Hoy es el Día Mundial de la Salud y aprovechamos la ocasión para analizar los problemas de seguridad y el camino que falta recorrer en este ámbito. Como describimos en una de las secciones del informe Tendencias 2017: La seguridad como rehén, los ataques que se valen de la IoT y el ransomware son los problemas más visibles en el sector, pero no los únicos.
A continuación describiremos las preocupaciones más importantes y compartiremos una infografía resumiendo los riesgos en instituciones médicas y cómo afrontarlos.
El ransomware es solo la punta del iceberg
Las filtraciones de datos de Anthem y Premera en 2015 hicieron que el público general tomara más consciencia sobre la importancia de la seguridad en las organizaciones de la industria de la salud, que se han convertido en un objetivo particularmente atractivo para el ransomware. Y si a esto sumamos la mayor cantidad de dispositivos médicos conectados a Internet, todo indicaría que el sector sanitario seguirá enfrentando desafíos de seguridad significativos en el futuro.
las medidas de protección a menudo no se aplican de la forma en que la comunidad de seguridad esperaría
A decir verdad, si bien es la amenaza más notoria por sus efectos intimidantes, el ransomware es síntoma de un problema aún mayor. Generalmente se puede mitigar si se siguen las prácticas mínimas de seguridad para endpoints y redes y, en el peor de los casos, se restaura el sistema desde un backup.
Pero, lamentablemente, las medidas de protección a menudo no se aplican de la forma en que la comunidad de seguridad esperaría. A muchos les puede parecer más costoso restaurar el sistema desde los backups que pagando el pedido de rescate; algunas empresas directamente no hacen copias de respaldo periódicas, o las almacenan en lugares incorrectos de manera que también son vulnerables. A veces ni siquiera se usan productos de seguridad diseñados para detectar correos electrónicos, archivos, tráfico o enlaces maliciosos.
En las instituciones sanitarias, donde el acceso rápido a los datos puede ser una cuestión de vida o muerte, el costo de ser atacado por el ransomware crece considerablemente. Los delincuentes lo saben y están apuntando en forma deliberada a las organizaciones médicas.
La importancia de evaluar los riesgos y corregir las deficiencias
Al categorizar regularmente los activos y los métodos de transmisión, es posible identificar posibles vulnerabilidades y riesgos. Si se toman en cuenta la probabilidad y el costo potencial de estos riesgos, se puede tener una idea de las cosas que necesitan abordarse con mayor urgencia.
En el caso del ransomware, la evaluación del riesgo puede ayudar a resolver la situación de diversas maneras:
- ¿Qué activos corren el riesgo de ser cifrados por el ransomware?
- ¿Qué métodos de transmisión le permiten al ransomware acceder a la red?
- ¿Qué métodos le permiten a la amenaza recibir comandos externos para cifrar archivos?
- ¿Cuál es la probabilidad de que la organización se vea afectada por esta amenaza?
- ¿Cuál es el daño monetario potencial que puede provocar un ataque exitoso?
Los activos que corren el riesgo de ser cifrados son, por desgracia, casi todos los datos o sistemas a los que se puede acceder desde la red o Internet. Los ataques de ransomware a menudo se originan por correos electrónicos de phishing que contienen archivos maliciosos o enlaces a través de los cuales se descargan los archivos maliciosos. Por lo tanto, el método de transmisión en este caso sería el correo electrónico, con un enfoque en la ingeniería social.
Para reducir el riesgo de infección, se pueden hacer varias cosas. Por ejemplo:
- Crear backups periódicos y luego verificarlos, para mitigar los daños una vez que un sistema o una red es víctima de un ataque.
- Segregar la red limita los efectos del malware una vez que este ingresa a los sistemas.
- Filtrar el correo electrónico en busca de spam y de phishing, así como bloquear los tipos de archivos más populares utilizados por los autores de malware, ayuda a disminuir el riesgo de que llegue hasta los usuarios.
- Educar al personal y ofrecer capacitaciones periódicas disminuye las probabilidades de que ejecuten un archivo malicioso.
- Animarlos a enviar los correos electrónicos o los archivos sospechosos al personal de TI o de seguridad ayuda a aumentar la eficacia de los métodos de filtrado.
- Usar un software antimalware en la puerta de enlace, en la red y en los endpoints ayuda a identificar el malware y a evitar que entre en la red, o a reducir el daño ocasionado en caso de que el archivo malicioso logre evadir las defensas iniciales de los sistemas.
- El firewall y el software de prevención de intrusiones ayudan a identificar el tráfico de red desconocido o no deseado.
Dispositivos médicos y para monitorear la actividad física
A medida que la industria médica se vuelve más informatizada, son más los profesionales de la salud y los pacientes que comienzan a utilizar dispositivos médicos y aquellos diseñados para monitorear la actividad física. Si bien suelen estar repletos de información confidencial, la seguridad y la privacidad en general son una preocupación secundaria.
si un dispositivo tiene un sistema operativo obsoleto y sin soporte, se le deberá dar protección adicional
En ocasiones puede haber máquinas grandes y costosas que usan sistemas operativos comunes (y con demasiada frecuencia obsoletos), como Windows XP Embedded. A menudo proporcionan un fácil acceso al resto de la red hospitalaria donde se guardan muchos tipos de datos confidenciales: información financiera para la facturación, información de identidad para brindar seguros médicos, así como información relacionada con la salud generada por las visitas de los pacientes.
