Conectividad, digitalización y ciberdelitos suelen ir de la mano. Estamos inmersos en un mundo cada vez más conectado, pero también más expuestos a nuevos riesgos de ciberataques asociados a dicha hiperconectividad. Las tecnologías de la información, bien utilizadas, permiten realizar tareas de forma más eficaz, rápida, ágil y automatizada; atender mejor a clientes y colaboradores, optimizar la cadena de valor de las organizaciones. Pero la conectividad también abre la puerta a la posibilidad de ciberataques que alteren de forma ilícita, los recursos y datos digitales de las organizaciones, ralentizando su funcionamiento y afectando gravemente a la reputación de las empresas.
Dentro de este mundo conectado, los hospitales son un caso paradigmático, ya que dependen, cada vez más, de sistemas de información y de dispositivos conectados de muy diferentes tipos. La digitalización mejora los procesos administrativos como son los Sistemas de Gestión de la Atención Sanitaria, Sistemas de Información Clínicos (CIS), Sistemas de Información Hospitalaria y Registro Médico Electrónico (HIS-EMR), los sistemas de Información de Laboratorios (LIS). La digitalización también optimiza la comunicación de la cadena de valor y posibilita funciones clínicas cada vez más avanzadas para el tratamiento y diagnóstico de paciente con Sistemas de Información Radiológicos (RIS), Sistemas de Comunicación y archivos de Imagen (PACS), sistemas DICOM para diagnóstico por Imagen, etc.
“Los hospitales tienen necesidad de adoptar medidas estratégicas y estructurales en el campo de la ciberseguridad”
Los hospitales tienen necesidad de adoptar medidas estratégicas y estructurales en el campo de la ciberseguridad. Una caída, falta de disponibilidad de las tecnologías, datos o equipamientos puede resultar en una amenaza grave para la normalidad operativa de la organización y, consecuentemente, en la atención a tiempo y de calidad a los pacientes, y un riesgo directo para la salud de los ciudadanos.
“Los pilares de la Seguridad de la Información se basan en preservar fundamentalmente tres propiedades del dato: confidencialidad, integridad y disponibilidad”
Un hospital es extremadamente sensible a ataques sobre la confidencialidad del dato, pero también lo es frente a la integridad y la disponibilidad de los datos de los pacientes y de los propios sistemas de tratamiento y diagnóstico, que resulta igualmente crítica. Frecuentemente deben estar operativos 24 horas al día para realizar su función, y cualquier incidencia que los deje inoperativos impactará en la calidad de la asistencia sanitaria.
Desde el punto de vista de los dispositivos conectados al sistema hospitalario, cabe destacar diferentes grupos:
- Elementos electrónicos comunes con otros sectores, tales como equipos de red conectados tanto de forma cableada como inalámbrica, puestos de trabajo, dispositivos móviles, etc.
- Un número creciente de dispositivos IoT convencionales, cámaras, sensores, localización de activos, etc.
- Dispositivos muy específicos del entorno sanitario, tales como dispositivos médicos de tratamiento y diagnóstico avanzados, (radiología, radioterapia o escáneres). Son equipos informatizados, muy interconectados (DICOM, RIS). Deben estar siempre disponibles y generan información altamente confidencial. Su funcionamiento crítico hace que organizaciones externas realicen operaciones de mantenimiento y soporte, requiriendo acceso remoto con privilegios. Son adquiridos por profesionales de la medicina, con limitados conocimientos digitales, sin requisitos claros de ciberseguridad. Requieren grandes inversiones económicas y tienen una vida útil de muchos años, por lo que frecuentemente usan versiones de sistemas operativos antiguas, sin actualizaciones periódicas, ni parches de software. No suelen estar inventariados por los departamentos IT, responsables de la ciberseguridad del hospital. Hablamos de elementos muy vulnerables y deben contar con una protección de ciberseguridad específica.
