Editor Top
Kevin Fu. Crédito: Universidad de Michigan
Los hospitales estadounidenses fueron testigos de una avalancha de violaciones de seguridad a lo largo de 2021, con más de 40 millones de registros de pacientes comprometidos en incidentes informados al gobierno federal. Algunos ataques incluso amenazaron la prestación de atención médica, golpeando sistemas de comunicaciones fuera de línea durante semanas o causando un interrupción en la radioterapia.
Kevin Fu, profesor asociado de la Universidad de Michigan y director interino de Ciberseguridad de Dispositivos Médicos en el Centro de Dispositivos y Salud Radiológica de la FDA de EE. UU., se reunió con nosotros y discutió la alarmante tendencia y qué medidas son posibles para abordarla.
Cuéntenos sobre el alcance de este problema.
2021 fue un año bastante importante para los ataques de ransomware en la prestación de atención médica. Es muy perturbador y llega al corazón de los puntos débiles de la seguridad: el elemento humano se cuela.
En abril, en la FDA, vimos la primera instancia en la que el ransomware fue más allá de interrumpir los registros de salud electrónicos, lo que hasta la fecha era un problema bastante común e inconveniente. Este ataque afectó la seguridad y la eficacia de la radioterapia para la oncología radioterápica del cáncer.
Este ataque se dirigió a un fabricante, invadió una nube privada que usaban para la dosimetría de oncología radioterápica con ransomware y provocó una interrupción significativa en los hospitales que usaban su tecnología. Lo interesante es que no fue el ransomware en sí mismo, sino el proceso de remediación, lo que causó la interrupción. El fabricante siguió su libro de jugadas de seguridad de TI al desconectar su nube cuando estaba infectada.
Desafortunadamente, eso significaba que la nube no estaba disponible para una línea de productos de oncología radioterápica en particular, por lo que los hospitales que usaban el producto no podían administrar la radioterapia.
Cuando pensamos en el ransomware del hospital, tendemos a pensar en el edificio en sí y los dispositivos que están confinados a esas paredes, pero en realidad parece que los puntos de falla en riesgo se extienden hasta la cadena de suministro.
Sí, y creo que un verdadero desafío es un cambio de pensamiento. Hay sistemas de TI (correo electrónico, conferencias en el aula, cosas como esta) y tienen su propio conjunto de riesgos. Pero, por otro lado, está la tecnología operativa, lo que llamamos OT, que incluye cosas como dispositivos médicos, vehículos autónomos o activos satelitales en el espacio. Tienen un conjunto diferente de requisitos y tienden a centrarse primero en la seguridad.
Por lo tanto, si bien puede tolerar desconectar el sistema de correo electrónico de una empresa debido a un incidente de seguridad, eso no es realmente algo sobre la mesa para un sistema cinético donde la vida de las personas depende de ello.
¿Porqué ahora? ¿Hay alguna razón en particular por la que este es un problema creciente?
Yo sugeriría múltiples factores. Estos problemas se han incorporado a la informática desde el principio, y este tipo de ataque muy bien podría haberse ejecutado en la década de 1960.
Pero creo que la razón por la que está sucediendo en 2022 es que hemos llegado a un punto de inflexión en el que se ha disparado el grado de conectividad entre dispositivos y servicios en todos los sectores. Ahora dependemos de la computación distribuida. Hace cinco o diez años podríamos haber empleado la computación en la nube por conveniencia, o tal vez para respaldo o almacenamiento secundario. Pero ahora se está moviendo hacia la ruta crítica, es parte de los componentes esenciales de un dispositivo médico. Y si falla, el dispositivo médico pierde su funcionalidad terapéutica central.
Es una era dura. No hay nada intrínsecamente malo con la computación en la nube, pero debe controlar los riesgos de acuerdo con su modelo de amenazas. Y mi observación es que el modelo de amenaza para un dispositivo médico es muy diferente del correo electrónico corporativo.
¿Hay alguna debilidad principal que sea fácil de abordar?
La fruta al alcance de la mano en términos de facilidad de reparación sería lo que se conoce como modelado de amenazas. Esto es algo que enseñamos en los cursos de seguridad informática. Implica jugar el papel del adversario, tratando de pensar en cómo el sistema podría resistir no solo las amenazas de hoy, sino también las amenazas futuras.
Esto es algo que creo que puede ser muy útil porque, incluso con un dispositivo heredado, los fabricantes pueden comprender mejor lo que está en riesgo. Comienzan reconociendo que el dispositivo es susceptible al malware moderno porque fue diseñado hace 20 años.
¿Los ataques a registros de pacientes se dirigen con más frecuencia a hospitales aislados o se dirigen a servidores compartidos?
Todavía no tengo conocimiento de que un proveedor de la nube sea el objetivo específico porque atiende a una multitud de fabricantes de dispositivos médicos. No me sorprendería si esto sucede accidentalmente en algún momento.
Ciertamente esperamos que los proveedores de servicios en la nube que atienden a la industria de la salud presten atención al desarrollo de algunos estándares para garantizar que los dispositivos de los hospitales sigan siendo seguros y efectivos, incluso si usan la nube.
Esto es posible de lograr desde una perspectiva de ingeniería, pero requiere pasos conscientes y deliberados si desea una seguridad razonable. No quieres tener seguridad por suerte, quieres tener seguridad por diseño.
¿Cuál es el mensaje para las partes interesadas y el público?
Este no es un evento del tipo correr por las colinas, es más bien un hervor lento.
El público puede tener cierto grado de satisfacción de que las diferentes agencias reguladoras en diferentes países estén trabajando juntas con anticipación en estos temas. Están trabajando para ayudar a mantener informados a los hospitales sobre los riesgos de seguridad de cada dispositivo, para que puedan implementarlos de manera segura.
Están sucediendo muchas cosas en segundo plano, tanto técnicas como políticas, que van a mejorar los dispositivos.
La FDA está trabajando estratégicamente en el desarrollo de estándares para diseñar una gran cantidad de riesgos de seguridad, pero el desafío es que hay bastante software heredado en el mercado, gran parte de él con décadas de antigüedad. Tratar de mantener seguros esos dispositivos es increíblemente desafiante una vez que el caballo está fuera de la puerta.
Con ese fin, también hay muchas medidas temporales en marcha para abordar los dispositivos heredados obsoletos. Es desafiante, pero no imposible, mantener estos dispositivos seguros y efectivos hasta que esté disponible un dispositivo más ideal, con seguridad integrada desde el principio.
El aumento de ransomware pone en peligro los hospitales a medida que se intensifica la pandemia
Citación: ¿Qué tan preocupados deberíamos estar por el aumento de los ataques de ransomware en hospitales? (2 de febrero de 2022) recuperado el 2 de febrero de 2022 de https://techxplore.com/news/2022-02-hospital-ransomware.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
