This post is also available in: English (Inglés) 简体中文 (Chino simplificado) 繁體中文 (Chino tradicional) Français (Francés) Deutsch (Alemán) 日本語 (Japonés) 한국어 (Coreano)
Proteja todos los dispositivos conectados con Medical IoT Security, una solución basada en el modelo Zero Trust y pensada específicamente para el sector sanitario
Los dispositivos médicos conectados están revolucionando la atención sanitaria de diferentes maneras: ayudan a mejorar la experiencia de los pacientes ofreciendo diagnósticos más rápidos y precisos, reducen los costes operativos, aumentan la eficiencia gracias a la automatización y optimizan los resultados obtenidos con los pacientes en términos generales. Son muchos los ámbitos en los que se utilizan dispositivos IdC médicos y operativos conectados a internet, desde la monitorización de pacientes hasta los sistemas de oficina. Pero no todo son ventajas, ya que estos dispositivos también amplían la superficie de ataque y constituyen el eslabón más débil de las redes de los hospitales, algo que los atacantes no dudan en aprovechar para infiltrarse en ellas.
El sector sanitario ha sido siempre uno de los más afectados por las brechas y, durante los últimos 12 años (entre 2010 y 2022), el coste medio de cada una de ellas ha sido más alto que en cualquier otro sector. Este tipo de dispositivos representan un objetivo muy lucrativo para los atacantes, ya que les permiten lanzar ataques de ransomware contra los hospitales para cobrar rescates o directamente robar datos valiosos, como la información sanitaria personal (PHI, por sus siglas en inglés) confidencial de los pacientes.
Los estudios del equipo de investigación de amenazas Unit 42 de Palo Alto Networks concluyen que los dispositivos médicos constituyen el punto más débil de las redes de los hospitales, ya que suelen contener vulnerabilidades críticas:
- El 75 % de las bombas de infusión analizadas presentaron al menos una vulnerabilidad o generaron, como mínimo, una alerta de seguridad.
- Los dispositivos de obtención de imágenes diagnósticas, como las máquinas de rayos X, los equipos de resonancia magnética y los escáneres de tomografía computarizada, resultaron ser particularmente vulnerables. Tanto es así que el 51 % de los equipos de radiografías estaban expuestos a vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés) de gravedad alta (CVE-2019-11687).
- El 20 % de los dispositivos de obtención de imágenes diagnósticas utilizados habitualmente ejecutaban una versión de Windows obsoleta.
- El 44 % de los escáneres de TC y el 31 % de las máquinas de resonancia magnética estaban expuestos a una CVE de gravedad alta.
La cantidad de dispositivos médicos conectados y las vulnerabilidades que contienen son solo la punta del iceberg. Protegerlos supone todo un reto, tal y como demuestran los ciberataques que han sufrido recientemente la organización sanitaria estadounidense CommonSpirit y los hospitales CHI Saint Joseph Hospital de Lexington (EE. UU.), CHSF de París y AIIMS de Nueva Deli.Asimismo, el pasado octubre, la Cybersecurity and Infrastructure Security Agency (CISA) emitió un aviso de ciberseguridad advirtiendo a los proveedores de servicios sanitarios de la existencia de un grupo de ransomware y extorsión de datos que dirige sus actividades al sector salud (tanto público como privado) y muestra especial interés en acceder a los sistemas de bases de datos, de diagnóstico y de obtención de imágenes médicas presentes en las redes.
Proteger estos dispositivos médicos modernos resulta complicado por distintos motivos:
- La falta de visibilidad de los dispositivos médicos conectados sin gestionar impide conocer la verdadera extensión de la superficie de ataque.
- Las vulnerabilidades que se ignoran debido a la falta de contexto acerca de los dispositivos exponen a los hospitales a amenazas desconocidas.
- Las arquitecturas de seguridad obsoletas —que utilizan redes planas y recurren a métodos manuales (y por lo tanto, propensos a errores) para crear políticas de seguridad— dificultan el cumplimiento de normativas como la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA, por sus siglas en inglés).
- El hecho de tener que gestionar varios productos de seguridad independientes genera complejidad y lagunas de seguridad.
Las organizaciones sanitarias necesitan una solución de ciberseguridad Zero Trust (confianza cero) exhaustiva para que sus iniciativas de transformación digital lleguen a buen puerto y les permitan mejorar la atención que prestan a sus pacientes, garantizando al mismo tiempo la privacidad de los datos de estos y el cumplimiento normativo. El modelo Zero Trust es una estrategia de ciberseguridad que elimina la confianza implícita mediante la validación continua de cada una de las fases de las interacciones digitales. Se basa en el principio de «no confiar nunca, verificar siempre» y se ha diseñado para proteger los entornos sanitarios digitales de hoy en día de los ataques de día cero. Para ello, aplica controles basados en el criterio del mínimo privilegio y políticas de verificación continua de la confianza y de supervisión ininterrumpida del comportamiento de los dispositivos.
Solo Palo Alto Networks le ofrece el método más rápido y exhaustivo para lograr la seguridad Zero Trust y poder centrarse en prestar la mejor atención a sus pacientes
Palo Alto Networks ha desarrollado Medical IoT Security aprovechando su actual tecnología de seguridad de IdC de eficacia probada y utilizando el modelo Zero Trust como base. Esta solución —que se sirve del aprendizaje automático (AA) para ofrecer a los proveedores de servicios sanitarios un producto de seguridad de IdC diseñado específicamente para los dispositivos médicos— ayuda a detectar y evaluar con rapidez todos los dispositivos, a segmentar la red y aplicar el acceso según el criterio del mínimo privilegio fácilmente y a protegerse de las amenazas conocidas y desconocidas; todo ello, mediante operaciones simplificadas. Además, este nuevo producto permite a los proveedores de servicios sanitarios hacer todo esto para mejorar la seguridad y reducir las vulnerabilidades:
- Comprobar la segmentación de la red: visualizar el mapa completo de dispositivos conectados y garantizar que cada uno de ellos se encuentre en el segmento de la red que le corresponde. Con una buena segmentación de la red, nos aseguramos de que los dispositivos se comuniquen únicamente con sistemas autorizados.
- Automatizar las respuestas de seguridad basándose en reglas: crear reglas de políticas que supervisen los dispositivos por si se producen anomalías en su comportamiento y, en caso de que así sea, desencadenar las respuestas oportunas automáticamente. Pongamos que lo normal es que cierto dispositivo médico solo envíe pequeñas cantidades de datos durante la noche y que, de repente, empieza a utilizar demasiado ancho de banda. En este caso, la regla predefinida desconectaría el dispositivo de internet de forma automática y enviaría una alerta a los equipos de seguridad.
- Automatizar la aplicación de políticas relativas a las prácticas recomendadas en materia de Zero Trust: aplicar con un solo clic las políticas de acceso según el criterio del mínimo privilegio recomendadas para los dispositivos en las tecnologías de aplicación de políticas compatibles. Esto acaba con la creación de políticas manual —un método lento y propenso a errores— y puede hacerse fácilmente con todo un conjunto de dispositivos pertenecientes a un mismo perfil.
- Conocer las vulnerabilidades y el nivel de riesgo de los dispositivos: obtener información instantánea sobre el nivel de riesgo de los dispositivos (por ejemplo, cuánta vida útil les queda, si les afecta una retirada de productos ordenada por la FDA, si están utilizando la contraseña predeterminada o si han establecido alguna comunicación no autorizada con un sitio web externo), su formulario MDS2, las CVE a las que pudieran estar expuestos, anomalías en su comportamiento, la investigación de amenazas más reciente de Unit 42, etc. Además, permite acceder a la lista de materiales de software (SBOM, por sus siglas en inglés) de cada dispositivo médico y contrastarla con las vulnerabilidades y exposiciones comunes (CVE), un método que permite conocer las bibliotecas de software utilizadas en el diseño de los dispositivos médicos y determinar si existe alguna vulnerabilidad asociada a ellas.
- Mejorar el cumplimiento normativo: entender fácilmente qué vulnerabilidades presentan los dispositivos médicos, qué configuración de seguridad tienen y cuál es el estado de las actualizaciones y, a continuación, obtener recomendaciones para garantizar que los dispositivos cumplan la normativa, como la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA), el Reglamento General de Protección de Datos (RGPD) u otras leyes y reglamentos afines.
- Simplificar las operaciones: gracias a los dos paneles distintos que ofrece la solución, los equipos de TI y de ingeniería biomédica pueden ver la información crucial que cada uno necesita para hacer su trabajo. Por otra parte, la integración con los sistemas de gestión de la información sanitaria que ya utilizan (como AIMS o los de Epic Systems) ayuda a automatizar los flujos de trabajo.
- Cumplir los requisitos de ubicación de los datos: con Medical IoT Security, nuestros clientes de EE. UU., Alemania, Singapur, Japón y Australia lo tienen más fácil para adoptar IoT Security con alojamiento en la nube local. La disponibilidad regional de Medical IoT Security garantiza el cumplimiento de la normativa local en materia de ubicación de los datos (p. ej., el RGPD).
Directrices útiles ofrecidas por Medical IoT Security
El sector salud se está transformando para mejorar la atención al paciente, y esto significa que el número de dispositivos médicos conectados seguirá aumentando. Gracias a Medical IoT Security, que se basa en un sólido marco Zero Trust, el sector puede utilizar este tipo de dispositivos con total confianza y saber qué directrices seguir para proteger su ciclo de vida al completo. Esta solución proporciona visibilidad, evalúa los riesgos y sugiere medidas para que los distintos sistemas sanitarios puedan lograr la seguridad Zero Trust para la totalidad de sus aplicaciones y dispositivos médicos conectados.
Si desea obtener más información sobre Medical IoT Security, le invitamos a que lea nuestro informe técnico The Right Approach to Zero Trust for Medical IoT Devices (disponible en inglés).