- Dispositivos médicos portátiles e individuales, característicos también del entorno hospitalario. Pueden conectarse tanto desde dentro como desde fuera del perímetro hospitalario para compartir datos de salud y estado del paciente (wearables, holters, marcapasos, desfibriladores cardíacos,etc.) La proliferación de dispositivos médicos IoT (IoMT-Internet of Medical Things) ha requerido una revisión del marco regulatorio por parte de la Unión Europea (normativa MDR) para manejar su complejidad y asegurar su eficacia y calidad durante todo su tiempo de vida. Suponen un reto desde el punto de vista de la ciberseguridad, generan datos confidenciales críticos para la salud de los pacientes y es frecuente su interacción con aplicaciones móviles y el cloud.
- Infraestructura de edificio inteligente del propio hospital. Añaden, a los servicios específicos de cualquier edificio, otros específicos de la actividad sanitaria (control ambiental avanzado, iluminación personalizada, O2, etc.). Muchos de estos sistemas están automatizados y conectados, con una tendencia a administrarse desde una plataforma única multiservicio (plataforma BMS). Parte de la información debe intercambiarse con la red corporativa, pero la administración y conectividad de estos sistemas dependen rara vez del personal de IT, por lo que escapan a las medidas de ciberseguridad corporativas.
La combinación de factores como la criticidad de los sistemas y datos, la evolución hacia sistemas en cloud, la variedad de aplicaciones y procesos interrelacionados, el elevado número y enorme variedad de dispositivos con características diferentes, o la escasa autoprotección de algunos de dichos dispositivos, hace que el sistema hospitalario se caracterice por su alta vulnerabilidad a los ciberataques y confieren una complejidad y características singulares a las soluciones de ciberseguridad.
“Los hospitales son un objetivo muy atractivo para los ciberdelincuentes”
Desde el punto de vista del ciberataque, los hospitales son un objetivo muy atractivo para los ciberdelincuentes. En general, cualquier ciberataque puede acarrear un grave impacto económico y reputacional a cualquier organización, pero cuando dicho ciberataque se produce sobre una organización sanitaria, hay que considerar la posibilidad de que haya incluso vidas en juego.
Del ransomware a la modificación de imágenes diagnósticas mediante IA
A pesar de las peculiaridades del entorno hospitalario, los ataques más comunes siguen siendo los de ransomware. El ramsomware permite al atacante rentabilizar el ataque y obtener un beneficio económico directo en caso de éxito. Un ataque de ramsomware puede provocar pérdida de datos e indisponibilidad de los dispositivos afectados especialmente si alcanzan información de sistemas y dispositivos operacionales clave.
Existen también ataques mucho más sofisticados en el entorno hospitalario. Uno especialmente llamativo consiste en lograr acceso a la red hospitalaria para modificar mediante Inteligencia Artificial (IA) las imágenes diagnósticas. El objetivo es alterar las imágenes diagnósticas para condicionar el criterio médico y posterior tratamiento del paciente. El tratamiento malintencionado de la imagen permite actuar en los dos sentidos, hacer desaparecer la evidencia de cáncer cuando existe, o hacerlo aparecer en la imagen diagnóstica cuando no existía en la realidad. La sofisticación del ataque es tal que un especialista médico experto no es capaz de detectar la manipulación realizada artificialmente sobre la imagen.
Con independencia del tipo de ciberataque al que se vea sometido un hospital, es necesario considerar una solución de seguridad integral, que abarque medidas tanto organizativas como técnicas, considerando diferentes aproximaciones: legal, normativo, tecnológico y educativo.
Las medidas legales y normativas son claves porque la certeza de sufrir una sanción administrativa invita a adoptar medidas complementarias de seguridad. Quizás la norma más conocida es GDPR (Reglamento General de Protección de Datos), vela por la privacidad de los datos en cualquier organización, incluido el entorno hospitalario. GDPR establece las reglas para el procesamiento y la libre circulación de datos personales y se aplica a todos los dominios del sector público y privado. GDPR trata los datos de salud como una “categoría especial” considerados sensibles por naturaleza, imponiendo un estándar más alto de protección para su procesamiento, y una serie de obligaciones, como medidas técnicas para garantizar la seguridad de los datos personales, evaluación de impacto e información sobre violaciones de datos dentro de las 72 horas tras su conocimiento.
