Redacción 17 mayo, 2019
Amenazas a Hospitales

Las amenazas a hospitales es real: los ataques de cibercriminales en hospitales por virus informáticos se han acumulado recientemente.

Las vulnerabilidades en los dispositivos médicos también causaron trastornos. El problema de la ciberseguridad ya no puede ser postergado por las compañías de tecnología médica.

Han pasado más de dos años desde que un ataque de hackers paralizó el hospital municipal de Neuss, cerca de Düsseldorf.

El resultado: las operaciones no pudieron llevarse a cabo. Todos los sistemas informáticos han sido apagados. La clínica estaba casi fuera de línea. De repente, los documentos se imprimieron de nuevo, se enviaron por fax o se enviaron por mensajero al destinatario.

Una situación de horror para todos los interesados

Especialistas externos de TI fueron activados; así como a los funcionarios del Centro de Competencia contra Delitos Cibernéticos de la Oficina Estatal de Investigación Criminal y la Oficina Federal de Seguridad de la Información (BSI). La buena noticia: ningún paciente resultó herido en ese momento. La mala noticia: el daño financiero se estima en un millón de euros.

El hospital ha invertido en capacitar a su personal; el virus se infiltró a través de un archivo adjunto de correo electrónico.

La TI fue actualizada, tanto técnica como personalmente.

Pero el caso en Neuss no fue un caso aislado y, lamentablemente, no es el último de su tipo: las computadoras de otros hospitales, por ejemplo en Kleve y Kalkar, también fueron infectadas por un virus informático.

Y recientemente, en noviembre de 2018, fue atacado por un troyano de correo el Klinikum Fürstenfeldbruck.

Las ambulancias no manejaron la clínica por varios días. Todas las computadoras estaban paralizadas. Solo funcionaban los telefonos.

El estudio del hospital realizado por Roland Berger en 2017 muestra la gravedad de la situación en todo el país. Según el estudio, casi dos tercios en 2017, es decir, el 64 por ciento de los hospitales alemanes, ya habían sido víctimas de un ataque de hackers.

“En defensa, la atención se centra principalmente en la mejora de los cortafuegos, los conceptos de emergencia y la educación de los empleados o la capacitación de los empleados”, señala la consultoría de gestión.

Por otro lado, es alarmante: solo alrededor del 31 por ciento de los incidentes han provocado un aumento en la cantidad de personal en los respectivos departamentos de TI.

Roland Berger concluye que la mayoría de las casas parecen carecer de los fondos para invertir.

Una sola vulnerabilidad puede paralizar todo el sistema.

Sin embargo, los correos electrónicos infectados en centros de salud están lejos del único problema: en diciembre de 2018, ZVEI Zentralverband Elektrotechnik- und Elektronikindustrie publicó un libro blanco sobre ciberseguridad.

En él se refiere a la digitalización y la creación de redes de todo el mundo de la vida del siglo XXI. El Internet de las cosas (IoT) conducirá a largo plazo a que todo esté en red con todo.

Con respecto a los ataques cibernéticos en hospitales alemanes, esto significa que una única vulnerabilidad en el sistema puede paralizar todo el sistema.

La realidad de este escenario es clara cuando se considera la rapidez con que la digitalización está conquistando actualmente la tecnología médica y, además, todo el sistema de atención médica.

Sólo ocho asociaciones de la industria de la salud industrial, incluida la Asociación Federal de Tecnología Médica BV-Med y Spectaris, solicitó a los pacientes un acceso más rápido a los servicios de atención digital.

El beneficio no solo para los pacientes, sino también para las instalaciones de atención médica y su personal es indiscutible: “Además de las aplicaciones telemáticas, la digitalización ofrece a los pacientes numerosas oportunidades para el autocontrol, especialmente en enfermedades crónicas y raras”, dice la declaración conjunta.

Los procesos de tratamiento digital tienen el potencial de mejorar la atención al paciente. pero también para los centros de atención de salud y su personal es indiscutible: “Además de las aplicaciones telemáticas, la digitalización ofrece a los pacientes, especialmente en enfermedades crónicas y raras, numerosas oportunidades para el autocontrol”, dice la declaración conjunta.

