En mayo de 2017, tuvo lugar el primer ataque de ransomware documentado en equipos médicos de red. El ataque mundial de ransomware WannaCry comprometió la radiología y otros dispositivos en varios hospitales durante su auge máximo, luego de una falla de software causada por un ciberataque en un servicio en la nube de terceros, los pacientes con cáncer que se sometieron a radioterapia en cuatro instalaciones médicas tuvieron que reprogramar citas.
Estos ejemplos muestran cómo los ataques cibernéticos y las fugas de datos pueden tener un impacto significativo en la industria de la salud, que depende en gran medida de los equipos médicos conectados. La PHI (Información de salud del paciente) capturada y almacenada en estas instalaciones de atención médica conectadas debe estar protegida. Debido a que la PHI se transmite a través de la nube a través de sistemas de servidor, es muy vulnerable a los piratas informáticos.
Los ataques de ransomware contra los profesionales de la salud se han vuelto más comunes, sofisticados y más graves en los últimos años. Los malos actores individuales fueron reemplazados como principales perpetradores por bandas criminales organizadas, estados nacionales y grupos militares. A pesar de los grandes esfuerzos, las fuerzas del orden y el gobierno no han podido detener la creciente ola de ataques a las instalaciones hospitalarias y otras infraestructuras críticas. La seguridad de las instalaciones médicas será una parte clave de la ciberseguridad de los hospitales a medida que aumenten los ataques de ransomware a las organizaciones sanitarias.
Resumen
Los dispositivos médicos han crecido en escala
La seguridad de los equipos médicos externos, ya sean fijos, implantados o portátiles, es fundamental para la vida y el bienestar de los pacientes. Los dispositivos médicos que salvan vidas incluyen bombas de insulina, desfibriladores cardíacos, marcapasos artificiales y ventiladores, por nombrar algunos. Los ejemplos incluyen articulaciones artificiales, escáneres de resonancia magnética y tomografía computarizada, bombas de infusión, programación clínica y monitoreo en el hogar.
En un hospital o instalación médica, las cámaras de seguridad, los lectores de RFID, los sistemas de venta y las tarjetas de acceso para invitados deben protegerse de los ciberataques y las brechas de seguridad. El equipo médico a menudo incluye redes y sistemas informáticos.
En el mundo actual, los equipos médicos están conectados a todas las demás instalaciones conectadas en un hospital o institución médica. Los sensores integrados en el equipo médico conectado recopilan datos que se pueden enviar a otros dispositivos y a Internet. Estos dispositivos y sus datos forman la Internet de asuntos médicos (IoMT), que ayuda en el diagnóstico, el seguimiento y la administración de medicamentos.
Estos ataques de ransomware en instalaciones médicas demuestran el impacto de los ataques cibernéticos y las violaciones de datos en el negocio médico, que depende en gran medida de los equipos médicos interconectados. La información de salud del paciente registrada y almacenada en estos dispositivos médicos conectados debe estar protegida. La PHI se envía a través de sistemas de servidor a través de la nube, lo que la hace muy vulnerable a los piratas informáticos.
Las instalaciones de atención médica interconectadas que mejoran significativamente la atención al paciente y brindan mejores resultados para los pacientes deben mantenerse y modernizarse para garantizar la seguridad del paciente desde la fase de diseño hasta su uso en organizaciones de atención médica o en el hogar.
Ecosistema de IoT
El ecosistema de Internet de las cosas consta de fabricantes, proveedores, sistemas y software de dispositivos médicos, integradores de sistemas, proveedores de conexiones y usuarios finales. Una mayor cooperación entre las partes interesadas para abordar las vulnerabilidades de la seguridad cibernética y los riesgos asociados con las instalaciones de atención médica ayudará a prevenir los ataques cibernéticos.
