Ciberseguridad y salud

20/12/21

Los ciberataques a las infraestructuras sanitarias se están intensificando en número y calidad y tienen cada vez más éxito, lo que pone de manifiesto la necesidad de mejorar las estrategias de prevención y respuesta. Describiremos brevemente las principales áreas tecnológicas y organizativas en las que es necesario prestar atención de inmediato y tomar acciones también a nivel presupuestario.

La instrumentación médica ahora está impregnada de digital y, por lo tanto, está sujeta a ataques cada vez más peligrosos, por este motivo, debe estar adecuadamente protegida. En el sector salud, la mayoría de los datos tratados pueden ser clasificados como sensibles y son utilizados de diferentes formas por diferentes tipos de usuarios, y para ello, en consecuencia, deben ser gestionados y protegidos con acciones preventivas y protectoras. A continuación, abordaremos también el tema de los servicios de seguridad gestionada que pueden ser determinantes para ayudar a las organizaciones sanitarias a incrementar su eficacia en la prevención y respuesta a los riesgos de Ciberseguridad de altas competencias, difíciles de obtener sin impactos excesivamente gravosos para las propias estructuras.

Evolución y panorama actual del riesgo cibernético

En 2019, una mujer de Alabama demandó a un hospital local por no informarle que había recibido un ciberataque el día anterior. Según la mujer, durante el parto, el personal sanitario no contaba con la plena disponibilidad de las herramientas digitales necesarias durante la intervención y esto habría provocado daños antes y posteriormente de la muerte del recién nacido. El hospital dijo que el ataque ocurrió el día antes del nacimiento. La fiscalía argumentó que la mujer, de haber sido informada del ataque, podría haber cambiado de decisión, eligiendo otra estructura. 

Otro episodio importante, que tuvo lugar en septiembre de 2020, ve la muerte de una mujer debido a un ciberataque en Alemania. El ataque de tipo ransomware hizo que los servicios de recepción digital no estuvieran disponibles y, por lo tanto, la mujer se vio obligada a ser trasladada a otro hospital. El retraso provocó su muerte.

En Italia, el estado del arte no parece ser mucho más favorable, aunque hasta la fecha no ha habido casos de este tipo.

Precisamente, en el transcurso de 2021 se produjeron hasta 30 incidentes, ataques y violaciones a la privacidad que afectaron al mundo de la salud, según informa gráficamente el informe del 3T 2021 de laObservatorio de Ciberseguridad Exprivia. Numerosos ataques se registraron a principios de año, mientras que los incidentes (ataques exitosos) en menor medida.

A pesar de un dato positivo en términos de seguridad, la buena noticia termina ahí. De hecho, durante el segundo trimestre de 2 y el tercer trimestre de 2021, la brecha entre ataques y accidentes se redujo drásticamente.

Analizando los datos en detalle, este aumento de incidentes de seguridad indica inevitablemente una mayor atención de los ciberdelincuentes en la realización de ataques cada vez más sofisticados y, en segundo lugar, una menor atención por parte de los usuarios y operadores que se convierten en víctimas.

Además del delito cibernético, las violaciones de la privacidad denunciadas por el Garante son de considerable importancia. Hay 12 informes en la primera parte del año y este aspecto, que ciertamente no se remonta a actividades delictivas, sugiere fuertes reflejos desde el punto de vista organizativo y estructural.

Última consideración sobre los datos en Italia recopilados y analizados por elObservatorio de ciberseguridad di Exprivia, se refiere a las técnicas de ataque utilizadas contra las estructuras y los sistemas de salud; dominan las técnicas que permiten la explotación de vulnerabilidades conocidas y el seguimiento de campañas de phishing con resultados fatales.

Mientras que por un lado el bienestar de una comunidad no puede ignorar la necesidad de invertir en salud, haciéndola cada vez más efectiva desde el punto de vista organizativo, haciendo el mejor uso de las tecnologías que el mercado pone a disposición, por otro lado Es impensable que estos beneficios no pasen por un proceso de digitalización agresivo que vaya acompañado de una evaluación continua del riesgo de TI asociado.

Cuanto mayor sea el uso de los servicios digitales, mayor será la exposición de estos servicios a los ataques y las consiguientes incidencias. 

Por lo tanto, a la luz de los datos que tenemos en nuestro poder, se describen las áreas de mayor atención y sugerencias relacionadas.

Conciencia de los riesgos relacionados con un ciberataque

Aunque los atacantes tienen la oportunidad de explotar técnicas extremadamente sofisticadas, el incidente suele ser causado por ser víctimas de trampas perpetradas a través de campañas de phishing que son extremadamente triviales para los profesionales, pero que pueden resultar menos obvias para el personal con diferentes funciones y especializaciones. En concreto, el personal especializado en informática es un porcentaje mínimo de los que trabajan en contacto directo o indirecto con el paciente (médicos, enfermeras ...). Por lo tanto, no debería sorprendernos que el phishing represente una gran parte de las metodologías de ataque utilizadas en la atención médica. 

