Nunca has tenido la sensación de que alguien te observa?
Ayer fui a ver Snowden, la película, al cine con unos amigos, y la verdad, es que salí del cine con una sensación rara. No sabría describirla pero seria una mezcla de impotencia, incredulidad y algo más.
Control de masas, espionaje masivo, pinchazos telefónicos, hacking ilegal, etc. Aunque parezca que este tipo de situaciones solo se dan en EEUU, la verdad es que, aquí en España y en Europa, no es que estemos mucho mejor.
Programas de control como PNR (Passenger Name Records)[1][2] o SITEL (Sistema Integrado de Interceptación de Telecomunicaciones) [3], el cual es un avanzado sistema informático que permite la interceptación ágil, sin límite, indetectable y con la máxima calidad de todas las comunicaciones que tengan lugar en España son algunas de las herramientas que España, tiene el detalle de aplicar a sus ciudadanos.
Y es que mediante este tipo de programas totalmente intrusivos a la privacidad del usuario, los gobiernos son capaces de tener informacion muy detallada de todos nosotros, desde donde vivimos, el asiento que hemos reservado en el avion, toda la informacion de nuestro equipaje, personas con las que viajamos, nuestra red de contactos,…hasta nuestras conversaciones, inquietudes, etc.
«Uno de los requisitos de PNR dice asi:
La herramienta a desarrollar debe ser capaz de analizar diferentes tipos de información, ya sea en forma de feeds de Twitter, correo electrónico, imágenes, vídeo, registros de llamadas, notas clínicas de un médico, o prácticamente cualquier otro formato mediante una comprensión conceptual y contextual de todos los datos, junto con las capacidades de búsqueda y análisis avanzadas que le permiten ir más allá de la presentación de informes tradicionalmente como «retrospectiva» y descubrir elementos ocultos a simple vista»
Pero claro, no pasa nada porque, es por nuestra seguridad no? Al menos eso intentan vendernos como los pobres comerciales de Endesa, que vienen hasta la puerta de casa como los melones!
Y es que hoy en día, vivimos en un mundo digital en el que la privacidad esta perdida, y toda la que nos queda la podemos perder a golpe de clics y eso, no mola.
No he podido evitar empezar este post hablando de ello, de lo expuestos que estamos, de todo lo que observan día tras día, todo ello, mientras queda en una tenebrosa oscuridad sin dar explicaciones a nadie.
Y es que llegados a este punto, se pueden adoptar dos posturas. La del conformista con todo que ama a su país, dice incondicionalmente si a todo sin cuestionarse nada, y vota al PP porque se lo han dicho sus padres, o se puede adoptar otra postura diferente. La del critico, que busca saber la verdad por encima de todo, que no se conforma con vagas explicaciones dadas a través de un televisor de plasma y que no se cree las palabras de alguien sin tener hechos que lo respalden.
Sin embargo, se adopte la postura que se adopte, la salud es el elemento que nos une a todos. Y en lo relevante a la salud, existen dos tipos de dispositivos:
los que están certificados y los que no están certificados.
En nuestro caso, en Europa, los dispositivos médicos están certificados con la marca CE, la cual significa que han sido validados por las directivas de la Unión Europea. De forma similar, en EEUU, se les aplica el FCC (Federal Communications Comission) con sus respectivos controles de seguridad y calidad.
El caso es que la frontera entre tecnología, dispositivos médicos y personas, no está muy clara en algunas situaciones. Situaciones como por ejemplo, personas diabeticas que llevan una bomba de insulina en el cuerpo, personas que llevan un marcapasos, etc. Y posiblemente, no lo has pensado, pero a eso se le conoce BYOD [5].
Por lo que a veces la necesidad no es cómo proteger la compañía de daños realizados por dispositivos personales sino, mas bien, como proteger a las personas y sus dispositivos vitales.
Relacionado con esto ultimo de proteger a las personas, recientemente, la FDA (US Federal Drug Administration) emitió un comunicado diciendo que no era consciente de tener pruebas que relacionaran heridas o muertes de pacientes causadas por ataques ciberneticos o vulnerabilidades en dispositivos. Sin embargo, también admitió en el mismo documento que es posible que existan incidentes de seguridad en dispositivos médicos o redes operativas de hospitales generados por malware capaz de infectar ordenadores, smarphones y tables los cuales podrían ser usados para acceder a información sensible de los pacientes, sistemas de monitorizacion así como acceder a dispositivos implantados en pacientes.
El problema es que no es un tema reciente. En 1980, un fallo en el software de control de una maquina de radioterapia causo una sobredosis masiva de radiación en varios pacientes, matando al menos a cinco de ellos.
Y volviendo al principio del articulo, sabiendo que son dispositivos que están conectados a Internet y que no han sido diseñados teniendo en mente que alguien podría usarlos con fines maléficos, surgen preguntas como:
- Sabiendo que la agencias de espionaje como la NSA han llegado incluso a interceptar paquetes [6] para alterarlos, quien nos asegura que no hacen lo mismo con los dispositivos médicos?
- Como sabemos realmente que en el caso de 1980, fue un fallo de software y no un ataque intencionado para eliminar un objetivo pareciendo un accidente?
Asi que, con todo esto rodeándonos, solo podemos hacer una cosa: ser prudente. Porque la prudencia es una virtud!
Medical devices security risks
[1] The proposed EU passenger name records (PNR) directive
http://www.europarl.europa.eu/EPRS/EPRS-Briefing-554215-The-EU-PNR-Proposal-FINAL.pdf
Acceso Domingo 23, Octubre 2016
[2] Passenger Name Records, data mining & data protection: the need for strong safeguards
https://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-PD(2015)11_PNR%20draft%20report%20Douwe%20Korff%20&%20Marie%20Georges_15%2006%202015.pdf
Acceso Domingo 23, Octubre 2016
[3] Interceptacion de las comunicaciones
https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/Ponencia%20Sra%20Conde%20Pumpido.pdf?idFile=751e0750-c3e7-4b43-918b-937f978f93c3
Acceso Domingo 23, Octubre 2016
[4] Beyond BYOD, Can I Connect My Body to Your Network?
http://www.isaca.org/Journal/archives/2014/Volume-5/Documents/Beyond-BYOD_joa_Eng_0914.pdf
Acceso Domingo 23, Octubre 2016
[5] BYOD: Bring Your Own Device Security & Risk Concerns
https://www.isaca.org/Illowa/NewsAndAnnouncements/Documents/BYOD-Security-Issues.pdf
Acceso Domingo 23, Octubre 2016
[6] Photos reveal NSA tampered with Cisco router prior to export
http://www.techradar.com/news/networking/routers-storage/photos-reveal-nsa-tampered-with-cisco-router-prior-to-export-1249191
Acceso Domingo 23, Octubre 2016
Latest posts by Sergio Anguita Lorenzo (see all)
- Donde está Wally - 20 enero, 2017
- Soy adicto! - 20 enero, 2017
- Dispositivos medicos: una mirada atrás - 1 diciembre, 2016
Como post de reflexión personal y divulgativo, lo he disfrutado mucho pero como post ‘académico’ para lo que nos ocupa, tienes que ir centrándote. Concretar ya en riesgos y controles a aplicar (no el hecho de que existen, sino que «listarlos», estándares relacionados, noticias si, pero más recientes, en 1980 no habías nacido!
Me ha gustado la apreciación de que estamos ante el BYOD extremo …muy ligado todo ello al tema de los riesgos a todos los niveles.