Los procesos de tratamiento digital tienen el potencial de mejorar la atención al paciente. pero también para los centros de atención de salud y su personal es indiscutible: “Además de las aplicaciones telemáticas, la digitalización ofrece a los pacientes, especialmente en enfermedades crónicas y raras, numerosas oportunidades para el autocontrol”, dice la declaración conjunta.

Los procesos de tratamiento digital tienen el potencial de mejorar la atención al paciente.

El miedo al ataque es mucho más que la paranoia

Esto se aplica, por ejemplo, al tratamiento de la diabetes enfermedad común: muchos diabéticos hoy en día ya utilizan aplicaciones para la diabetes o incluso dispositivos médicos como bombas de insulina y sistemas para la medición continua de la glucosa.

Pero esto es sólo un lado de la moneda. Porque no solo los centros sanitarios, como los hospitales, están expuestos a ataques cibernéticos, sino también dispositivos y equipos médicos.

Por esta razón, en 2016, Johnson & Johnson advirtió a más de 11,000 portadores de bombas de insulina reticuladas que los dispositivos tenían vulnerabilidades de software.

El año siguiente también causó la sensación de que los marcapasos y desfibriladores de St. Jude Medical también tenían agujeros de seguridad.

Significativamente, el ex vicepresidente de los Estados Unidos, Dick Cheney, desactivó la función de control remoto de su marcapasos por temor a piratear.

¿Paranoia de una personalidad política expuesta? En cualquier caso, los ciudadanos alemanes también están preocupados por los riesgos que plantean los dispositivos médicos digitalizados.

Un estudio reciente de PwC muestra que tres de cada diez pacientes temen la falla de los sistemas informáticos durante la hospitalización.

El 51 por ciento teme que los hospitales comunitarios más pequeños en áreas rurales estén mal preparados para ser atacados desde la red.

“Los ataques a los hospitales en los últimos años han demostrado que los temores de los ciudadanos son bastante realistas”, confirma Michael Burkhart, Director de Salud de PwC.

Porque, dice Burkhart:

Pero, ¿cómo puede ser eso? Raphael Vallazza es el CEO de Endian

Él sabe: “La tecnología médica está muy orientada a la TI, y al mismo tiempo, la tecnología más antigua se usa a menudo debido a los largos ciclos de vida. Eso los hace muy vulnerables “.

El número cada vez mayor de puntos finales en red ofrece a los hackers una superficie de ataque cada vez más amplia.

Por lo tanto, el malware se diseña cada vez más para que pueda propagarse rápidamente de un sistema a otro.

Además, las empresas suelen diseñar sus medidas de seguridad de TI para contrarrestar las amenazas externas.

Una vez que un atacante ha tomado este obstáculo, puede propagarse rápidamente dentro de una red.

Vallazza se especializa en seguridad de TI: “La segmentación de la red proporciona una manera de mitigar y ralentizar los ataques cibernéticos.

Para este propósito, las zonas con requisitos de protección comparables se definen y delimitan unas de otras a través de pasarelas de seguridad de IoT “.

Información cifrada en todo momento

Además, aconseja:” Todo intercambio de datos debe realizarse a través del cifrado VPN

Esto garantiza que los datos no sean robados o manipulados durante la transmisión. Una vez más, es ventajoso cambiar las puertas de enlace en frente de la infraestructura: la operación en curso no se interrumpe y el cifrado se puede implementar de manera rápida “.

El proveedor de servicios de desarrollo Newtec, a su vez, realiza productos electrónicos desde la idea conceptual hasta la industrialización, incluida la aprobación, con un enfoque en la seguridad funcional y la seguridad integrada.

Acompaña a las compañías de tecnología médica en su transformación digital y las asesora en temas de seguridad. Stephan Strohmeier dirige el departamento de “Consultoría de transformación digital” en Newtec.

