Los desafios que tienen los Hospitales en la Seguridad.



Cuando se realizan análisis de seguridad sobre plataformas, independientemente el rubro, siempre se analiza lo que está expuesto a Internet para poder evitar/mitigar o frenar ese frente de ataque, el problema se suscita cuando dentro de todos los análisis las redes de tercero se pasan por alto. Por tanto se hace necesario también analizar, el tráfico que viene desde las redes de terceros, ya que esas redes también son un frente de ataque, aunque el tráfico venga de una red de confianza. No olvidemos que la gran mayoría de las infecciones provienen de redes que supuestamente son completamente seguras.

Investigadores del Reino Unido han descubierto algunos peligros de seguridad en las redes hospitalarias:

  • Operaciones hospitalarias: las amenazas cibernéticas contra los sistemas críticos cotidianos, como las bases de datos de planificación de personal, los sistemas de búsqueda de hospitales, los controles de construcción, los sistemas de transporte de tubos neumáticos, los sistemas de inventario, la nómina, la administración, etc.
  • Privacidad de datos: amenazas cibernéticas contra diferentes tipos de datos, como la información de identificación personal (PII), tanto para los pacientes como para los empleados del hospital, incluidos los datos de diagnóstico y tratamiento del paciente; información de seguros y financiera; datos de investigación y ensayo de drogas; nómina de sueldos; propiedad intelectual (IP), etc.
  • Salud del paciente: abarcan ciberamenazas contra los dispositivos y sistemas médicos que se utilizan para el tratamiento, la monitorización y el diagnóstico de pacientes, así como las amenazas cibernéticas contra el sistema de información del hospital (HIS). 




Cuando ocurrió el ataque de Wanna Cry el año 2017, múltiples hospitales se vieron afectados, causando un caos organizacional dentro de los mismos hospitales, afectando directamente a los usuarios de los servicios. Por tal razón, la concientizacion de la CiberSeguridad, es tan crítica como cualquier otro procedimiento de un hospital. Pero las razones por las cuales, la ciberseguridad no es parte de los procesos críticos del hospital se da por que:


  • El propósito de un centro de salud es la atención al paciente y es ahí donde se invierte la mayor parte de los recursos, dejando un pequeño presupuesto disponible para el gasto en seguridad cibernética.
  • Las computadoras del hospital y el equipo de diagnóstico tienen muchos usuarios, por ejemplo, médicos, enfermeras y técnicos, que rotan regularmente dentro del hospital. Esto hace que sea muy difícil incorporar estrictas políticas de ciberseguridad y procedimientos de autenticación, especialmente si esas políticas impiden las operaciones diarias.
  • El equipo de diagnóstico es extremadamente costoso y los hospitales no pueden permitirse tener sus dispositivos médicos fuera de línea por períodos prolongados de mantenimiento. En algunos casos, la modificación de la configuración del dispositivo médico o la actualización de su SO incorporado anularán la certificación, la garantía y la cobertura de seguro del dispositivo, por lo que los dispositivos médicos permanecerán intactos.
  • El costoso equipo de diagnóstico no se reemplaza regularmente siempre y cuando funcionen correctamente. Es posible que estos dispositivos y sistemas ya no tengan soporte o sean costosos de reemplazar.
  • Los fabricantes de equipos de diagnóstico son responsables de garantizar que sus equipos cumplan con las pautas de HITRUST CSF® para dispositivos médicos. Dado que el CSF se actualiza periódicamente, es posible que los dispositivos médicos más antiguos que aún se usan en los hospitales no cumplan con los requisitos.
  • No todos los hospitales tienen un equipo dedicado de respuesta a la ciberseguridad. En la mayoría de los hospitales, el personal de TI tiene una doble función: investigar y mitigar los incidentes de ciberataque, así como proporcionar servicios generales de TI al hospital. Esta configuración tiene el inconveniente crítico de distribuir recursos para ambas funciones

Fuente: http://www.securitynewspaper.com/2018/04/07/defiance-securing-connected-hospitals/