Como lo han demostrado muchos estudios, las casas "inteligentes", los coches "inteligentes" y las ciudades "inteligentes", no sólo tienen beneficios innegables para la vida cotidiana del individuo, sino que también a menudo representan una amenaza para su seguridad. El auge tecnológico en la medicina no sólo ha provocado la transición de instituciones de la salud a sistemas de procesamiento de información, sino que también ha conducido a la creación de nuevos tipos de equipos médicos y dispositivos personales que pueden interactuar con los sistemas y redes clásicas. Esto significa que las amenazas que son relevantes para estas últimas también pueden alcanzar a los sistemas de salud, según un informe de Kaspersky Lab.
Puntos de entrada para obtener acceso a datos valiosos
Los datos personales del paciente y la información sobre su salud son el principal vector de los ataques en el contexto de la industria médica. Para evaluar la seguridad de estos datos, primero hay que identificar los puntos de la infraestructura de las instituciones médicas que pueden acumular datos médicos o que pueden ser utilizados por un atacante.
Estos puntos pueden agruparse de la siguiente manera:
- sistemas informáticos (servidores, estaciones de trabajo, paneles de administración de equipos médicos, etc.) de la red informática de la institución médica que pueden estar conectados a Internet;
- equipos médicos conectados a la red corporativa;
- equipos médicos que no son nodos de red pero que están conectados a una estación de trabajo (por ejemplo, mediante USB);
- dispositivos móviles del paciente (pulseras deportivas avanzadas, marcapasos y monitores, bombas de insulina, etc.), así como dispositivos móviles con funciones de seguimiento de los indicadores de salud (teléfonos móviles, relojes "inteligentes");
- y finalmente, otros sistemas de información, accesibles a través de una conexión inalámbrica (Wi-Fi, Bluetooth, RF): electroencefalógrafos móviles, oxímetros, sensores de acontecimientos para supervisar pacientes de riesgo elevado, etc.
Datos médicos en Internet
Las instituciones médicas utilizan sistemas automatizados de almacenamiento de datos médicos (SHMD) para almacenar información heterogénea sobre el paciente (resultados de los diagnósticos, datos sobre los fármacos, anamnesis, etc.). La infraestructura de dicho sistema puede incluir diversos componentes de hardware y software que se pueden combinar en una red de almacenamiento de información y que de una u otra forma está accesible desde Internet. Una característica distintiva de estos sistemas es que para administrarlos se usa una interfaz web (aplicación web), que puede contener vulnerabilidades que un delincuente puede utilizar para obtener acceso a información y procesos valiosos.
Sistemas "no médicos"
Los sistemas descritos anteriormente procesan datos médicos muy importantes, y sus requisitos de seguridad deben ser proporcionalmente altos. Sin embargo, según Kaspersky Lab no se debe olvidar que aparte de los posibles puntos de entrada, el atacante todavía tiene muchos otros que no están directamente relacionados con los sistemas de salud, pero que se encuentran en la misma infraestructura que los valiosos datos médicos, como por ejemplo:
- cualquier tipo de servidor (servidores web, servidores FTP, servidores de correo electrónico, etc.) instalados en la red y accesibles desde Internet;
- hotspots de WiFi públicos de las instituciones médicas;
- impresoras de oficina;
- sistemas de vigilancia por vídeo;
- Controladores SCADA;
- sistemas automatizados de administración de componentes mecánicos y eléctricos del sistema de edificios (Building management system, BMS).
Cada uno de estos sistemas puede contener una vulnerabilidad que podría ser explotada por un atacante para obtener acceso a la infraestructura médica.
No hay mejor cura que la prevención
La ciberseguridad es un factor clave para generar confianza, que a su vez es necesaria para alcanzar el éxito en una organización, del tipo o sector que sea. Para evitar que los atacantes roben los datos médicos de una institución, junto con las medidas necesarias para proteger la infraestructura corporativa, usuarios e instituciones deben contar con una solución de seguridad reconocida y reputada, pero también es necesario tomar otras medidas que ayudarán a las empresas del sector mantenerse protegidas:
- excluir del acceso externo a todos los sistemas de información que procesen los datos médicos y demás información sobre los pacientes
- crear un segmento separado para todo el equipo médico que se conecte a una estación de trabajo (o nodo de la red), cuyos parámetros se puedan modificar mediante esta estación de trabajo (o de forma remota) cualquier sistema de información en línea debe estar disponible en una "zona desmilitarizada" o mejor aún, fuera de la red corporativa
- hacer un seguimiento constante de las actualizaciones para sistemas médicos publicadas y actualizarlas periódicamente
- cambiar las contraseñas predeterminadas que configuradas en los paneles de inicio de sesión de los sistemas de atención médica y eliminar las cuentas innecesarias de la base de datos (por ejemplo, las cuentas de prueba)
- crear contraseñas complejas para todas las cuentas.