En la mayoría de los Estados de la Unión Europea, los hospitales se consideran Operadores de Servicios Esenciales (Directiva NIS- Network and Information Security). NIS requiere el despliegue de medidas de ciberseguridad mínima y notificaciones de brechas de ciberseguridad. Los organismos reguladores pueden, además, realizar auditorías. Esta presión legal y normativa debería traducirse entre otros aspectos, en forma de requisitos de ciberseguridad para todos los productos sanitarios que se adquieren e incorporan a la red hospitalaria.
El Reglamento de dispositivos médicos (MDR) incluye disposiciones específicas relacionadas con la seguridad informática para los dispositivos médicos (algunos encuadrados tecnológicamente como Internet of Medical Things). Los requisitos generales de seguridad y rendimiento definidos dentro del MDR incluyen repetibilidad, fiabilidad y rendimiento, principios del ciclo de vida del desarrollo, gestión de riesgos, verificación y validación, uso de software en combinación con plataformas informáticas móviles, y medidas de seguridad de TI, incluida la protección contra el acceso no autorizado.
Otro aspecto importante de una estrategia de seguridad son las medidas educativas, para que todos los individuos que participan en la actividad hospitalaria, especialmente si trabajan con dispositivos conectados, sean capaces de entender que la mayoría de los incidentes de seguridad comienzan por un descuido humano.
Estrategia Zero-Trust
En cuanto a las soluciones tecnológicas de seguridad en un entorno hospitalario, desde Axians sugerimos adoptar una estrategia de protección o defensa en profundidad y de confianza cero (Zero-Trust).
La estrategia de defensa en profundidad, parte de la premisa de que cualquier sistema puede ser vulnerado. No se debe delegar la seguridad de un sistema en un único método o componente de protección, sino en varias capas de protección, incluyendo end-points, equipamiento de red, y plataformas específicas de ciberseguridad.
La estrategia de confianza cero viene de la tendencia a una ampliación de la superficie de ataque (escasez de habilidades o atención en empleados, y crecimiento de las aplicaciones cloud y dispositivos móviles). Esta estrategia pasa por realizar una gestión de la identidad de usuarios y dispositivos y unas políticas de privilegio mínimo para cada usuario/dispositivo. Soluciones de racionalización del acceso remoto, Gestión de identidades (IAM) y Gestión de Accesos privilegiados (PAM) son elementos clave en esta estrategia. Aspectos como el doble factor de autenticación permiten reducir el riesgo de compromiso de credenciales y controlar el acceso a los datos con el adecuado nivel de privilegio.
Inventario y segmentación, claves para una correcta protección
El primer paso para definir cualquier solución de ciberseguridad es disponer de un inventariado de los dispositivos que se conectan a la red. Conocer las características de dichos dispositivos, su criticidad como parte del sistema hospitalario, su capacidad para autoprotegerse, actualizarse, la relación de vulnerabilidades de seguridad hardware y software.
Otro factor importante es conocer los patrones de tráfico y comportamiento de los elementos que se conectan a la red del hospital. En muchas ocasiones los propios dispositivos finales se identifican automáticamente, de forma que se les puede asociar un conjunto de características e identificarlos de forma precisa. En otras ocasiones, ciertos dispositivos requieren de un análisis de tráfico en profundidad (DPI) para identificarles con precisión.
El segundo paso consiste en dividir la red en partes lógicas menores, agrupando los dispositivos que se conectan a la red en grupos con entidad propia. Esta división de la red la denominamos segmentación y basándonos en la información de los dispositivos y en los patrones de tráfico puede inferirse a qué grupo tiene sentido que se asocie un determinado dispositivo. Una correcta política de segmentación debe contemplar también un mecanismo de microsegmentación que permita el aislamiento eventual de un dispositivo en caso de verificarse una infección, para evitar el contagio.
