¿Cómo de preocupados deberíamos estar por el aumento de los ataques de ransomware a hospitales?

Los hospitales estadounidenses fueron testigos de una avalancha de fallos de seguridad a lo largo de 2021, con más de 40 millones de registros de pacientes comprometidos en incidentes comunicados al gobierno federal. Algunos ataques incluso amenazaron la prestación de asistencia sanitaria, dejando fuera de servicio los sistemas de comunicaciones durante semanas o provocando un corte en la radioterapia.

Kevin Fu, profesor asociado de la Universidad de Michigan y Director en funciones de Ciberseguridad de Dispositivos Médicos en el Centro de Dispositivos y Salud Radiológica de la FDA de EE.UU., se reunió con nosotros y habló de la alarmante tendencia y de las medidas posibles para hacerle frente.

Háblenos del alcance de este problema

2021 fue un año bastante importante en cuanto a ataques de ransomware a la prestación de servicios sanitarios. Es muy perturbador y llega al corazón de los puntos débiles de la seguridad: el elemento humano que se cuela.

En abril, en la FDA vimos el primer caso en el que el ransomware fue más allá de la interrupción de los registros sanitarios electrónicos, que hasta la fecha era un problema bastante común e inconveniente. Este ataque afectó a la seguridad y eficacia de la radioterapia para el cáncer.

Este ataque se dirigió a un fabricante, invadiendo con un ransomware una nube privada que utilizaban para la dosimetría de la oncología radioterápica y provocando una importante interrupción en los hospitales que utilizaban su tecnología. Lo interesante es que no fue el ransomware en sí mismo, sino el proceso de remediación, lo que causó la interrupción. El fabricante siguió su manual de seguridad informática al desconectar su nube cuando fue infectada.

Desafortunadamente, eso significó que la nube no estaba disponible para una línea particular de productos de radioterapia oncológica, y por lo tanto los hospitales que utilizaban el producto no pudieron administrar la radioterapia.

Cuando pensamos en el ransomware de los hospitales, tendemos a pensar en el propio edificio y en los dispositivos que están confinados en esas paredes, pero en realidad parece que los puntos de riesgo se extienden hasta la cadena de suministro

Sí, y creo que un verdadero reto es el cambio de mentalidad. Hay sistemas informáticos -el correo electrónico, las clases presenciales, cosas así- y tienen su propio conjunto de riesgos. Pero por otro lado tenemos la tecnología operativa, lo que llamamos OT, que incluye cosas como los dispositivos médicos, los vehículos autónomos o los activos satelitales en el espacio. Tienen un conjunto diferente de requisitos y tienden a centrarse en la seguridad en primer lugar.

Por consiguiente, mientras que se puede tolerar el cierre del sistema de correo electrónico para una empresa debido a un incidente de seguridad, eso no es algo que esté sobre la mesa para un sistema cinético donde la vida de las personas depende de ello.

¿Por qué ahora? ¿Hay alguna razón en particular por la que esto sea un problema creciente?

Yo sugeriría múltiples factores. Estos problemas se han incorporado a la informática desde el principio, y este tipo de ataque podría haberse ejecutado perfectamente en los años 60.

Pero creo que la razón por la que está ocurriendo en 2022 es que hemos llegado a un punto de inflexión en el que el grado de conectividad entre dispositivos y servicios en todos los sectores se ha disparado. Ahora dependemos de la informática distribuida. Hace cinco o diez años podríamos haber empleado la computación en la nube por comodidad, o quizás para hacer copias de seguridad o almacenamiento secundario. Pero ahora está entrando en la ruta crítica, forma parte de los componentes esenciales de un dispositivo médico. Y si se cae, el dispositivo médico pierde su funcionalidad terapéutica principal.

Es una época difícil. No hay nada intrínsecamente malo en la computación en nube, pero hay que controlar los riesgos según el modelo de amenazas. Y mi observación es que el modelo de amenaza para un dispositivo médico es muy diferente al del correo electrónico corporativo.

¿Hay alguna debilidad principal que sea fácil de abordar?

La fruta que cuelga del suelo en términos de facilidad de reparación sería lo que se conoce como modelado de amenazas. Esto es algo que enseñamos en los cursos de seguridad informática. Implica jugar el papel del adversario, tratando de pensar en cómo el sistema podría resistir no sólo las amenazas actuales, sino las futuras.

Esto es algo que creo que puede ser muy útil porque, incluso con un dispositivo heredado, los fabricantes pueden entender mejor lo que está en riesgo. Empiezan por reconocer que el dispositivo es susceptible al malware moderno porque fue diseñado hace 20 años.

¿Los ataques a los registros de pacientes se dirigen más a menudo a hospitales aislados o a servidores compartidos?

Todavía no tengo conocimiento de que un proveedor de la nube haya sido atacado específicamente por servir a una multitud de fabricantes de dispositivos médicos. No me sorprendería que esto ocurriera accidentalmente en algún momento.

Ciertamente, esperamos que los proveedores de servicios en la nube que sirven a la industria de la salud estén prestando atención a algunos de los desarrollos de estándares para garantizar que los dispositivos de los hospitales sigan siendo seguros y eficaces, incluso si utilizan la nube.

Esto es posible de lograr desde una perspectiva de ingeniería, pero requiere pasos conscientes y deliberados si se quiere una garantía razonable. No quieres tener seguridad por suerte, quieres tener seguridad por diseño.

¿Cuál es el mensaje para las partes interesadas y el público?

No se trata de una carrera hacia las colinas, es más bien una ebullición lenta.

El público puede tener cierto grado de satisfacción por el hecho de que las diferentes agencias reguladoras de los distintos países están trabajando juntas con antelación en estas cuestiones. Están trabajando para favorecer a mantener a los hospitales informados sobre los riesgos de seguridad de cada dispositivo, para que puedan desplegarlos de forma segura.

Hay muchas cosas en marcha en el fondo, tanto técnicas como políticas, que van a mejorar los dispositivos.

La FDA está trabajando estratégicamente en el desarrollo de normas para diseñar muchos riesgos de seguridad, pero el reto es que hay bastante software heredado en el mercado -mucho de él tiene décadas de antigüedad. Intentar mantener la seguridad de esos dispositivos es un reto increíble una vez que el caballo ha salido de la puerta.

Para ello, también hay muchas medidas temporales en marcha para hacer frente a los dispositivos anticuados y heredados. Es difícil, pero no imposible, mantener estos dispositivos seguros y eficaces hasta que esté disponible un dispositivo más ideal, con seguridad incorporada desde el principio.

[content-egg module=Youtube template=custom/simple]

Alberto Berrios

Alberto Berrios

Escribo sobre productos relacionados con el audio desde pequeños altavoces inalámbricos hasta grandes sistemas Hi-Fi. No comparo estos productos con otros, sino que muestro los puntos fuertes y débiles de cada dispositivo separado. Si quieres saber si un determinado producto merece la pena, ¡consulta una de mis reseñas antes de hacer la compra! Gracias por leer, hasta la próxima.

Elenbyte
Logo
Comparar artículos
  • Total (0)
Comparar
0