Los ataques de ransomware en las redes médicas provocan cortes médicos que ponen en peligro la vida de los pacientes. No puede tener equipo médico seguro y funcional si no está disponible debido al ransomware. En el sector de Medtech, ha habido un cambio significativo durante la última década en la identificación de la creciente amenaza cibernética a los equipos. Los estados nacionales y los sindicatos del crimen organizado están causando confusión sobre los equipos médicos, poniendo en peligro su seguridad y eficacia para los proveedores de atención médica.
En una encuesta realizada por el Instituto Ponemon, una cuarta parte de las empresas de atención médica dijeron haber presenciado un aumento de la mortalidad después de un ataque de ransomware. Los sistemas sanitarios corren un mayor riesgo de afectar negativamente a la atención del paciente a medida que se utilizan cada vez más dispositivos médicos interconectados. El último desafío para las instalaciones de atención médica y el sector de MedTech es mantener la disponibilidad de equipos médicos frente a las crecientes amenazas cibernéticas que amenazan la seguridad del paciente.
Los dispositivos médicos deben diseñarse teniendo en cuenta la seguridad para resistir las amenazas cotidianas, como el ransomware. Actualmente no existe ningún requisito legal, previo a la comercialización o posterior a la comercialización que obligue explícitamente a los fabricantes de equipos a abordar la seguridad cibernética.
Medidas de seguridad en la nube
En el caso de una fuga de datos, el dispositivo médico es responsable, no el proveedor de servicios en la nube. Por otro lado, los proveedores de la nube deben cumplir estrictas reglas de seguridad. Los ejemplos incluyen pautas de ciberseguridad de la FDA, mejores prácticas de ingeniería de seguridad en la nube, auditorías de seguridad frecuentes, escenarios de recuperación de desastres y acciones basadas en un sistema de gestión de incidentes de protección de datos y seguridad bien definido.
El monitoreo, el modelado y el análisis en tiempo real de las amenazas cibernéticas, la mitigación y la remediación deben estar disponibles con instalaciones médicas o software relacionado. Gracias al registro y la supervisión regulares, cada infracción se detecta tan pronto como se produce. La detección temprana de una infracción ayuda a determinar la gravedad de la infracción y garantiza que se solucione.
Los dispositivos médicos, que a menudo son obsoletos, no siempre se pueden actualizar. Los ataques a equipos médicos con un apoyo mínimo pueden afectar los signos vitales y poner en peligro vidas. Los propietarios de dispositivos médicos deben comunicarse con su distribuidor o fabricante con anticipación si tienen problemas para mantener o actualizar su equipo médico.
La FDA ha incluido en su Plan de acción de seguridad de dispositivos médicos un requisito para que los fabricantes de dispositivos médicos incorporen actualizaciones de seguridad y opciones de reparación en los dispositivos en red desde el principio en respuesta a los crecientes peligros.
También describe los procedimientos para detectar cualquier defecto en estos dispositivos tan pronto como se hagan públicos. Es cada vez más importante que los ingenieros consideren la seguridad cibernética al evaluar los peligros de los equipos médicos. La protección contra ransomware / ciberataques debe ser parte de la especificación del dispositivo. Si envía uno de estos dispositivos a la FDA, espere que le hagan muchas preguntas sobre cómo aborda los problemas de ciberseguridad.
Conclusión
Desde la fase de diseño hasta su uso en organizaciones de atención médica o en el hogar, las instalaciones de atención médica conectadas que mejoran significativamente la atención al paciente y los resultados de los pacientes deben mantenerse y actualizarse adecuadamente para garantizar la seguridad del paciente frente a interrupciones del ransomware.
El ecosistema de IoT está formado por fabricantes de dispositivos médicos, proveedores, proveedores de sistemas y software, integradores de sistemas, proveedores de conexiones y usuarios finales. Será más fácil evitar los ataques cibernéticos si todas las partes involucradas trabajan juntas para abordar las vulnerabilidades de la seguridad cibernética y los riesgos asociados con las instalaciones de atención médica.
