No se puede negar que hackers y ciberdelincuentes han puesto sus ojos en la industria sanitaria. Este sector es un objetivo particularmente atractivo para los ciberdelincuentes. Hoy en día la industria de la salud, por lo general, cuenta con una seguridad insuficiente para tratar los ataques modernos, debido a la dependencia de las soluciones de protección heredadas. El equipamiento sanitario también evoluciona hacia el mundo digital incrementando, así, las conexiones online y exponiéndose a una gran cantidad de nuevos ataques, por lo que su seguridad, a menudo, va por detrás de su tecnología.
En la industria sanitaria actual, es importante examinar las principales áreas que están siendo atacadas, priorizar soluciones y darlo a conocer a través de todo el ecosistema de TI y público en general. Algunas de las principales preocupaciones de seguridad a la que se enfrenta este sector hoy en día son:
1. Internet de las cosas (IoT) se ha disparado
En la industria de la salud, Internet de las Cosas supone añadir conectividad a Internet a los dispositivos médicos que llevan en el mercado algún tiempo o la introducción de productos de nueva generación que permiten la conexión a la Red. Estos dispositivos IoT han revolucionado la industria aumentando la eficiencia de proceso y reduciendo costes. Hoy en día, los dispositivos médicos, nuevos y antiguos, deben ser examinados por si tuvieran defectos de seguridad y utilizar la seguridad como parte del desarrollo del ciclo de vida para ayudar a mitigar futuros riesgos. Históricamente, los grandes dispositivos médicos como máquinas de rayos X y de ultrasonido funcionaban con sistemas operativos de escritorio/servidor antiguos que tenían vulnerabilidades conocidas, como Windows XP o Unix/Linux. Antes del fenómeno IoT, estos dispositivos no se crearon para estar conectados a una red, por lo que no contaban con protección de ciberseguridad. A menudo, las guías de gestión de este tipo de dispositivos enseñan al personal de TI cómo mantener las contraseñas por defecto para evitar incumplir contratos de soporte. Como resultado, y con la ayuda de los recursos de hacking más populares, para los ciberdelincuentes es fácil encontrar un dispositivo médico en Internet y acceder por la puerta trasera a una red sanitaria. Los dispositivos IoT de salud pueden parchearse para solventar las vulnerabilidades de seguridad conocidas, al igual que los ordenadores personales y servidores corporativos. Las capas adicionales de seguridad y defensa completa en profundidad constituyen prácticas necesarias para ayudar a proteger los dispositivos y redes.
2. Los dispositivos móviles y el fenómeno Bring Your Own Device (BYOD) aumentan los ataques
La matemática es simple. Más puntos de entrada a una red sanitaria o afiliada aumentarán exponencialmente las posibilidades de un fallo de seguridad. Por lo tanto, tiene sentido que los dispositivos móviles aumenten significativamente los ataques de una organización sanitaria. Según un estudio de Ponemon Institute sobre la seguridad de los expedientes médicos, el 88% de las organizaciones de salud permite a los empleados y al personal médico utilizar dispositivos BYOD, pero más de la mitad no confía en que los dispositivos móviles propios, o BYOD, sean seguros. Esto se suma el hecho de que los teléfonos móviles se están convirtiendo en un objetivo cada vez más popular entre los hackers.
3. Seguridad y comodidad están en desacuerdo
La sociedad nunca antes había disfrutado de este nivel de acceso a la información y a las comunicaciones globales. A medida que las nuevas tecnologías sigan progresando, esto seguirá creciendo. La facilidad de acceso tiene un impacto significativo en nuestro comportamiento. En el mundo actual, muchas personas disfrutan de la comodidad de acceder a la Información Sanitaria Protegida (PHI) desde el teléfono móvil y a través de diversos servicios en la nube. Aunque este acceso es muy práctico, y las aplicaciones son similares a otros servicios de vídeo, juegos y redes sociales, las personas todavía tienen que ser conscientes de sus prácticas de seguridad al acceder a PHI.
Por ejemplo, puede ser un inconveniente seleccionar la opción "recordar contraseña" de sitios o apps que incluyen PHI. A pesar de que sea práctico, no se debe habilitar esta opción ya que cualquier atacante que consiga entrar en el dispositivo (físicamente o de forma remota) podrá acceder a todos los datos sin necesidad de conocer las contraseñas. De hecho, pueden crackear contraseñas incluso sin esta función. Por esto, recomendamos implementar algún tipo de autenticación de dos factores para que el inicio de sesión sea más seguro. Esto garantiza que incluso si tienen la contraseña, no puedan utilizarlo sin el segundo factor. Los cibercriminales pueden ganar hasta 10 veces más dinero en el mercado negro vendiendo Información de Identificación Personal médica (PII) que con los datos de tarjetas de crédito.
En resumen, no podemos permitir que la adopción de tecnología en el sector sanitario supere a las defensas en ciberseguridad. Mientras los beneficios de los dispositivos sanitarios conectados son enormes, los riesgos de seguridad derivados para la información del paciente son una realidad. Puesto que la tecnología va a seguir cambiando, los investigadores de seguridad, los proveedores de seguridad de red y los líderes de la industria sanitaria tendrán que ir a la par para encontrar un equilibrio entre la tecnología y la seguridad para proteger eficazmente la industria de la salud.
