridad nacionales". La agencia gubernamental de EE. UU. también emitió el mismo aviso con respecto al uso de la autenticación de factor único para el acceso remoto o administrativo a los sistemas que respaldan el funcionamiento de la "infraestructura crítica y las Funciones Críticas Nacionales (NCF) designadas".
Prevención, protección y capacitación
Akamai puede ayudarle con estas cuestiones:
Evite el robo de cuentas de las cuentas empleados y las filtraciones de datos con Akamai MFA, nuestra solución de autenticación multifactor a prueba de phishing (MFA).
Proteja a su plantilla híbrida al mismo tiempo que mejora el acceso con Akamai Enterprise Application Access
Dote a sus equipos de TI del sector sanitario de un enfoque que prioriza la prevención en lugar de un enfoque solo de alerta, independientemente de si los dispositivos son heredados o nuevos, gracias a un modelo de seguridad Zero Trust: el enfoque más completo de todos cuando los dispositivos que en principio nunca debían conectarse a nada ahora deben conectarse a casi todo.
La prevención puede ser en realidad la mejor medicina (en diversos aspectos) en el sector sanitario.