Desde una perspectiva criminal, estos datos son sumamente lucrativos: tienen el potencial de ser diez veces más valiosos que los detalles de las tarjetas de crédito o débito.
Los dispositivos médicos de los hospitales suelen utilizar un sistema operativo similar al que usan los equipos de escritorio, por lo que es posible aplicar la misma tecnología y las mismas técnicas para protegerlos. Sin embargo, si un dispositivo tiene un sistema operativo obsoleto (y potencialmente sin soporte), se le deberá dar una protección adicional significativa. Hasta puede ser preferible mantener la máquina completamente desconectada de todas las redes, aunque aún así se deberá proteger contra amenazas que se puedan propagar por medios extraíbles.
Dispositivos médicos y de monitoreo en el hogar
Los dispositivos médicos y de monitoreo de actividad utilizados en el hogar suelen ser muy pequeños, para que se puedan usar o implantar sin resultar intrusivos. La mayoría utiliza sistemas operativos Linux o basados en Linux. Pueden estar conectados a Internet u ofrecer sincronización con un dispositivo móvil o equipo de escritorio; y al igual que los dispositivos que se usan en hospitales, también suelen actualizarse con poca frecuencia... cuando se actualizan.
Aunque el equipo utilizado por el paciente en su casa no suele almacenar información de tarjetas de pago, puede tener otros datos que a los delincuentes les interesaría robar o modificar, tales como: la dirección de correo electrónico, el nombre de usuario, la contraseña y los datos de GPS, incluyendo la dirección particular o laboral. Además, el dispositivo podría indicar cuando el usuario está fuera de casa o dormido. Un ataque a un implante podría permitir que los delincuentes hicieran una serie de cambios a las medidas prescritas, lo que podría causar problemas médicos graves (o incluso mortales).
En cuanto a un dispositivo médico personal, es de suma importancia evitar que se use para dañar a los usuarios o comprometer su privacidad. Es evidente que un ataque a una bomba de insulina o un marcapasos con conexión a Internet será significativamente diferente a un ataque a un dispositivo para monitorear la actividad física. Las medidas de seguridad necesarias serán las mismas, aunque una bomba de insulina o un marcapasos pueden tener activados ajustes más estrictos en forma predeterminada.
Protección de dispositivos médicos
Los fabricantes de dispositivos médicos para uso personal o en hospitales tienen en sus manos la oportunidad de iniciar un cambio hacia una mayor seguridad, mediante la seria consideración de este problema desde la fase de diseño. Hay varias medidas que deberían tomar para hacerlos más seguros:
- Diseñar teniendo en cuenta la privacidad: Lee sobre los siete principios de la Privacidad por diseño (en inglés).
- Cifrar datos: Tanto los guardados en disco como los que se encuentran en tránsito. Por ejemplo, cuando se envían por correo electrónico, por la Web o por mensajería instantánea, o cuando se sincronizan con el equipo del usuario.
- Clarificar las opciones de almacenamiento de datos: Darles a los usuarios la capacidad de almacenar localmente los datos monitoreados, en vez de que tengan que dejarlos en la nube.
- Autenticar el acceso a las cuentas: Verificar que los usuarios sean quienes dicen ser. Es imprescindible que se autentiquen antes de que visualicen, compartan o modifiquen la información almacenada en los dispositivos implantados, dado que las consecuencias de su uso indebido son significativamente más costosas. Por lo tanto, es necesario que los fabricantes suministren múltiples factores de autenticación para el acceso a las cuentas online.
- Crear un mecanismo de protección integrado en caso de fallas: Los errores ocurren. Por eso, los productos deberán ofrecer la posibilidad de revertirse a un estado predeterminado que mantenga el acceso a las funcionalidades críticas y no ponga en peligro a los usuarios cuando se produzca algún problema.
- Asumir que el código se puede llegar a usar con fines maliciosos: El código legítimo puede manipularse para que el dispositivo ejecute código no autenticado. Es de vital importancia manejar los errores teniendo siempre en cuenta esta posibilidad.
- Prepararse para vulnerabilidades: Establecer y publicar una política de revelación responsable para informar las vulnerabilidades.
- Prepararse para posibles brechas de seguridad: Es necesario crear un plan de respuesta a incidentes para poder reaccionar correctamente en caso de una fuga de datos. De esta forma, en el caso de una emergencia, tu respuesta será más rápida y te permitirá elegir tus palabras sabiamente.
- Prepararse para el escrutinio gubernamental: Hay diversas organizaciones, como la Comisión Federal de Comercio (FTC) y la Administración de Alimentos y Drogas (FDA) en los Estados Unidos, que monitorean de cerca el ámbito de los dispositivos médicos, por lo que implementar cambios ahora puede ayudar a evitar problemas legales y multas considerables en el futuro.
Es probable que la seguridad de la industria de la salud se convierta en el foco de atención a medida que la Internet de las Cosas se abre paso en nuestros hogares y lugares de trabajo. Es nuestro deber mejorar la postura global de seguridad en las organizaciones para reducir la frecuencia y la gravedad de todo tipo de incidentes.
Para más información sobre los riesgos de seguridad para establecimientos médicos y cómo afrontarlos, no te pierdas esta infografía: