Ciberseguridad de dispositivos médicos
La ciberseguridad se ha convertido en un problema crítico de seguridad sanitaria tras el creciente número de incidentes de gran repercusión.
La ciberseguridad de los dispositivos médicos es una de las principales preocupaciones actuales. En el entorno médico actual, casi todos los dispositivos médicos incluyen algún tipo de sistema informático con capacidad de conexión en red. Esto significa que todos son vulnerables a ataques y fallos de seguridad. Estos pueden tener graves consecuencias para los proveedores y clientes de servicios sanitarios, afectando tanto a la seguridad de los pacientes como a sus datos médicos en todo el mundo.
En los últimos 10 años se han producido varios incidentes de gran repercusión internacional en organizaciones de atención sanitaria primaria que han puesto en peligro la información de los pacientes. En ese tiempo, los 10 incidentes más importantes, sólo en Estados Unidos, han afectado a más de cien millones de personas. Las estadísticas son más inquietantes cuanto más se investigan. En 2020 se estimaba que casi el 93% de las organizaciones sanitarias habían sufrido algún tipo de filtración de datos en los tres años anteriores. Y lo que es más inquietante, de esas organizaciones, el 57% informó de cinco o más violaciones de datos durante ese mismo periodo. El coste medio de una violación de datos para una institución médica es de más de diez millones de dólares.
Aunque esto ha hecho que se preste más atención a la amenaza, el gasto sanitario en infraestructuras de la información sigue estando por detrás de otros sectores y se sitúa regularmente entre los dos últimos puestos cuando se considera el gasto en TI por usuario. En la era de la conectividad y el Internet de las cosas (IoT), el potencial de los ciberataques se ha convertido en un tema de actualidad debido al valor monetario que tiene la información privada de los pacientes. Ahora es el momento de que las redes sanitarias inviertan en toda su infraestructura y base de usuarios para minimizar el riesgo y salvaguardar sus sistemas.
La importancia de la ciberseguridad para los dispositivos médicos
El uso de smartphones, ordenadores y tabletas con acceso a Internet como parte fundamental de nuestras vidas. Esto hace que la ciberseguridad sea una práctica crucial tanto a nivel personal como profesional para proteger sistemas, redes y programas de ataques digitales. La concienciación sobre la ciberseguridad ayuda a proteger nuestras cuentas, datos y nuestros dispositivos.
Dado que cualquier empresa u organización sanitaria puede convertirse en objetivo debido a la gran cantidad de información confidencial y datos personales que alberga, la ciberseguridad de los dispositivos médicos es extremadamente importante. Los sistemas y la tecnología obsoletos hacen que estos sistemas sean más vulnerables y un punto de entrada fácil para los atacantes. Un estudio sobre dispositivos médicos reveló que más del 60% de ellos estaban al final de su vida útil y presentaban una media de 6 vulnerabilidades conocidas. Desde el punto de vista de los proveedores, validar y probar nuevos sistemas supone un elevado gasto de recursos y dinero, por lo que el desarrollo se retrasa.
Es necesario garantizar la seguridad de los dispositivos médicos por muchas razones diferentes. Todas las empresas y centros sanitarios están obligados a cumplir los requisitos reglamentarios y los requisitos previos para garantizar la seguridad de sus pacientes, que puede verse comprometida durante un ciberataque. Esta responsabilidad recae directamente en las instituciones médicas, ya que normalmente los proveedores no están obligados a cumplir ningún requisito específico de ciberseguridad. Debido al enfoque extremadamente estrecho de muchos dispositivos médicos y a la competencia relativamente limitada, se presta menos atención a la seguridad de los datos y los dispositivos durante el desarrollo. Por lo tanto, los usuarios finales y los centros médicos deben formar al personal y establecer medidas de seguridad en sus redes. No hacerlo puede acarrear sanciones graves y costosas, publicidad negativa y la falta de confianza del público.
Principios de ciberseguridad de los productos sanitarios
La ciberseguridad es parte integrante de la seguridad de los dispositivos en cualquier sector, y el sanitario no es una excepción. La seguridad de los dispositivos médicos se ha vuelto cada vez más importante en los últimos años debido al uso de la IoT y a los ataques de alto perfil de los que han sido objeto en todo el mundo.
Para disponer de normas de ciberseguridad sólidas, los principios fundamentales de la ciberseguridad de los dispositivos médicos implican sistemas de seguridad razonables y eficaces que puedan garantizar la transparencia. Además, la norma internacional exige a las partes interesadas que apliquen la gestión de riesgos de seguridad y pruebas de ciberseguridad actualizadas que proporcionen pruebas objetivas.
La formación de los usuarios es fundamental. Más de un tercio de las violaciones se producen a través del acceso a cuentas de usuario, normalmente iniciado por correos electrónicos de phishing o llamadas falsas de asistencia a los usuarios. Gran parte de ellas pueden evitarse mediante la formación y educación continuas de los usuarios.
Gestión de riesgos de seguridad
La amenaza de ataques a la seguridad de los dispositivos médicos en todo el mundo convierte la gestión de riesgos en un elemento crucial de la ciberseguridad. Teniendo en cuenta el volumen de datos personales que se almacenan y procesan en los centros sanitarios, se recomienda que estas instituciones identifiquen los riesgos potenciales de violación de datos y pongan en marcha un plan para hacerles frente.
Las mejores prácticas en la gestión de riesgos de seguridad implican contar con medidas tanto técnicas como organizativas que sean ampliamente comprendidas y aplicadas por el personal, como políticas de seguridad eficaces para el seguimiento, control y análisis de datos privados y la supervisión y detección en vivo. Además, disponer de mecanismos de autenticación, segmentación de la red y cifrado de datos también son formas adecuadas de salvaguardar la información de los pacientes.
Pruebas de ciberseguridad
Otra de las mejores prácticas a aplicar en cualquier dispositivo médico son las pruebas de ciberseguridad. Mediante el uso de varias metodologías y estrategias, como el escaneado de seguridad o las pruebas de penetración, las instalaciones pueden identificar, evaluar y procesar cualquier vulnerabilidad de su sistema. Estas pruebas deben coincidir con la creación y la formación sobre un plan sólido en caso de ciberataque, o violación que ayudará a minimizar o incluso prevenir un mayor nivel de daño.
No aplicar plenamente la ciberseguridad de los dispositivos médicos o disponer de sistemas inadecuados puede tener graves consecuencias que afecten a cualquier institución sanitaria y a todos sus pacientes, razón por la cual todas las organizaciones deberían disponer de las certificaciones de ciberseguridad de dispositivos médicos adecuadas.
Delos Wilbur
Director de Servicios Técnicos