¿Este dispositivo es seguro para su uso en un hospital? Crédito:Fotógrafo de guitarra / Shutterstock.com
Como cualquier gran empresa, un hospital moderno tiene cientos, incluso miles, de trabajadores que utilizan innumerables computadoras, teléfonos inteligentes y otros dispositivos electrónicos que son vulnerables a violaciones de seguridad, robos de datos y ataques de ransomware. Pero los hospitales se diferencian de otras empresas en dos aspectos importantes. Mantienen registros médicos que se encuentran entre los datos más sensibles sobre las personas. Y muchos aparatos electrónicos hospitalarios ayudan a mantener vivos a los pacientes, monitorear los signos vitales, administrar medicamentos, e incluso respirar y bombear sangre para quienes se encuentran en las condiciones más extremas.
Una filtración de datos en 2013 en el grupo médico de Medicina de la Universidad de Washington comprometió alrededor de 90, 000 registros de pacientes y resultó en $ 750, 000 multa de los reguladores federales. En 2015, el sistema de salud de UCLA, que incluye varios hospitales, reveló que los atacantes accedieron a una parte de su red que manejaba información para 4.5 millones de pacientes. Los ciberataques pueden interrumpir los dispositivos médicos, cerrar las salas de emergencia y cancelar las cirugías. El ataque de WannaCry por ejemplo, interrumpió un tercio de las organizaciones del Servicio Nacional de Salud del Reino Unido, resultando en la cancelación de citas y operaciones. Este tipo de problemas son una amenaza creciente en la industria del cuidado de la salud.
La protección de las redes informáticas de los hospitales es fundamental para preservar la privacidad del paciente, e incluso la vida misma. Sin embargo, una investigación reciente muestra que la industria del cuidado de la salud está a la zaga de otras industrias en la protección de sus datos.
Soy un científico de sistemas en MIT Sloan School of Management, interesado en comprender sistemas socio-técnicos complejos como la ciberseguridad en la atención de la salud. Un ex alumno, Jessica Kaiser, y entrevisté a funcionarios del hospital a cargo de expertos en ciberseguridad y de la industria, para identificar cómo los hospitales gestionan los problemas de ciberseguridad. Descubrimos que, a pesar de la preocupación generalizada por la falta de financiación para la ciberseguridad, Dos factores sorprendentes determinan más directamente si un hospital está bien protegido contra un ciberataque:la cantidad y variedad de dispositivos electrónicos en uso y cómo los roles de los empleados se alinean con los esfuerzos de ciberseguridad.
Una amplia gama de dispositivos
Un desafío importante en la ciberseguridad de los hospitales es la enorme cantidad de dispositivos con acceso a la red de una instalación. Como ocurre con muchas empresas, estos incluyen teléfonos móviles, tabletas, computadoras de escritorio y servidores. Pero también tienen una gran cantidad de pacientes y visitantes que vienen con sus propios dispositivos, también, incluidos los dispositivos médicos en red para controlar su salud y comunicarse con el personal médico. Cada uno de estos elementos es una vía de acceso potencial para inyectar malware en la red del hospital.
Los funcionarios del hospital podrían usar software para asegurarse de que solo los dispositivos autorizados puedan conectarse. Pero aún así, sus sistemas seguirían siendo vulnerables a las actualizaciones de software y los nuevos dispositivos. Otra debilidad clave proviene de los equipos médicos ofrecidos como muestras gratuitas por los fabricantes de dispositivos que operan en un mercado competitivo. A menudo, no se someten a pruebas de seguridad adecuadas antes de conectarse a la red del hospital. Uno de nuestros entrevistados mencionó:"En los hospitales ... hay todo un proceso de adquisición subterráneo mediante el cual los proveedores de dispositivos médicos se acercan a los médicos y les dan muchas cosas gratis que eventualmente llegan a nuestros pisos, y luego, un año después, recibimos una factura ".