Por tanto, es necesario invertir en programas de sensibilización. El cortafuegos humano suele ser la barrera más eficaz contra el ciberdelito. 

Verificación del grado de conciencia

El siguiente paso, después de haber sensibilizado y adquirido conciencia, es invertir en el control de la calidad del enfoque, evaluando así cómo los distintos programas de sensibilización han introducido mejoras.

Certificazione

La certificación de habilidades es una de las mejores prácticas de la industria que no se puede ignorar ni siquiera en el campo de la salud. Hacer que los programas de concientización obtengan certificaciones en las plataformas adecuadas (por ejemplo, Open Badge 2.0) es una consecuencia de esto. 

Rango cibernético

Para verificar qué tan alta es la conciencia de las personas y qué tan preparada está la organización de salud para gestionar un ciberataque, es posible realizar simulaciones y observar el comportamiento de la población. Esta práctica, conocida como cyber-range, es común en entornos de TI y en otras industrias que pueden utilizar marcos desarrollados ad hoc (por ejemplo, TIBER-EU), pero que deben y pueden adaptarse al mundo de la salud. 

Actualización de dispositivo y confianza cero

La mayoría de los ataques exitosos en la industria de la salud se deben a vulnerabilidades conocidas y, por lo tanto, son incidentes evitables. Esto no debería sorprender, ya que el perímetro en la atención médica es extremadamente extenso y el control físico es difícil de monitorear, ya que a menudo se utilizan dispositivos de TI individuales. Tener una gestión única de la infraestructura que identifique y haga cumplir las políticas, debido a la diversidad de los servicios ofrecidos, a la heterogeneidad del personal que accede a los servicios, es sumamente difícil y complejo. 

También hay que añadir que la digitalización implica una fuerte interconexión de servicios y dispositivos y, por tanto, el mal funcionamiento de uno podría ocasionar problemas a un paciente aparentemente no implicado en el accidente.

En Alemania, la muerte del paciente es consecuencia del ataque al servicio de recepción de pacientes, que aparentemente puede no parecer extremadamente crítico ya que es reversible.

Protección de dispositivos sanitarios digitales

La atención médica y la medicina en general, ven cada vez más herramientas electrónicas en apoyo del diagnóstico, la terapia y el manejo del paciente. El uso de dispositivos inteligentes (IoT) son prueba de ello.

Estas herramientas, cada vez más numerosas en los hospitales y a menudo confiadas directamente a los pacientes, ofrecen por un lado la oportunidad de mejorar cualitativa y cuantitativamente el trabajo del personal sanitario, por otro lado, lamentablemente, exponen el centro sanitario a ciber-tipo. Ataques que pueden ser extremadamente peligrosos y causar daños importantes a personas y cosas.

Los dispositivos de IoT son extremadamente atractivos para los ciberdelincuentes, ya que pueden usarse como base para ataques de denegación de servicio distribuido (DDoS). No solo eso, son frecuentes los casos en los que los malintencionados han interrumpido los servicios de salas enteras del hospital pidiendo uno o más rescates (la denominada doble extradición).

Por tanto, es inevitable y necesario empezar a diseñar las estructuras de las redes y las tecnologías de la información de acuerdo con estos factores de riesgo y prever los instrumentos de defensa adecuados.

Es necesario adoptar políticas de confianza cero que también utilicen técnicas de microsegmentación de red para evitar que los dispositivos protegidos de manera inadecuada entren en contacto con personas y otros dispositivos que tienen políticas de seguridad diferentes. 

Privacidad y protección de datos

Cuando hablamos de ciberseguridad solemos referirnos a la posibilidad de que se interrumpa un servicio. Sin embargo, no podemos olvidar que en Italia se han producido violaciones de datos relacionadas con la privacidad por encima de los incidentes de seguridad en el mundo de la salud. 

A esto se suma el hecho de que a los delincuentes muchas veces les interesa no tanto interrumpir el servicio, sino robar datos (últimamente también se han desarrollado técnicas de doble extorsión en las que primero se roban los datos y luego se encripta la base de datos para poder chantajear la víctima para restaurar los datos, pero también para devolver los datos). 

De hecho, si los datos son fundamentales para la ejecución del servicio, en salud es extremadamente crítico y atractivo en el mercado negro. De manera más general, los datos son "críticos" porque ayudan a las máquinas a hacer que los pacientes vivan, pero también son "sensibles". Si por un lado los datos deben protegerse de posibles interferencias maliciosas, por otro lado es necesario garantizar un alto nivel de protección de la privacidad.

Por ello, se requieren diferentes niveles de protección, como la adopción de técnicas de cifrado adecuadas tanto en el almacenamiento como durante la transmisión, una cuidadosa elaboración de perfiles de los usuarios / sistemas y roles que pueden acceder a ellos y finalmente un control continuo de las actividades capaces de identificar Actos fraudulentos tanto de actores externos como internos de la organización. 

