La Ciberseguridad en el sector salud se enfrenta a dos problemas, de los cuales ninguno se puede resolver utilizando solo la mejor tecnología. De hecho, estos problemas tienen más que ver con la economía que con la ciberseguridad.
Sólo este año en el CES, más de 500 compañías presentaron soluciones innovadoras para diagnosticar, monitorear y tratar enfermedades, así como avances en la prestación de asistencia médica remota. El problema es que algunos de estos dispositivos dejan la información médica y los datos de los pacientes expuestos en línea, permitiendo que sean utilizados por cibercriminales.
El primer problema es que la atención médica es una parte crítica de la economía. Según recientes estudios los registros electrónicos de salud EHR (Electronic Health Record, por sus siglas en inglés) son altamente lucrativos. Para dar un ejemplo claro, una historia clínica completa de un paciente puede oscilar entre 300 y 3.000 dólares; ante este panorama es imprescindible que las organizaciones aumenten las inversiones en materia ciberseguridad y trabajen para que los datos almacenados en la nube estén protegidos, y que toda la información sea segura y privada.
En este caso, el tipo de ataque más habitual que utilizan los cibercriminales es el ransomware, un tipo de malware que encripta los archivos y restringe su acceso a ellos a cambio de un rescate económico. Aunque la única amenaza no proviene solo de los ataques informáticos, también se puede producir una violación de la privacidad de los datos por el abuso de un miembro del personal interno que tiene acceso a la información del paciente y la transmite al exterior con ánimo de lucro o por errores no intencionados. La confidencialidad es el principio básico de la política de seguridad del entorno sanitario, lo que obliga al profesional de la salud o a cualquier otra persona a no revelar información suministrada por el paciente.
El segundo problema es que, incluso dentro de un solo hospital, la seguridad es una responsabilidad compartida. Cuando un recurso se comparte comúnmente, el incentivo de cada parte es obtener el mayor beneficio posible y al mismo tiempo incurrir en el menor costo posible. Este problema se conoce como la «tragedia de los bienes comunes». “Tomemos el ejemplo de un proveedor de atención médica que se basa en una bomba de infusión para tratar a los pacientes diabéticos. ¿La responsabilidad de asegurar ese dispositivo descansa sobre los hombros del fabricante o del proveedor de atención médica? ¿Quién es el propietario de asegurar la transmisión de datos de la bomba? La respuesta a estas preguntas depende de a quién le preguntes, “ afirmó Mike Nelson, vicepresidente de seguridad de la IoT de DigiCert.
Para agregar aún más complejidad, una red de atención médica puede usar dispositivos de 50 fabricantes diferentes. ¿Quién es el responsable en este caso? Desafortunadamente, las preguntas no se detienen ahí. ¿Los proveedores del software EHR proporcionan actualizaciones seguras? ¿se confía en la integridad del código que se carga en los dispositivos? ¿Qué medidas tiene implementadas para garantizar que solo las personas adecuadas tengan acceso a los datos del paciente. Desafortunadamente, los seres humanos tienden a hacer cambios sólo cuando se presentan incentivos atractivos o cuando el problema con el que se enfrentan se vuelve lo suficientemente doloroso.
Los dos problemas descritos anteriormente apuntan a la necesidad de una autenticación de extremo a extremo, que es el proceso de probar la validez de todas las conexiones digitales, desde un inicio de sesión seguro del sistema para enfermeras y médicos, las comunicaciones entre dispositivos, la red y los servicios externos o las bases de datos tales como las EHRs. Podría ser útil ver estas conexiones como dos partes en un solo sistema. En la parte frontal, se debe verificar la identidad de cualquier persona que use un dispositivo o acceda a los datos del paciente, como médicos y enfermeras. En el extremo posterior, es igualmente crucial autenticar las conexiones entre los dispositivos y los servidores, EHR, farmacias etc, es decir con los que se interactue constantemente.
La base para la autenticación de extremo a extremo es la infraestructura de clave pública (PKI). Al utilizar certificados digitales, PKI auténtica usuarios, sistemas y dispositivos sin la necesidad de tokens, políticas de contraseña u otros factores incómodos iniciados por el usuario. Esto descentraliza la autenticación y permite que ocurra en sistemas dispares.
Los proveedores de seguridad, como Imprivata, han introducido varias soluciones en la interfaz descrita anteriormente. Estos incluyen el inicio de sesión único, la autenticación multifactorial y la identificación del paciente para establecer la confianza entre los usuarios, la tecnología y los datos transmitidos en todo el ecosistema de atención médica. La mayoría de los pacientes médicos no se preocupan por su seguridad cuando van al médico; simplemente esperan que su información y su salud se ocupen del uso de medidas de seguridad confiables.
Desafortunadamente, este no es siempre el caso. El Instituto Ponemon ha descubierto que más de la mitad de las compañías han experimentado un incidente de seguridad debido a un empleado descuidado. La PKI puede mitigar esta amenaza al exigir que las enfermeras y los médicos utilicen varias capas de autenticación para acceder a los datos del paciente.
En el extremo posterior, algunas autoridades de certificación (CA) modernas, como DigiCert, han construido una infraestructura capaz de implementar miles de millones de certificados en los dispositivos conectados. Además de proporcionar garantía de identidad para dispositivos que se conectan a servidores, sistemas y bases de datos, estas CA ofrecen soluciones para garantizar la integridad del código y la confiabilidad de las actualizaciones de software.
En un evento realizado este mes por la Sociedad de Sistemas de Información y Gestión de la Salud (HIMSS) en Miami, se presentó una encuesta. La Sociedad de Sistemas de Información y Gestión de la Salud (HIMSS), realizada entre 166 organizaciones de salud en los Estados Unidos, confirmó los supuestos: seguridad los incidentes son casi una experiencia universal y la proporción de presupuestos de TI destinados a la protección de datos aumenta. El ex jefe de seguridad informática de la Casa Blanca durante la administración de Barack Obama, Greg Touhill, ofreció consejos clave para hospitales, sistemas de salud y otras entidades médicas. Entre ellos: adoptar un esquema de «confianza cero» para hacer frente a los ataques cada vez más sofisticados; mejorar la autenticación multifactor (como ya lo hacen otras industrias); y seguir el ejemplo del sector financiero, fortaleciendo la detección automática de fraudes.
La autenticación de extremo a extremo no se materializará en la industria de la salud hasta que los fabricantes de dispositivos, hospitales, compañías de seguros, proveedores de software y proveedores de seguridad reconozcan su responsabilidad compartida y comiencen a trabajar en colaboración. Debido a la creciente cantidad de explotaciones en la atención médica, la ciberseguridad se está convirtiendo en un punto de dolor para quienes trabajan en la industria. Este dolor está causando que algunos actúen y tengan una mejor seguridad en su lugar. Sin embargo, la industria tiene un largo camino por recorrer. Por ahora, solo queda una pregunta: ¿responderemos a otra cosa que no sea el dolor?
