Un estudio reciente del MIT encontró que el sector de la salud "se retrasó respecto a otras industrias en la protección de su cuidador principal (pacientes)".

Un profesional de la seguridad en el cuidado de la salud señaló esta brecha en un comentario a los investigadores que lamentaban que "cuando (yo estaba) en el sector bancario, hubiera tenido 25 empleados en una organización de este tamaño".

¿Por qué la seguridad hospitalaria está rezagada con respecto a otros sectores como la banca? Para responder a esta pregunta, es útil pensar en los métodos básicos de ciberseguridad utilizados por los bancos:

Seguridad in situ: dentro de un banco, el público puede interactuar con una pequeña cantidad de máquinas altamente especializadas, como cajeros automáticos. Las computadoras más generalizadas están estrictamente reservadas para el personal y nunca se dejan desatendidas o desbloqueadas.

Seguridad en línea: los servicios bancarios también han sido uno de los primeros jugadores en el acceso en línea. Las aplicaciones y los sitios web bancarios a menudo requieren contraseñas seguras, autenticación secundaria, desconexiones automáticas y otras medidas de seguridad.

Autenticación multifactorial: los bancos siempre requieren una autenticación de dos factores. El ejemplo más obvio es el de un cajero automático que generalmente requiere una tarjeta bancaria (algo que usted tiene) y un PIN (algo que sabe). Para muchas transacciones con contadores bancarios, se requiere una foto de identidad (algo que usted es).

Compara eso con los hospitales.

Seguridad laxa del sitio: los hospitales están repletos de rincones tranquilos y oficinas vacías. Las estaciones de trabajo de enfermería pueden dejarse desatendidas pero conectadas cuando las enfermeras deben apresurarse para hacer frente a la urgencia de un paciente. Un ciberdelincuente puede encontrar oportunidades para acceder a la red de un hospital a través de una toma de corriente desprotegida o una estación de trabajo desbloqueada. La naturaleza constante de un hospital de 24 horas hace que algunas formas de seguridad sean casi imposibles; en un caso reciente, un investigador de malware pudo acceder a un servicio de radiología después de horas y conectar un dispositivo malicioso sin verse comprometido.

Entorno caótico en línea: la atención médica está formada por proveedores interrelacionados que van desde médicos generales hasta especialistas en aseguradoras y grandes centros médicos, y existen muchos sistemas diferentes que intercambian los registros médicos de los pacientes de diferentes maneras. Estos diferentes sistemas y requisitos de interoperabilidad crean una gran "superficie de ataque" en la que los piratas informáticos pueden explotar vulnerabilidades y acceder a datos confidenciales del paciente.

Problemas de autenticación: los hospitales son entornos complejos, a menudo con miles de empleados, pacientes y visitantes. Los hospitales tienen una amplia variedad de máquinas, que a menudo se usan para ayudar a los pacientes pero sin supervisión directa. Algunas de estas máquinas no tienen autenticación. Cualquiera puede cambiar sus características.

Crédito de la imagen: Pixabay.

(Imagen: © Crédito de la imagen: The Digital Artist / Pixabay)

Pago instantáneo

Al comparar los dos, es bastante claro que los bancos tienen un enfoque de seguridad más organizado y sistemático que los hospitales, pero la pregunta es ¿por qué?

Una de las razones es obvia cuando imaginamos qué motiva a un delincuente cibernético a tratar de violar la seguridad de una empresa.

Cuando se trata de bancos, es muy obvio que los delincuentes están buscando dinero. Al igual que la antigua seguridad física en los bancos se centra principalmente en la prevención de robos, las soluciones de seguridad cibernética de los bancos están principalmente relacionadas con la prevención de robos en línea. La información bancaria robada también podría utilizarse para el robo de identidad o el chantaje, pero son menos simples.

Con los hospitales, no hay un cheque de pago instantáneo por el robo de datos médicos. La forma más inmediata de ganar dinero es vender los datos robados en la web oscura o en el mercado negro. Se estima que el valor de la información médica en el mercado negro se encuentra en su nivel más alto; Un hacker le dijo a los investigadores del MIT que "un registro de un hospital cuesta 20 veces más que un número de seguridad social".

Los delincuentes pueden usar esta información médica, como información bancaria, para el robo de identidad o, posiblemente, el chantaje si un paciente tiene un problema de salud que no quiere revelar. La divulgación de información privada sobre personas conocidas podría utilizarse para manipular los mercados o con fines políticos. Alternativamente, un hospital en sí podría ser blanco de chantaje o ransomware. Lo más alarmante es que un ataque de seguridad cibernética contra un hospital podría deshabilitar o desviar el equipo médico y lesionar a los pacientes.

En todos estos casos, sin embargo, la recompensa financiera es al menos un paso eliminado y el pirata informático debe esperar su recompensa, dejando más tiempo para que la policía se ponga al día.

Importancia de la confianza

Todo el mundo entiende lo que significa un robo en un banco. Los clientes, los empleados y los ejecutivos bancarios esperan que la seguridad cibernética de un banco sea físicamente segura. Para muchas personas, la idea de un banco es como un lugar para mantener su dinero seguro. La confianza es su negocio principal.

A un nivel más profundo, esta confianza subyace a todo el sistema bancario. Los bancos no tienen el dinero para pagar a cada depositante; Sin embargo, esperamos que el banco pueda pagar cuando lo necesitemos. Si esta confianza desaparece, una operación en los bancos puede provocar el colapso de todo el sistema.

Este nivel de confianza profunda también se aplica a los hospitales y centros médicos. Como pacientes, confiamos en los hospitales, permitiéndoles cambiar físicamente nuestro cuerpo a través de medicamentos y cirugías. Rara vez comprendemos cómo se realiza un diagnóstico particular y por qué requiere un tratamiento específico. Tenemos que confiar en los médicos, enfermeras, pruebas y máquinas.

Para ambas instituciones, si no hay confianza, nunca cruzará la puerta. Para los bancos, esta relación de confianza se reduce a una cuestión de seguridad: "¿Estará seguro mi dinero?" Para los hospitales, es un problema de seguridad: "¿Estaremos a salvo yo o mi ser querido aquí?"

Software de gestión de mejores prácticas

(Imagen: © Crédito de la imagen: Pixabay)

La seguridad del hospital ya no puede ser ignorada

En el mundo actual de dispositivos de red avanzados, con el desarrollo de Internet of Medical Objects (IoMT), la seguridad y la protección ya no son preocupaciones separadas; son una y la misma. Un respirador inseguro o una bomba de infusión es un peligro.

Los hospitales son intrínsecamente más difíciles de asegurar que los bancos. Las máquinas siempre deben dejarse desatendidas, mientras que los médicos y las enfermeras tratan a los pacientes. Siempre habrá varias categorías de dispositivos conectados, corredores aislados y miles de caras desconocidas.

Los proveedores de atención médica ven rápidamente la necesidad de proteger a sus pacientes, al igual que los bancos protegen a sus clientes y los mantienen seguros. Y es hora. ¿Cuánto tiempo podemos realmente aceptar una situación en la que nuestros hospitales, que protegen nuestras vidas, están menos seguros que los bancos que protegen nuestro dinero?

Safi Oranski, Vicepresidente de Desarrollo de Negocios y Embajador de IoT para CyberMDX

Share This
A %d blogueros les gusta esto: