IoT en hospitales, un objetivo para la ciberdelincuencia

Categorías relacionadas:

IoT-hospitales

El sector de la salud, como muchas otras industrias, ha hecho una apuesta firme por el Internet de las Cosas (IoT). Pero sin demeritar los beneficios que ofrece, debe tenerse muy en cuenta la seguridad, tal y como señala Check Point.

En un reciente informe, la empresa advierte que los ciberataques están creciendo en sistemas de salud de todo el mundo, “y no sólo en términos de ransomware –cabe recordar que el año pasado un hospital de Los Ángeles se vio obligado a pagar 17,000 dólares–, sino también lo hacemos de objetos conectados que compilan, transmiten y almacenan información valiosa para los ciberdelincuentes”. Éstos, además, no incluyen medidas de seguridad avanzada de fábrica y la mayoría están completamente expuestos.

Grado de vulnerabilidad del IoT en este sector

El IoT permite a los profesionales ofrecer un tratamiento personalizado para cada paciente de forma rápida y remota y se han desmarcado como una tecnología muy potente a la hora de poder salvar vidas.

Pero, ¿qué tan vulnerable es el Internet de las Cosas en este sector? Según Check Point, para evaluarlo se requieren distinguir diferentes tipos de objetos o “cosas”, como un marcapasos o una bomba de insulina que podrían servir para chantajear al paciente mediante la amenaza de dejar de hacerlos funcionar. “Las posibilidades de que los atacantes puedan poner en peligro la vida de las personas obteniendo el control de estos aparatos es realmente preocupante”.

Por ello, la compañía ha publicado una serie de medidas preventivas para que los hospitales reduzcan los riesgos como, por ejemplo, incluir un modelo de privacidad desde el diseño adaptado a las nuevas normativas europeas o ser parte integrante del diseño de los dispositivos sanitarios. Asimismo, los centros deberían asegurarse de afianzar sus sistemas de endpoint con soluciones como la segmentación de red.

“El Internet de las Cosas puede revolucionar la industria médica, pero también puede ser una invitación abierta a los ciberdelincuentes que quieran chantajear a hospitales y pacientes, robar datos y causar daño real”, sostiene el informe. 

Leer más...



Dispositivos médicos, en riesgo por ciberataques

Categorías relacionadas:

dispositivos-medicos-riesgo

No se trata sólo de ciertos dispositivos médicos conectados que ponen en peligro los datos de los pacientes y la seguridad física, sino de sus capacidades y sistemas específicos dentro de los cuales operan, lo que los convierte en una superficie de ataque amplia y vulnerable.

De hecho, el argumento de los expertos de seguridad durante la gran parte de la década pasada fue que mientras la seguridad física de la mayoría es excelente y los dispositivos funcionan sin problemas, cuando se trata de seguridad de ataques maliciosos en línea, estos dispositivos son aterradoramente inseguros.

La web está repleta de informes recientes que confirman esto. 

Un estudio de WhiteScope IO publicado en mayo pasado advirtió que hay más de 8,000 vulnerabilidades en el código que se ejecutan en siete marcapasos de cuatro fabricantes. Un informe publicado en diciembre de 2016 sobre una investigación sobre nuevos desfibriladores cardíacos implantables (ICD) encontró defectos de seguridad en los protocolos de comunicación propietarios de 10 de ellos.

Por su parte, Trend Micro informó en mayo que más de 36,000 dispositivos relacionados con la salud en Estados Unidos se pueden encontrar en Shodan, el motor de búsqueda de dispositivos conectados.

Asimismo, Ponemon, en una encuesta auspiciada por Synopsys, informó en mayo que “alrededor de un tercio de los fabricantes de dispositivos y HDO (organizaciones de salud) son conscientes de los posibles efectos adversos a los pacientes debido a un dispositivo médico inseguro y el 15% de los HDO están tomando medidas importantes para prevenir tales ataques “.

Confianza en lo inexistente

El problema –que ha existido desde que los HDO comenzaron a conectar estos dispositivos a Internet– es que se confía en que estos pueden hacer algo para lo que no fueron diseñados: proteger los datos de los pacientes y a los propios pacientes de los ataques cibernéticos.

El debate continúa sobre lo inminente que es el riesgo del daño físico. Jay Radcliffe, un experto en seguridad de dispositivos médicos y diabético tipo Uno, afirmó que era más probable que “un atacante se escondiera detrás de mí y me golpeara la cabeza con una pelota de beisbol”, que ser dañado por un ataque cibernético. 

