Teoría » Ciberseguridad: Ciberseguridad » Todos

La Seguridad en los dispositivos médicos [Artículo de opinión]

Por José Luis Laguna, director técnico de Fortinet Iberia

 
Actualizado el 21 de diciembre, 2016 - 13.50hs.

Durante la década de los 90, las inversiones en investigación y desarrollo de dispositivos médicos se duplicaron. Actualmente, según los últimos informes, Estados Unidos cuenta con el mayor mercado de dispositivos médicos del mundo (por valor de unos 148 mil millones de dólares). Además el ritmo de crecimiento no muestra señales de desaceleración, se prevé que su valor continúe aumentado hasta alcanzar los 155 mil millones en el año 2017, impulsado por el interés de la industria en encontrar mejores soluciones para el diagnóstico, tratamiento, y la gestión de los aspectos médicos.

A medida que la industria de la salud avanza, es importante recordar a sus profesionales que es fundamental garantizar la seguridad de sus dispositivos- ya que un fallo no sólo tendrá consecuencias en la seguridad de la organización, sino potencialmente, en la salud de los pacientes. Conviene analizar las principales preocupaciones sobre seguridad que existen en torno a los dispositivos médicos y lo que los fabricantes e instituciones sanitarias pueden hacer para prevenir ataques.

La batalla entre la innovación y la seguridad

Este es un dilema al que debe enfrentarse de forma continuada la industria sanitaria. A medida que se incorporan innovaciones a los dispositivos médicos, los fabricantes y los profesionales de TI deben sopesar los riesgos frente a los beneficios.

Por ejemplo, conectar de forma inalámbrica un marcapasos a la red de un hospital puede proporcionar una visión clara en el rendimiento del dispositivo, pero también podría abrir la puerta a problemas con la red que potencialmente podría costar vidas. La FDA trabaja con fabricantes y hospitales por igual para hacer frente a este equilibrio y asegurarse de que los beneficios superen a los riesgos antes habilitar para la venta estos dispositivos.

Los impactos potenciales de un ataque

Después de que un dispositivo médico haya salido al mercado, existe la posibilidad de que sea hackeado si no se han adoptado medidas de seguridad adecuadas por los fabricantes o los hospitales que lo emplean. Estos endpoints, ya sean monitores cardíacos o bombas de insulina, transfieren los datos directamente a las redes y sistemas que los ciberdelincuentes rastrean con frecuencia. Así pueden acceder a estas entradas para robar datos confidenciales de pacientes (como los números de seguridad social) e incluso tomar el control de los propios dispositivos, lo que plantea un verdadero peligro para la vida del paciente.

Por ejemplo, la Universidad de Alabama del Sur puso al descubierto las vulnerabilidades de seguridad de los dispositivos médicos cuando sus investigadores hackearon con éxito el marcapasos inalámbrico de un simulador de paciente, y luego acabaron matando al simulador. El proyecto de investigación fue una revelación, y abrió los ojos a los peligros que puede implicar la utilización de dispositivos sanitarios conectados a redes no seguras.

El papel de los fabricantes en la seguridad de los dispositivos médicos 

De acuerdo con la FDA, los fabricantes de dispositivos médicos son responsables de la comprensión de los riesgos y peligros a los que los pacientes podrían verse expuestos en los peores escenarios. Estos riesgos están ahora, más que nunca, ligados a ciberseguridad. Los fabricantes necesitan tomar medidas para protegerse contra las violaciones de la seguridad del paciente y asegurar que los dispositivos funcionarán como está previsto, incluso bajo circunstancias extremas.

La FDA también sugiere que los fabricantes utilicen herramientas de ciberseguridad para evaluar las vulnerabilidades de sus dispositivos según la gravedad. En estos análisis se deben incluir pruebas para medir la complejidad del ataque, el alcance de la vulnerabilidad y su impacto en la integridad. El punto principal que deben comprender los fabricantes es que la creación de dispositivos con el objetivo de impulsar la industria de la salud hacia el futuro tecnológico no es suficiente. El diseño de los dispositivos médicos también debe contemplar la seguridad como una prioridad.

Los proveedores sanitarios y la seguridad 

Tanto las instituciones sanitarias que utilizan dispositivos médicos antiguos, como aquellas que han incorporado las últimas novedades, deben estar alerta a la hora de hablar de seguridad. A pesar del crecimiento en el número de dispositivos médicos conectados, las investigaciones muestran que la gran mayoría de los profesionales de la seguridad de la salud no ha preparado adecuadamente estos dispositivos a los riesgos que plantea un entorno de red. La realidad es que un pésimo 9,6% de los encuestados de un estudio reciente de IDC Health Insights afirmó haber integrado los dispositivos médicos en su estrategia de seguridad.

En el nivel más básico, los proveedores del sector sanitario necesitan formarse sobre la evolución de las amenazas, y reconocer que las medidas de seguridad tradicionales ya no son suficientes. Las nuevas técnicas y soluciones avanzadas de seguridad deben tenerse en cuenta en el esfuerzo por desacelerar los ciberataques.

¿Qué pueden hacer las instituciones sanitarias?: Protección de fuera-adentro y de adentro-afuera 

A un nivel más avanzado, las instituciones sanitarias deben considerar invertir en tecnologías con una estrategia de afuera hacia adentro como de adentro hacia afuera para establecer un enfoque integrado. 

Los firewalls convencionales por si mismos no consiguen dar protección suficiente desde el exterior. Para luchar contra las amenazas sofisticadas las organizaciones sanitarias deben adoptar una estrategia de seguridad integrada que englobe varias tecnologías e inteligencia sobre amenazas aplicada a todo el ciclo de vida del ataque y en todo el sistema de salud. Un marco de protección frente a amenazas avanzadas (ATP) puede ayudar a prevenir las amenazas conocidas, detectar las desconocidas, y evitar los daños al responder de manera oportuna a los incidentes potencialmente peligrosos. Este enfoque combate a las amenazas desde el núcleo de la red hasta el endpoint dispositivo del usuario, e incluso en la nube, protegiendo los datos de salud que tienen valor y la propiedad intelectual.

Al buscar la protección de dentro a afuera, las instituciones sanitarias deben considerar invertir en firewalls de segmentación interna, o ISFWs. Esta nueva clase de firewalls inteligentes segmentan las redes internamente, lo que hace que sea más difícil para los ciberdelincuentes acceder a los valiosos activos con información de salud. Mientras que la seguridad perimetral podría mantener la capa exterior segura, los ISFWs mantienen la seguridad de los activos individuales dentro de la red. Además, el ISFW garantiza la continuidad de la operación, limita el riesgo de redes accesibles públicamente (muy importante en la industria sanitaria actual), proporciona una capa adicional de seguridad, restringe el movimiento este-oeste de un posible ataque que consiga evadir las defensas perimetrales, y permite aislar rápidamente los dispositivos o segmentos de red infectados.

Publicidad

Lo más leído »

Publicidad

Más Secciones »

Hola Invitado