Ya llevamos un mes de 2023 y la sanidad se enfrenta a diversos retos. La escasez de profesionales especializados que ya se preveía desde hace algún tiempo -y que se ha acelerado debido a la pandemia del COVID-19- está teniendo impacto en todo el mundo, a lo que se suma el constante aumento en el número de ciberataques. Ante esta situación, surgen cinco tendencias claves para tener en cuenta de cara al nuevo año:
Índice de temas
El crecimiento de la medicina a distancia conlleva un mayor número de dispositivos remotos conectados
La atención o monitorización remota de pacientes mediante dispositivos inteligentes, no es algo nuevo. Ya en 2016, Mercy Virtual fue descrita en un artículo de la CNN como el “hospital sin camas de 54 millones de dólares” y en 2019 reveló que los casi 4.200 pacientes que participaban en su programa vEngagement, experimentaron una reducción del 50% en sus visitas a urgencias y hospitalizaciones.
La monitorización de salud en remoto ha mostrado el valor que aporta y cómo contribuye a reducir las visitas al hospital, aliviando parte de la carga de los equipos de atención sanitaria y ofreciendo resultados positivos para los pacientes. Todo ello supondrá que haya más pacientes interesados en utilizarla en el futuro, que se desplieguen más dispositivos y que la huella de vulnerabilidad dentro de las organizaciones sanitarias siga creciendo.
La ampliación de la superficie de ataque
En ciberseguridad, la superficie de ataque es la suma de los puntos de entrada por donde un ciberatacante intenta acceder a una red. Una investigación reciente llevada a cabo por Ponemon identificó que el 12% de los ataques tenían su origen en los dispositivos IoT. Sin embargo, los mayores riesgos de ciberseguridad percibidos en el sector sanitario se centran en los dispositivos de IT tradicionales: equipos de sobremesa y portátiles con Windows que almacenan información sanitaria personal. Dado que estos dispositivos cuentan con mejores soluciones de seguridad, resulta alarmante que el resto de las superficies de ataque emergentes no reciban la atención suficiente. La sanidad es un sistema de servicios cada vez más conectados y el acceso a la historia clínica de un paciente es sólo un aspecto más.
No hay que olvidar que los dispositivos IoT, OT e IoMT desempeñan un papel fundamental en la prestación de cuidados sanitarios. Los sistemas de gestión de edificios controlan la climatización, los ascensores y los sistemas de refrigeración, que podrían llegar a interrumpir el servicio al paciente si dejasen de funcionar. Los dispositivos IoT controlan las barreras de los aparcamientos, el acceso a los edificios y los sistemas de seguridad. Y hay un conjunto cada vez mayor de dispositivos clínicos de IoMT que incluyen nebulizadores, bombas de infusión, dispositivos que se ingieren, dispensadores de medicamentos, etc., cualquiera de los cuales, una vez más, podría afectar drásticamente el servicio que se presta al paciente.
Los atacantes son conscientes de estas áreas vulnerables. De hecho, Gartner ya incluyó en sus predicciones que, en el año 2025 los ciberatacantes habrán convertido en un arma la tecnología operativa (OT) y que esta podría llegar a dañar o incluso matar a las personas. Por ello, es importante gestionar correctamente las posibilidades en las que un ciberatacante podría acceder a la red.
El ascenso del CIO: Un único punto de responsabilidad de la seguridad digital
Pese a la evolución de las tecnologías que rodean al IoT, OT, IoMT y TI, la responsabilidad sobre estos sistemas se ha mantenido en la línea tradicional. Los sistemas OT siguen siendo responsabilidad de los departamentos de gestión de instalaciones, mientras que los dispositivos médicos recaen en el departamento de ingeniería biomédica.
Aunque estos dispositivos suelen utilizar un servicio compartido que proporciona el equipo de IT, cuando se trata de la seguridad y de la instalación de parches en los mismos, la responsabilidad suele recaer en los equipos que los usan, ya que IT tiene una visibilidad muy limitada de aquellos dispositivos en los que no se pueden instalar agentes de seguridad. Además, la prioridad de instalar un parche de seguridad en una máquina de resonancia magnética, actualizar manualmente el firmware a través de una memoria USB a 10.000 bombas de infusión (a veces ocultas), o actualizar el sistema de tubos neumáticos, suele ser bastante baja, además de requerir una logística tediosa. Por lo que, muchas veces, estos vectores de ataque se vuelven vulnerables.
Para evitar ser atacadas utilizando esos vectores, las organizaciones sanitarias deben alinear todos los sistemas digitales bajo una única figura de responsabilidad. Figuras como el CMIO (Chief Medical Information Officer) o el CHIO (Chief Health Informatics Officer) han de ser conscientes de que una sola bomba de infusión puede acabar con la seguridad de todo el hospital. Y todo ello, debería ser supervisado por el CIO.
Dedicar los recursos para impulsar esta supervisión, formación y seguridad es un reto que debe ser afrontado desde la cúpula directiva, con el objetivo de alinear las estrategias de la organización y la tecnología de la información, la mejora de los procesos de tecnologías de la información, y la búsqueda de soluciones.
Aumento de los servicios gestionados
A menudo, se confía en la tecnología como la solución a algunos de los principales retos del mundo sanitario. Se dice que la tecnología solucionará el incremento del coste de la asistencia utilizando el big data para impulsar una atención de calidad, mejorar el diagnóstico precoz y la calidad de los tratamientos, identificar los factores de riesgo de las enfermedades e incrementar la seguridad de los pacientes, entre otros aspectos.
Sin embargo, la pregunta es ¿cómo se va a financiar y dotar de personal? El sector sanitario se ve afectado por la escasez de personal, tanto en el ámbito clínico como en el tecnológico. Muchas organizaciones sanitarias experimentan dificultades para atraer talento IT y el mundo post-pandémico del “trabajo desde cualquier lugar” no ha hecho sino agravar el problema.
Las organizaciones de tecnología con grandes presupuestos tienen la capacidad de atraer, formar y retener talento en cualquier lugar del mundo, y de ofrecer salarios más altos. La experiencia es un activo muy valioso y un requisito indispensable a la hora de entender el complejo mundo de la seguridad informática sanitaria y la gestión de sus vulnerabilidades.
A medida que se traslada más y más información a la nube, resulta menos arriesgado para las organizaciones sanitarias contratar servicios con proveedores de la nube y utilizar servicios gestionados para ocuparse de su aprovisionamiento, gestión, supervisión y seguridad. Estos proporcionan coherencia, responsabilidad y previsibilidad y permiten que los equipos internos puedan trabajar en otras tareas de mayor valor, además de suponer una barrera más de seguridad frente a ciberataques.
Zero Trust sigue demostrando su validez
Disponer de un único punto de responsabilidad en materia de seguridad digital, es contar con una única estrategia de seguridad. Pese a ser uno de los sectores con mayor número de normativas de seguridad y privacidad, el sector sanitario es también uno de los que más ataques de ransomware sufre. No hay más que recordar casos como el del Hospital General Universitario de Valencia, que obligó al centro sanitario a cortar la red informática durante parte de la mañana, o el ataque de ransomware al Hospital de Torrejón (Madrid) que comprometió su funcionamiento.
Cuando se aplican de forma holística los principios de Zero Trust a un entorno, se crea el marco de trabajo, los conceptos y la arquitectura que permitirán abordar la seguridad de los datos, la identidad, la carga de trabajo, la red y los dispositivos. Incluso en su forma más sencilla, proporciona un modelo que puede compartirse con toda la organización para implantar una estrategia de seguridad de activos consolidada.
Elementos como los dispositivos médicos y los sistemas de gestión de edificios deben ser incorporados a una única estrategia de seguridad para reducir el riesgo de que un dispositivo fraudulento provoque la interrupción de la asistencia en toda la organización. No existe un sistema exento de desafíos y complicaciones, pero para los CISO que tratan de reunir todos los activos bajo una única política que, en última instancia, cumplirá con todas las normas y regulaciones para las organizaciones sanitarias a nivel mundial, es un punto de partida sólido a considerar.