Camejo aseveró que, independientemente de la clase de dispositivo, o si se encuentra dentro o fuera del ámbito hospitalario, “los riesgos son esencialmente los mismos: la vida de los pacientes a menudo depende de estos dispositivos, que desempeñan sus funciones con precisión. De modo que si un atacante controla uno de estos dispositivos, puede alterar esas funciones hasta provocar un posible detrimento del paciente o provocarle la muerte”.

¿Deberían prohibirse ciertos dispositivos? 

Algunos expertos afirman que no, porque es difícil decir qué dispositivo o clase de dispositivos es más vulnerable que otros. Señalan que el problema reside más en las capacidades específicas o en las características que pueden hacer los objetivos mucho más atractivos y / o sus usuarios más vulnerables a los daños.

Sólo un 10% de los dispositivos médicos caen en lo que la Administración de Alimentos y Medicamentos (FDA) llama Clase III, lo cual significa que están diseñados para sostener o soportar vida (por ejemplo, marcapasos y medidores de glucosa). Si estos dispositivos fueron hackeados, un atacante podría poner en peligro la vida o la salud de los pacientes.

Chris Clark, principal ingeniero de seguridad de Synopsys, dijo que los dispositivos que dependen de la nube para el rendimiento son “similares a la telemedicina y puede incluir dispositivos como bombas de infusión y monitores de pacientes que utilizan la nube para realizar sus servicios”. 

La mayoría de las personas ni siquiera saben si tienen Wi-Fi o Bluetooth. Simplemente asumen que el fabricante ha proporcionado su seguridad. Pero una vez que hemos habilitado ese tipo de tecnología, es más sabroso para un atacante”.

WannaCry, por ejemplo

Stephanie Domas, investigadora y académica de la Universidad de Ohio, señaló que WannaCry (uno de los ransomwares de alto perfil más recientes), “no estaba dirigido a dispositivos médicos. Nada de eso estaba dirigido a los hospitales, pero afectó a muchos de ellos una vez que fue capaz de entrar. Estos ataques buscan cualquier cosa que sea vulnerable. Vieron algunos dispositivos que lo eran, y los atacaron”.

E incluso si el ransomware no hubiera atacado dispositivos específicos, la encriptación “de todo” en un sistema hospitalario podría significar el cierre de todos los dispositivos que sirven a los pacientes.

Además, esos sistemas pueden ser obsoletos. La encuesta de Trend Micro encontró que más del 3% de los dispositivos expuestos todavía utilizan Windows XP, el sistema operativo de Microsoft que ya no recibe actualizaciones de seguridad por parte de esta compañía. 

De acuerdo con Domas, no todos los dispositivos contienen datos de los pacientes, pero los que sí los tienen son vulnerables y pueden comprometer estos datos, ya que generalmente se comunican directamente con el sistema de registros electrónicos de salud, el área de rayos X y PACS (Sistema de Archivado y Comunicación de Imágenes), algunos de los cuales contendrán un registro completo del paciente. Los dispositivos están diseñados para hablar con sus registros, así que cualquier cosa que los comprometa tendrá una conexión con el resto de los datos sobre un paciente.

Los expertos advirtieron que los marcapasos, las bombas de insulina, los escáneres de tomografía computarizada, las máquinas de resonancia magnética y los registros digitales de salud corren el mayor riesgo, dada su interconectividad con diversas plataformas médicas dentro del hospital. “Hay muchas maneras en que estos dispositivos podrían ser hackeados y se podría hacer daño a los pacientes”, concluyó Domas. 

Taylor Armerding, CIO EEUU

 

Leer más...



El sector salud es el más vulnerable por ciberataques

Categorías relacionadas:

El sector salud es el más vulnerable en el área de ciberseguridad, los ataques logran afectar a las instituciones en un año por 5,6 billones de dólares, de acuerdo a datos de la Fasoo, una organización estadounidense de investigación de la industria.

Según las agencias del gobierno de Estados Unidos en 2015 se detectaron 253 violaciones en hospitales, clínicas y proveedores de atención de la salud en general. La divulgación de información confidencial de los pacientes de aquellas entidades dañó directamente a cerca de 500 personas. Las violaciones colocarán en manos de los hackers y ciberactivistas un volumen de 112 millones de piezas de información de las historias clínicas de los pacientes. Esto incluye listas de medicamentos con receta, descripción y justificación de las cirugías y tratamientos, así como información sobre pagos anteriores o vencidos.