Si los conceptos de inventariado y segmentación queremos extenderlos a dispositivos particulares del entorno médico es importante contar con herramientas específicas que permitan identificar dichos dispositivos de forma precisa y compartir información sobre vulnerabilidades y patrones de comportamiento.
La protección de los dispositivos de red, comienza por la propia autoprotección de cada dispositivo conectado, siendo clave mantener actualizados y parcheados los sistemas operativos. No todos los sistemas operativos han sido diseñados con la seguridad como premisa (caso de muchos dispositivos IoT), algunos de ellos cuentan con aplicaciones de End Point Protection (EPP) para evitar la acción de virus y malware, y permitirán proteger y monitorizar si el dispositivo está siendo víctima de un ataque, o de un escalado de privilegios que pueda presagiar un ataque.
“Un aspecto clave es realizar una política de Control de acceso a la red (herramientas NAC)”
Un aspecto clave es realizar una política de Control de acceso a la red (herramientas NAC), en función del cuál, se caracteriza cada equipo de la red y se controlan las reglas de comunicación permitidas para dicho dispositivo en función de sus características. Correctamente administradas permiten implementar de forma escalable las políticas de Zero-Trust reduciendo los privilegios de los dispositivos a los mínimos necesarios para realizar correctamente sus funciones dentro de la red. Las soluciones NAC basan su eficacia clasificando dispositivos en base a la información contextual disponible a partir de distintos y variados mecanismos, desde equipos de red hasta información de DNS o datos de autenticación.
La principal protección activa de red cae del lado de equipamiento como firewalls, que pueden complementar su función básica de controlar los flujos autorizados de tráfico con herramientas de inspección de paquetes (IPS) para detectar patrones de comportamiento de tráfico anómalos que apuntan a un posible ataque de red. Los Firewalls más críticos interconectan la red corporativa, Internet, el Data Center, o la red interna del Smart Building. Deberán considerarse en configuraciones de alta disponibilidad. Otro nivel de firewalls permitirán la comunicación controlada y monitorizada entre los diferentes segmentos creados dentro de la red corporativa. Es común que los actuales firewalls actualicen información sobre amenazas dinámicamente desde el Cloud, usando bases de datos globales, lo que les permite estar actualizados al máximo en lo que se refiere a la detección de incidentes. También es importante que los Firewalls sean capaces de proteger especialmente a los dispositivos finales más vulnerables, como los dispositivos IoT y aquellos que usan sistemas operativos antiguos o no actualizados.
La arquitectura de seguridad no acaba aquí, hay otros muchos aspectos que merecen tratamiento aparte, como el control del correo electrónico, o la securización de los dispositivos inalámbricos y móviles entre muchos otros. Mención especial requiere poder disponer de una plataforma unificada que permita concentrar todos los mensajes de seguridad generados por los diferentes elementos de la red, para tener una visión global y poder detectar intrusiones en tiempo real.
“Las necesidades de ciberseguridad no deben ser un elemento que retrase el proceso de digitalización hospitalaria, sino que debe formar parte de la propia solución digital y debe desarrollarse en paralelo”
En resumen, la conexión de la infraestructura del hospital con el mundo exterior es frecuente y variada. Mientras el mundo digital no cambie mucho, incluida la propia concepción de Internet, esta conexión con el mundo exterior, además de permitir la comunicación con pacientes, trabajadores, socios y colaboradores, suministradores y proveedores, es también una puerta entreabierta para ciberataques capaces de hacer temblar los cimientos hospitalarios. Las necesidades de ciberseguridad no deben ser un elemento que retrase el proceso de digitalización hospitalaria, sino que debe formar parte de la propia solución digital y debe desarrollarse en paralelo a la incorporación de nuevos dispositivos y a su conectividad. Todo ello con el objetivo de poner al servicio de la población los avances científicos y tecnológicos en el campo de la medicina y la salud.