Cuando las nuevas tecnologías pasan por alto los procesos habituales de compra y evaluación de riesgos, no se revisan en busca de vulnerabilidades, por lo que presentan aún más oportunidades de ataque. Por supuesto, Los administradores del hospital deben sopesar estas preocupaciones con las mejoras en la atención al paciente que pueden aportar los nuevos sistemas. Nuestra investigación sugiere que los hospitales necesitan procesos y procedimientos más sólidos para administrar todos estos dispositivos.
Participación del personal
Lograr que los administradores del hospital comprendan la importancia de la ciberseguridad es bastante sencillo:nos dijeron que están preocupados por los costos, reputación institucional y sanciones regulatorias. Conseguir personal médico a bordo puede ser mucho más difícil:dijeron que se centran en la atención al paciente y no tienen tiempo para preocuparse por la ciberseguridad.
Las personas suelen tratar las protecciones de ciberseguridad como algo secundario a lo que intentan hacer. Una persona que entrevistamos describió por qué algunos miembros del personal cometieron el pecado cardinal de ciberseguridad de compartir una contraseña:"Para usar una máquina de ultrasonido [se necesita una contraseña, que] tiene que cambiar cada 90 días. [El personal] solo quiere usar la máquina de ultrasonido. No contiene muchos datos de pacientes ... por lo que crean un inicio de sesión compartido para poder brindar atención al paciente ".
Las necesidades pueden variar ampliamente en un hospital, de formas que pueden resultar sorprendentes, como el acceso a sitios que probablemente contengan software malintencionado. Un director de información de un hospital de investigación nos dijo:"Personalmente, creo que la pornografía hardcore no tiene ningún propósito en los dispositivos admitidos por hospitales. ¿Qué hice hace cinco años? Coloqué filtros de contenido de Internet que impedían que las personas navegaran a la pornografía. En cinco minutos, el director de psiquiatría me llama para decirme que tenemos una beca para estudiar pornografía en un contexto médico [así que tuvimos que modificar nuestros filtros] ".
Estas experiencias son la razón por la que llegamos a la conclusión de que las limitaciones presupuestarias no son tan cruciales para la ciberseguridad hospitalaria como la participación de los empleados. Un hospital puede comprar tantas piezas de hardware y software como desee. Si los trabajadores no siguen los procedimientos de la organización, la tecnología no mantendrá seguros a los hospitales. Nuestra investigación sugiere que la ciberseguridad tiene que ver tanto con la gestión de personas como con la tecnología.
El cumplimiento no es seguridad
La amenaza es a nivel nacional y cada vez es más difícil defenderse, como nos dijo un director de seguridad de la información:"La naturaleza de los ataques es cada vez más sofisticada. Solía ser mi mayor amenaza ... los estudiantes. Hoy, son ataques patrocinados por el estado, terrorismo y crimen organizado. Son más amenazas que nunca antes de una naturaleza más seria ".
Desafortunadamente, muchos administradores de hospitales parecen creer que proteger los datos es tan simple como cumplir con las regulaciones estatales y federales. Pero esos son estándares mínimos que no abordan adecuadamente la amenaza. Como dijo uno de nuestros entrevistados, "El cumplimiento es un listón bajo. Garantizo que las pequeñas organizaciones de atención médica y los hospitales no harían nada (sin la regulación). Tendrían un trozo de papel en un estante llamado su política de seguridad. Es necesario como respaldo para que las empresas al menos piensen al respecto. Pero cumplir con las normas no resuelve el mayor problema de gestión de riesgos ".
Nuestra investigación muestra que los hospitales deben pensar más allá del cumplimiento. También, con tan pocos hospitales bien defendidos contra ciberataques, todos los hospitales parecen más atractivos como objetivos potenciales. En nuestra opinión, no es suficiente que los hospitales mejoren sus propias defensas, ni que los reguladores eleven los estándares. Deben gestionar y evaluar la seguridad de, dispositivos en sus redes y asegurarse de que el personal médico comprenda cómo una buena higiene cibernética puede respaldar una buena atención al paciente. Más lejos, Responsables políticos, Los líderes de atención médica y los propios hospitales deben trabajar juntos para hacer que la industria en su conjunto sea menos susceptible a los ataques que amenazan la privacidad de las personas y sus propias vidas.
Este artículo se publicó originalmente en The Conversation. Lea el artículo original.