Su evaluación: “Las compañías de tecnología médica ven el tema, la mayoría de ellas aún subestima la importancia y la relevancia”.

Él les aconseja: “La protección y la seguridad son características de calidad y no pueden incorporarse a un producto retrospectivamente.

El tema ya debe recibir la atención necesaria al inicio del desarrollo de un dispositivo médico.

“Para, según Strohmeier: “Los riesgos se pueden reducir al mínimo mediante análisis apropiados, procesos de desarrollo y medidas que acompañan al desarrollo. Para poder mantener la seguridad a lo largo del ciclo de vida del producto, se necesitan auditorías de seguridad regulares “.

Entonces, ¿necesita una legislación que establezca estándares normativos en esta área? En cualquier caso, el estudio de PwC muestra que los ciudadanos no quieren confiar únicamente en la dedicación de los hospitales y las prácticas médicas cuando se trata de la seguridad de los datos.

A la mayoría le gustaría que las medidas de protección de la salud estén reguladas por la ley y no solo de manera voluntaria.

Y Alexander Matheus, Gerente de Producto para Tecnologías Inteligentes y Seguridad de la Información en el Instituto de Certificación y Pruebas VDE, también critica: “Desde nuestro punto de vista, no hay suficiente enfoque en la seguridad de TI para los fabricantes de dispositivos médicos”.

La tecnología médica también se ve afectada por la nueva ley de seguridad informática.

Eso debería cambiar ahora. El Dr. Deniz Tschammler, abogado del bufete de abogados Hengeler Mueller, se refiere a las nuevas regulaciones de seguridad de TI para el sector de la salud, que entraron en vigor en Alemania el 30 de junio de 2019:

“La Ley de seguridad de TI está dirigida particularmente a operadores de instalaciones e infraestructuras específicas de la industria. que son de gran importancia para el bien común “. Tschammler explica:”

En la atención médica, esas infraestructuras se consideran críticas, cuyo fracaso o deterioro tendría graves consecuencias para la salud de los pacientes.

De acuerdo con la nueva situación legal, los operadores de infraestructuras críticas deben cumplir con los estándares mínimos de seguridad y, por lo tanto, garantizar que sus sistemas sean funcionales.

Pero las nuevas reglas de seguridad de TI no son solo para hospitales, como se podría sospechar a primera vista.

Según Tschammler, partes de la industria de tecnología médica también se ven directamente afectadas: “Las nuevas reglas de seguridad de TI también se aplican a áreas de servicio particularmente sensibles en la industria de dispositivos médicos, especialmente en el caso de dispositivos médicos utilizados para la respiración / traqueotomía, nutrición parenteral o enteral o incontinencia diseminada. o para el tratamiento de la diabetes tipo 1, los llamados dispositivos médicos inmediatos para mantener la vida.

Las infraestructuras críticas en estas áreas de atención incluyen instalaciones donde se fabrican dispositivos médicos para mantener la vida (instalaciones de fabricación) o dispensados ​​(dispensarios) y tienen una facturación anual de al menos 90,680.

En vista de la próxima fecha límite, las compañías de dispositivos médicos deben examinar lo antes posible la medida en que el nuevo reglamento se aplica a ellos.

Si se considera que un fabricante de dispositivos médicos es el operador de una infraestructura crítica, debe probar que sus sistemas de TI funcionan de manera segura y confiable hasta el 30 de junio y cada dos años a partir de entonces.

La pregunta sigue siendo: ¿Dónde pueden las empresas de tecnología médica obtener ayuda para actualizar su TI?

Los proveedores de servicios de servicios de seguridad son un posible punto de contacto

Pero el Instituto VDE también apoya a las empresas en el campo de la seguridad de la información y la ciberseguridad. Sin embargo, en lo que respecta a la ciberseguridad, la digitalización de todo el sistema de salud está dando grandes pasos.

Cualquier persona que fabrique y venda dispositivos médicos digitales debe protegerlos en consecuencia. Porque el próximo ataque hacker vendrá seguro.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

A %d blogueros les gusta esto: