La tecnología de la información orientada a la salud usa muchos de los elementos, aplicaciones, procesos en incluso infraestructura de los sistemas tecnológicos (IT) empresariales.
Pero las redes medicas tienen dos rasgos únicos importantes:
- Contienen y transmiten información que es altamente sensible. Información que tiene que ser controlada por altos niveles de rigurosidad, bajo una serie de estándares y normas, como por ejemplo la ‘U.S. Health Insurance Portability and Accountability Act (HIPAA)‘ en caso de Estados Unidos.
- El segundo rasgo es la alta complejidad y el diverso número de dispositivos médicos existentes, sobre todo aquellos que están conectados a internet, que, como consecuencia, hacen la labor de proteger y securizar la información una labor más difícil que proteger un simple servidor conectado a Internet.
El problema de los dispositivos vulnerables ha estado latente en nuestra sociedad durante mucho tiempo, pero es hoy en día cuando la sociedad actual, junto a las modas actuales, los han convertido en un riesgo inmediato.
- Un fuerte aumento en el volumen, la sofisticación y el enfoque del malware, aumentando la probabilidad y el daño de ataques de malware y violaciones de datos.
- Dispositivos médicos que incorporan más hardware y software, lo que aumenta su vulnerabilidad a malware, piratería informática y robo de datos.
- Nuevos incentivos y mandatos del gobierno para compartir la información del paciente electrónicamente, simultáneamente con severas sanciones por cualquier pérdida, desvío o exposición de dicha información.
La entrada actual, se dedicará a informar tanto sobre los riesgos en los dispositivos médicos, como en las redes que lo componen.
Existen dos riesgos principales: los riesgos internos y los riesgos externos. Pero independientemente del tipo, el grado de confianza de cada dispositivo que confirma el sistema se puede apreciar en la siguiente imagen. Donde teóricamente, un dispositivo móvil tendrá unas medidas mas seguras y estará bajo una normativa y control mas estricto que uno de los items mas alejados.
Los riesgos internos
Las redes medicas empresariales pueden llegar a tener cientos o miles de servidores conectados en su red para poder dar servicio,
Las redes empresariales pueden incorporar decenas de miles de servidores y, mientras la seguridad y protección de datos son preocupaciones constantes, el consenso es que los riesgos tienen que estar bajo control. ¿Qué hace que los dispositivos médicos conectados a la red sean tan diferentes? La respuesta es que, a pesar de que los dispositivos médicos recién construidos funcionan más como computadoras, todavía se les trata como si fueran diferentes, de manera que tienen consecuencias graves para la seguridad y protección de datos.
La revolución de PC ha transformado instrumentos y dispositivos de todo tipo, y los dispositivos médicos no son una excepción. Su uso cada vez mayor de tecnologías de hardware y software disponibles en el mercado desbloquea importantes ventajas de interfaz de usuario, rendimiento y costo. A medida que los dispositivos crecen más productivos, los hospitales los usan para aumentar la eficiencia del personal y por consecuencia, proliferan en los hospitales. Estos dispositivos sofisticados tienen más probabilidades de estar conectados a redes para crear eficiencias y permitir el control de forma remota por personal autorizado, para comunicar datos, para ser administrados, etc.
Con la consecuencia de que se estan exponiendo a toda una gama de riesgos por el mero hecho de estar conectados a Internet.
- La responsabilidad de los dispositivos médicos a menudo radica en los departamentos de Ingeniería Biomédica (o Clínica), cuya misión y capacitación se centran en la calibración y el mantenimiento. La seguridad y la protección de datos suelen estar subordinadas o compartidas con la organización de TI, para lo cual los dispositivos médicos son secundarios al mantenimiento de los niveles de servicio de TI básicos.
- Los largos ciclos de vida de los dispositivos mantienen el hardware, los sistemas operativos, los protocolos de comunicaciones y los sistemas de aplicaciones en servicio en dispositivos médicos mucho después de haber desaparecido de las redes informáticas empresariales, por lo que los dispositivos siguen siendo vulnerables a exploits que no conciernen a las computadoras de escritorio y portátiles.
- La regulación tiene un efecto paradójico: la Administración Federal de Alimentos y Medicamentos de los Estados Unidos (FDA) y sus contrapartes fuera de los Estados Unidos estipulan que los fabricantes de dispositivos médicos, y no los propietarios, deben controlar y validar la configuración del dispositivo, incluidas las actualizaciones de seguridad. Esto retrasa la entrega de parches de vulnerabilidad a los usuarios, ralentiza el ritmo de las actualizaciones de seguridad y de protección de datos y mantiene soluciones de seguridad de terceros, independientemente de su eficacia, de las PC incorporadas en dispositivos médicos.
Los riesgos externos
Las amenazas de la red se adaptan a las oportunidades encontradas por sus creadores en los sistemas IT, incluyendo los sistemas médicos. Mediante esta navaja de doble filo, sus creadores también se ponen en riesgo, y en el punto de mira de las autoridades. Muchas bandas amateurs usan este medio online para crear actos vandálicos ya que ven una nueva oportunidad para un futuro criminal. Este comportamiento se puede ver influenciado por el alto ancho de banda entre las conexiones de este tipo de sistemas, dado que una vez comprometidos, pueden usarse para otros fines ilícitos. Aunque parezca que no es lo común, este tipo de comportamientos.
Clasificación general de los riesgos externos
- Global: China ocupa el segundo lugar después de Estados Unidos como fuente de amenazas en línea, y Brasil, se ha colocado como el tercero como fuente de varios ataques de alto perfil. La variación geográfica en las leyes y el cumplimiento de las mismas complica y retrasa el procesamiento de este tipo de ciberdelitos.
- Dirigido: Los ataques cibernéticos recientes suelen dirigirse a organizaciones individuales, utilizando reconocimiento avanzado en redes sociales, mensajes de «phishing», ataques dirigidos a compañías o personas y/o captura de datos persistentes durante largos períodos de tiempo.
- Basados en web: Todos los ataques cibernéticos actuales, incluidos los que implantan registradores de pulsaciones de teclas (keyloggers) y otras herramientas de recopilación de información, explotan vulnerabilidades en navegadores y otras aplicaciones populares.
- Automatizados: Los kits de herramientas «Crimeware» aceleran la creación de exploits personalizados, incluyendo el despliegue de botnets para lanzar ataques automatizados globales. Más de 90.000 variantes únicas de uno de estos kits aparecieron en 2009 solamente.
- Financieros/Médicos: Los ataques de hoy se centran en información financiera o información sensible sobre organizaciones y consumidores. Una economía online oculta apoya un importante comercio de trafico de información robada: información de tarjetas de crédito, por ejemplo, vende entre $ 0.85 y $ 30.00, y credenciales de cuenta bancaria de $ 15 a $ 850. En este tipo de sitios, los datos médicos son especialmente tratados pos su carácter único y sensible, por lo que su valor puede ascender notablemente.
Es por eso que todas las organizaciones y consumidores, no sólo hospitales y pacientes, se enfrentan a este tipo de amenazas. Pero la sensibilidad de la información médica y la exposición de los dispositivos médicos conectados a la red plantean riesgos especiales en la industria de la salud.
En el siguiente post, veremos cuáles son las normativas y regulaciones que se aplican a dichos dispositivos médicos, tanto en Europa como en Estados Unidos.
[1] Classify Your Medical Device,
http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/Overview/ClassifyYourDevice/
Latest posts by Sergio Anguita Lorenzo (see all)
- Donde está Wally - 20 enero, 2017
- Soy adicto! - 20 enero, 2017
- Dispositivos medicos: una mirada atrás - 1 diciembre, 2016
Gracias Sergio. Con respecto al gráfico del abaníco, no sé, creo que es just al revés de lo que escribes. Y que no se me olvide contarte porque hay tanto hacker en China robando pruebas médicas en servidores de todo el mundo.