La importancia extrema de los datos sobre la salud de una persona es lo que hace a las empresas de este sector tan vulnerables a los ataques. Una de las formas más comunes de violaciones es el secuestro (ransomware) de la historia clínica del paciente y la solicitud de reembolso. En general, el paciente no es consciente de lo que sucedió, porque el hospital o clínica se apresura a pagar el rescate para preservar tanto la reputación del paciente como su propia imagen en el mercado de proveedores de atención médica.

Las consecuencias de una violación de datos son desproporcionadamente altas para la industria de la salud.  De acuerdo al Instituto Ponemon, el costo promedio per capita de una violación de datos es de 190 dólares y en la vertical de salud es de aproximadamente 314 dólares.

Marcos Oliveira, Director General de Blue Coat Systems Brasil, habla sobre estos hechos y profundiza sobre los diversos frentes de batalla que enfrentan los CISOs de las  empresas de salud.

1 – El próspero mercado negro de los datos de salud

El dato sobre el estado de salud de la gente es muy valioso para los piratas informáticos, ya que pueden venderlos a precios elevados en el mercado negro. En los Estados Unidos, cada registro de pacientes se vende por más de 47 dólares. Este es un valor alto si lo comparamos con lo que se paga por los datos de una tarjeta de crédito personal se comercializan desde 1 dólar. El objetivo de los hackers es para ganar mucho dinero haciendo grandes violaciones que amenazan con exhibir o vender los datos de millones de personas.

2 – Fraudes contra las aseguradoras generan riqueza para los delincuentes

Los criminales cibernéticos no solo obtienen los datos para venderlos. Los delincuentes también pueden utilizar los registros médicos para accionar a las aseguradoras de manera fraudulenta y a los sistemas de salud del gobierno. Ellos pueden robar las identidades de los pacientes, por ejemplo, obtener consulta gratuita o tratamiento, o incluso el acceso a los ingresos de medicamentos recetados.

3 – El gran dilema: ¿Subir los datos en la nube, o no?

El cumplimiento es una preocupación importante para cualquier organización del cuidado de la salud. Esta realidad hace que muchos proveedores duden en actualizar o cambiarse a los nuevos sistemas de seguridad. Este es un gran problema para la industria de la salud. Las amenazas son cada vez más avanzadas por lo que los sistemas de seguridad deben evolucionar a la misma velocidad.

El Gateway de protección de datos en la nube (CDP), por ejemplo, proporciona un control flexible que protege la información confidencial antes de salir de una red corporativa. Éste intercepta la información de salud, mientras que todavía está en el centro de datos interno y lo reemplaza con un valor tokenizado o cifrado que se envía a la nube. De esta manera, los datos que son interceptados en la nube no tienen ningún significado. Estas plataformas también aseguran que los usuarios finales mantengan la funcionalidad requerida de la aplicación SaaS en la nube y sobre los datos cifrados o tokenizados. También existen tecnologías que pueden utilizarse para monitorear de forma continua y dar seguimiento de los archivos de datos de salud y desencadenar acciones para evitar que sean enviados a la nube o simplemente alertar al área de TI de que la información fue enviada a la nube.

4 – La importancia del cifrado

Las políticas del gobierno de Estados Unidos hacen hincapié en el papel beneficioso que puede ser desempeñado por el cifrado ya que codifica los datos de manera que sólo las personas autorizadas son capaces de descifrar la información para leerla. Por lo tanto, no impide necesariamente que alguien intercepte los datos, pero impide que alguien pueda verlos. Es esencial que las claves de cifrado se mantengan y administren por el personal de TI de una empresa de salud.  Esto no se puede hacer por los propios proveedores de la nube ya que la pérdida de la propiedad de las claves de cifrado expone a la organización a la difusión de los datos con riesgos adicionales.

5 – Adiós a la inmovilidad y el miedo

La criticidad extrema de los datos del sector de la salud puede llevar al gerente de la empresa del sector salud a una cierta inercia, una reacción contra la digitalización de datos y servicios. El origen de esta rigidez es el miedo, y no contribuye en nada a ganar la guerra cibernética. En vez de resistir la transformación digital y la nube, es mejor que el CISO y otros ejecutivos investiguen sobre las nuevas soluciones de control y protección de datos – incluyendo la nube – que están surgiendo. Una de las ofertas más estratégicas, de acuerdo con Gartner, es el CASB (Cloud Access Security Broker). Esta plataforma proporciona visibilidad a las amenazas, proporcionando detección y análisis de malware. Todo se hace para transformar la nube en un ambiente controlado y seguro para aplicaciones y datos que forman el corazón de la compañía en el sector de la salud.

Finalmente, en el comunicado las firmas de ciberseguridad señalan que es de reaccionar y anticiparse a conocer las estrategias digitales en el mercado totalmente capaces de combatir las nuevas amenazas que acontecen a diario en el sector salud.

Redacción

 

 

Leer más...



Aplicación de cliente final ayuda a los usuarios: Juan Carlos Aburto Patán, Director de TI de MetLife México

Categorías relacionadas:

CIO100 2016 Movilidad

PROYECTO: MetLife Contigo.

DESCRIPCIÓN: El propósito de este proyecto fue ayudar al segmento individual o de personas físicas de MetLife, por lo que se desarrolló de manera interna una aplicación de cliente final con información de directorios de médicos, hospitales, laboratorios y farmacias, con la opción de solicitar citas para acudir a los centros de servicio, y un glosario de términos que ayuden al usuario a entender cómo está integrada su póliza y cómo funcionan las coberturas.

Lo importante para esta compañía de seguros y afore fue cambiar el mindset del servicio tradicional, para pasar de los servicios vía web a los servicios a través del móvil. “Nuestro reto fue dar el justo valor al móvil y pensar en cómo sacarle provecho al dispositivo versus la experiencia del cliente”, señaló Juan Carlos Aburto Patán, Director de TI en MetLife México.

RESULTADOS/BENEFICIOS: El directivo dijo que este mercado de seguros y afores –conformado por clientes y agentes– estaba en espera de una herramienta que brindara la flexibilidad que hoy pueden ofrecer los dispositivos móviles, por lo que ha tenido buena recepción. “A diferencia de otros países, donde la mayoría del los clientes compran un seguro a través de Internet, en México la industria de seguros se sigue manejando face to face, y aún se depende de la asesoría por parte de un agente. Al contar con una tablet se facilita el proceso, pues propicia un acercamiento entre la compañía y sus productos con el cliente”, afirmó el directivo.

Juan Carlos Aburto Patán es Director de TI de MetLife México.

 

Leer más...



Usos del Big Data en el sector salud

Categorías relacionadas:

El Big Data en el sector salud aún es muy bajo, en muchas instituciones no lo han implementado de manera optima, se debe comprender que es de gran utilidad para el sector, debido a que su uso permite recabar información con una velocidad y precisión que hace unos años era impensable, resultando de utilidad tanto para la prevención, detección y tratamiento de enfermedades al permitir un uso ordenado de los datos.

En México existen alrededor de 23,260 unidades de salud, al sector público pertenecen el 86.8% y 17.2 % al sector privado. Sin embargo, cada unidad médica cuenta con diversos dispositivos para recabar información de los pacientes y 80% de dichos datos no se encuentran estructurados, por lo que son almacenados bajo estructuras diferentes; puede ser en forma de pruebas de laboratorio, imágenes o transcripciones médicas, dificultando así la capacidad de respuesta de los médicos.

El Big Data, es de gran utilidad para el sector salud, y a continuación le compartimos algunas cualidades en su implementación:

  • Apoya a los médicos a mejorar los diagnósticos debido a que les brinda información ordenada que pueden usar como punto de referencia.
  • Tienen mayor control asistencial y mejor comunicación con sus pacientes.
  • Son capaces de predecir enfermedades al contar con los antecedentes médicos del paciente.
  • Agilizan los sistemas de gestión y de pago a proveedores.
  • Ayudan a que los investigadores tengan a su disposición un sistema que facilita la búsqueda de tratamientos.

Para poder sacar provecho al Big Data en este sector, la empresa Siemens Healthineers se ha enfocado a la red alojada en la nube que permite el intercambio de información, garantiza seguridad y privacidad de los datos. De esta manera, la compañía ayuda a que los médicos tomen decisiones rápidas y bien informadas gracias a la colaboración entre profesionales de todo el mundo.

Estos son sólo algunos ejemplos de cómo el Big Data se enfoca a satisfacer algunas necesidades de los pacientes. Su uso poco a poco transforma los enfoques, hasta lograr que los médicos a predecir con exactitud lo que sucede a un paciente de manera individual.

Redacción

Leer más...