Las peculiaridades de los datos personales en el sector de la salud sugieren estrategias de gestión particulares

Los datos sanitarios se caracterizan por ser objeto de tratamiento simultáneo por al menos tres macrocategorías de usuarios y diferentes servicios al mismo tiempo:

  • evidentemente, están sujetos a uso desde un punto de vista clínico para apoyar al personal médico en la gestión de las actividades diagnósticas y terapéuticas;
  • al mismo tiempo, los datos también se utilizan para respaldar la estructura operativa del hospital para poder administrar adecuadamente las operaciones, los costos y los equipos;
  • finalmente, los datos sanitarios suelen ser de interés para la investigación con fines estadísticos o analíticos, también en este caso con características específicas de uso.

Estos tres enfoques que convergen en los mismos datos en realidad no siempre tienen la necesidad de acceder a todo el conjunto de información presente, ni de hacerlo de la misma manera.

Por ejemplo, el tratamiento con fines científicos probablemente nunca necesite acceder a los datos de identidad personal de las personas que son imprescindibles para los otros tipos de tratamiento, viceversa los tratamientos de gestión y operativos, generalmente no necesitan entrar en detalles particulares sobre los aspectos análisis médico de información relacionada con una determinada persona, pero más típicamente se detienen en factores cuantitativos, como el número y los tipos de pruebas diferentes, independientemente del resultado de las pruebas en sí.

Estas consideraciones sugieren adoptar de inmediato una estrategia de protección y acceso de datos que tenga en cuenta estas diferencias de uso y que permita una segmentación eficiente y efectiva de los datos y sus niveles de acceso.

Por ello es recomendable que desde la etapa de planificación de las bases de datos se planteen estrategias de protección de la información clasificada y granular, precisamente porque no todos los usos requieren toda la información en su conjunto. Aunque esto puede parecer más complejo al principio que una gestión monolítica del cifrado, teniendo en cuenta el ciclo de vida completo de los datos y la necesidad de control de acceso, este no es el caso porque los perfiles de acceso individuales son más fáciles de proteger y exponen menos datos. . 

La segregación preventiva y granularidad del enmascaramiento criptográfico representan un factor importante en el diseño de las propias estrategias de retención de protección según los diferentes usos, exponiendo menos información durante el uso y luego simplificando toda la parte de control y la protección de los resultados del procesamiento. 

Organización de la seguridad sanitaria

Las estructuras sanitarias aspiran a la protección y el bienestar del individuo, por lo que son principalmente organizaciones diseminadas y estructuradas en el territorio. Esto implica que deben estar distribuidos básicamente en el territorio y ser ágiles. 

Esta característica, por supuesto, plantea algunos desafíos en el contexto de la gestión de la seguridad cibernética, principalmente porque las habilidades y estructuras de seguridad que son necesarias para poder cumplir el rol y proteger con la mejor efectividad posible, son difíciles de organizar en pequeños y pequeños. Estructuras territoriales de tamaño medio, ya sea por una falta intrínseca de competencias en el actual sector de la seguridad, pero también y sobre todo por evidentes consideraciones económicas y organizativas. 

Por tanto, se considera oportuno evaluar la adopción de estrategias organizativas que favorezcan el intercambio y la usabilidad de competencias altamente especializadas y más críticas para el Cibersector para que puedan ser compartidas por más estructuras con mayor eficiencia y economía.

Por tanto, el enfoque basado en servicios gestionados es de gran interés porque permite el acceso a las mejores competencias en los múltiples y diferentes sectores específicos del sector de la seguridad, cuando y como sea necesario, sin asumir cargas económicas excesivas y sin forzar cifras internas. a cursos de formación de excesivo compromiso en cuanto a conocimientos y habilidades. 

La seguridad cibernética está en constante evolución estructural, con nuevos enfoques y nuevas estrategias debido a la adopción de nuevas tecnologías. Es impensable que sea una estructura ágil como un hospital que pueda equiparse con todas las habilidades de Ciberseguridad que ahora son indispensables dentro de sus estructuras de TI. 

Fabián Vincenzo Malerba (Investigador de seguridad de Exprivia)

Eventos

Haga clic en los días resaltados en rojo y descubra qué hay en evidencia.
Historias de vida militar
Envíenos su historia
Homenaje (debido) al 80º de infantería "Roma" que se despide con honores

Bueno, sí, ya estamos acostumbrados a asistir al cierre de los cuarteles y quizás incluso un poco a enterrar la larga historia de los departamentos, un fenómeno que sin embargo no borra los recuerdos. También tocó...

Lea la historia
"Il Signor Parolini" (novena parte)

El pollo al horno, como era de esperar, había estado a la altura de su reputación, consolidando, donde era necesario, la maestría culinaria indiscutible de Gastone, jefe ...

Lea la historia