Los hospitales estadounidenses fueron testigos de una avalancha de violaciones de seguridad a lo largo de 2021, con más de 40 millones de registros de pacientes comprometidos en incidentes informados al gobierno federal. Algunos ataques incluso amenazaron la prestación de atención médica, desconectando los sistemas de comunicaciones durante semanas o provocando una interrupción en la radioterapia.

Kevin Fu, profesor asociado de la Universidad de Michigan y director interino de Ciberseguridad de Dispositivos Médicos en el Centro de Dispositivos y Salud Radiológica de la FDA de EE. UU., se reunió con nosotros y discutió la alarmante tendencia y qué medidas son posibles para abordarla.

Cuéntenos sobre el alcance de este problema

2021 fue un año bastante importante para los ataques de ransomware en la prestación de atención médica. Es muy disruptivo y llega al corazón de los puntos débiles de la seguridad:el elemento humano se cuela.

En abril, en la FDA, vimos la primera instancia en la que el ransomware fue más allá de interrumpir los registros de salud electrónicos, lo que hasta la fecha era un problema bastante común e inconveniente. Este ataque afectó la seguridad y la eficacia de la radioterapia para la oncología radioterápica del cáncer.

Este ataque se dirigió a un fabricante, invadió una nube privada que usaban para la dosimetría de oncología radioterápica con ransomware y provocó una interrupción significativa en los hospitales que usaban su tecnología. Lo interesante es que no fue el ransomware en sí mismo, sino el proceso de remediación, lo que causó la interrupción. El fabricante siguió su libro de jugadas de seguridad de TI al desconectar su nube cuando estaba infectada.

Desafortunadamente, eso significaba que la nube no estaba disponible para una línea de productos de oncología radioterápica en particular, por lo que los hospitales que usaban el producto no podían administrar la radioterapia.

Cuando pensamos en el ransomware hospitalario, tendemos a pensar en el edificio en sí y los dispositivos que están confinados en esas paredes, pero en realidad parece que los puntos de falla en riesgo se extienden hasta la cadena de suministro

Sí, y creo que un verdadero desafío es un cambio de pensamiento. Hay sistemas de TI (correo electrónico, conferencias en el aula, cosas como esta) y tienen su propio conjunto de riesgos. Pero, por otro lado, está la tecnología operativa, lo que llamamos OT, que incluye cosas como dispositivos médicos, vehículos autónomos o activos satelitales en el espacio. Tienen un conjunto diferente de requisitos y tienden a centrarse primero en la seguridad.

Por lo tanto, si bien puede tolerar desconectar el sistema de correo electrónico de una empresa debido a un incidente de seguridad, eso no es realmente algo sobre la mesa para un sistema cinético donde la vida de las personas depende de ello.

¿Por qué ahora? ¿Hay alguna razón en particular por la que este es un problema creciente?

Yo sugeriría múltiples factores. Estos problemas se han incorporado a la informática desde el principio, y este tipo de ataque muy bien podría haberse ejecutado en la década de 1960.

But I think the reason why it's happening in 2022 is that we've reached an inflection point where the degree of connectivity between devices and services in all sectors has exploded. We are now dependent on distributed computing. Five or ten years ago we might have employed cloud computing for convenience, or perhaps for backup or secondary storage. But now it's moving into the critical path, it's part of the essential components of a medical device. And if it goes down, the medical device loses its core therapeutic functionality.

It's a tough era. There's nothing intrinsically wrong with cloud computing, but you have to control for the risks according to your threat model. And my observation is that the threat model for a medical device is very different from corporate email.

Are there any primary weaknesses that are low hanging fruit to tackle?

The low hanging fruit in terms of ease of repair would be what's become known as threat modeling. This is something we actually teach in computer security courses. It involves playing the role of the adversary, trying to think about how the system could resist not just today's threats, but future threats.

This is something that I think can be very helpful because, even with a legacy device, manufacturers can better understand what's at risk. They start by acknowledging that the device is susceptible to modern malware because it was designed 20 years ago.

Do patient record attacks more often target isolated hospitals, or do they target shared servers?

I am not yet aware of a cloud provider being targeted specifically because it serves a multitude of medical device manufacturers. I would not be surprised if this happens accidentally at some point.

We certainly hope that the cloud service providers that serve the healthcare industry are paying attention to some of the standards development to ensure that hospitals' devices remain safe and effective, even if they do use the cloud.

This is possible to achieve from an engineering perspective but requires conscious, deliberate steps if you want reasonable assurance. You don't want to have security by luck, you want to have security by design.

What's the message for stakeholders and the public?

This is not a run for the hills kind of event, it's more of a slow boil.

The public can have some degree of satisfaction that the different regulatory agencies across different countries are actually working together ahead of time on these issues. They're working on helping to keep hospitals informed about the security risks of each device, so that they can deploy them in a safe manner.

There are a lot of things going on in the background, both technical and in policy, that are going to improve devices.

The FDA is working strategically on standards development to design out a lot of security risks, but a challenge is that there's quite a bit of legacy software out in the marketplace—much of it decades old. Trying to keep those devices secure is incredibly challenging once the horse is out of the gate.

To that end there are also a lot of temporary measures underway to address the outdated, legacy devices. It's challenging, but not impossible, to keep these devices safe and effective until a more ideal device, with security built in from the get-go, becomes available.