Fecha: Diciembre 2019
Idioma: Castellano
Procedencia: Hospital Clínic de Barcelona
Web: ver aquí
Autores: Manuel Sanz, Responsable de Ingeniería Biomédica y Paco Sánchez, Responsable de Redes y Comunicaciones del Hospital Clínic de Barcelona

El concepto de Internet de las cosas ha penetrado con interés en el mundo sanitario y hospitalario. Todas las instituciones quieren tener todos los equipos conectados, pero en realidad son muy pocos los hospitales que consiguen comunicar elementos entre ellos.

La conectividad entre elementos se había entendido hasta muy recientemente desde un punto de vista IT (Information Technology). Pero para el mundo industrial llegó un momento en que la conectividad fue troncal para poder automatizar procesos y poder gestionar todos los servicios de forma centralizada y ubicua. Aquello que arrancó en el ámbito industrial sugirió a otros muchos sectores unas potencialidades muy interesantes.

En la actualidad, la emergencia de determinados productos tecnológicos en el mercado se focaliza en gran medida en dar respuestas rápidas a determinadas demandas sin tener como prioritaria la seguridad informática. En el mundo del Internet de las cosas están implicadas muchas personas que no tienen una formación informática, y por eso es fundamental tomar consciencia de los riesgos que entrañan estos dispositivos en relación a las vulnerabilidades que puedan presentar y los vectores de ataque que puedan darse al conectarlos a la red.

En el Hospital Clínic llevamos más de tres años trabajando en la conectividad entre elementos y dispositivos con el objetivo de prestar una mejor atención sanitaria. La posibilidad de conectar equipos IT y equipos OT (Operational Technology) —médicos y no médicos— y extraer, cruzar y analizar información de fuentes muy distintas nos permite y nos permitirá mejorar todavía más, la atención que prestamos a los pacientes.

En nuestro hospital tenemos alrededor de 5.000 elementos IT (servidores, ordenadores, impresoras…) que se integran a la red del hospital y que están perfectamente controlados a través de distintos controles de seguridad. En estos dispositivos somos muy conscientes de los peligros existentes y de las soluciones de seguridad que debemos aplicar.

Nuestra institución también cuenta con más de 1.500 equipos OT no médicos, y estos elementos crecen a un ritmo de más de medio centenar de elementos al año. Los equipos industriales en el hospital son muchos y muy diversos, y los dividimos en dos grandes grupos: los industriales y los médicos. Los dispositivos OT industriales van desde las cámaras de seguridad o las cámaras de control de pacientes (presentes en unidades de cuidados intensivos), a los dispositivos de control de acceso biométricos, pasando por todo tipo de emisores y receptores de señales RFID (arcos de paso, sensores de temperatura situados en neveras y congeladores, etc.) o todos los teléfonos IP que tiene nuestra institución. Además, contamos con numerosos elementos que forman parte de los elementos que nos permiten el control de la gestión de las instalaciones (iluminación, climatización…), que ya hace más de diez años que están conectados a la red.

El riesgo de seguridad de la red podría darse en el caso de que un atacante pudiera acceder a un dispositivo con algún tipo de vulnerabilidad y, a partir de éste provocar daños como modificar el comportamiento del dispositivo o acceder a información confidencial. La vulnerabilidad de un dispositivo OT puede ocurrir, por ejemplo, porque el fabricante del dispositivo no ha contemplado el uso de una contraseña para poder acceder a él o bien porque el dispositivo dispone de una contraseña “de fábrica” que nadie se ha preocupado de cambiar, y por lo tanto fácilmente penetrable.

También es cierto que aunque hay riesgos de seguridad explotables a causa de la presencia de vulnerabilidades, en el hospital están muy acotados gracias a las restricciones de acceso que tienen los dispositivos desde redes públicas. En la actualidad, los proyectos IoT que desarrollamos están en funcionamiento interno y por eso no tiene sentido que estos dispositivos estén publicados en internet, por lo tanto la vulnerabilidad queda dentro de la institución. El riesgo real en un hospital como el nuestro sería que el atacante formara parte de la propia institución.

En todo caso, hace un tiempo creímos oportuno que debíamos poder coordinar, gestionar y monitorizar todos los elementos OT, que en la actualidad son alrededor de 1500. Entonces, y en relación a la seguridad, surgieron dos proyectos en paralelo: el proyecto CIPSEC y proyectos derivados del Plan Estratégico del Hospital Clínic 2016-2020.

Proyectos en relación a la seguridad
Fruto del desarrollo de proyectos enmarcados en el Internet de las Cosas, donde la relación entre los departamentos de Infraestructuras y de Redes y comunicaciones se ha estrechado mucho en los últimos años, y todos hemos tomado conciencia de los peligros que conlleva la conexión de “cosas” a la red, a diferencia de la fase inicial, en plena introducción de dispositivos OT, cuando no se contemplaban los riesgos con la misma perspectiva que ahora.

Para poder seguir leyendo este artículo sobre el Internet de las cosas y la seguridad en hospitales y poder descargar el documento completo en PDF debe iniciar sesión o darse de alta en el portal.