La tecnología digital está impulsando la innovación y la mejora de la atención médica, pero al mismo tiempo, los dispositivos médicos conectados a redes hospitalarias pueden tener vulnerabilidades de software que los exponen a ataques de ciber delincuentes.

En la asistencia sanitaria, la seguridad cibernética puede ser una cuestión de vida o muerte. Y, con más y más dispositivos conectados a Internet, el riesgo es muy real.

 

Un problema es el equipo anticuado y no compatible.

Hace apenas unas semanas, se encontraron una serie de vulnerabilidades de software en las versiones finales de los gabinetes de suministro automatizado de medicamentos que podrían haber sido explotadas incluso por un atacante con un nivel de competencia limitado. Las versiones afectadas ya no son compatibles con sus fabricantes, por lo que no se proporcionó ningún parche de software para corregir las brechas de seguridad.

Otras industrias también se ven obligadas a confiar en hardware y productos no compatible, por lo que la asistencia sanitaria no es una excepción.La diferencia crucial es que, en la asistencia sanitaria, las vidas de los pacientes dependen del equipo.

Hay una gran cantidad de razones por las que una organización de salud puede terminar teniendo que ejecutar dispositivos y software que ya no son compatibles. Por ejemplo, las restricciones presupuestarias o la experiencia del personal no técnico pueden llevar a que se desplieguen tecnologías que superan el ciclo de vida recomendado por el fabricante. Además, la complejidad del entorno de TI, combinada con la necesidad de disponibilidad más o menos continua de los sistemas, significa que, incluso cuando los parches están disponibles, puede ser casi imposible desplegarlos.

 

Los últimos incidentes muestran que equipos obsoletos pueden abrir puertas a los hackers. Este artículo, de Wim Remes de Rapid7, discute por qué surge el problema y qué se puede hacer para mejorar la seguridad.

Sin embargo, hay algunas cosas que se pueden hacer para mitigar el problema de seguridad.

La primera palanca que una organización sanitaria puede utilizar es gestionar mejor la cadena de suministro. A medida que se conectan más dispositivos, la forma en que un proveedor de equipos gestiona la seguridad de sus dispositivos, especialmente a largo plazo, debe ser un factor clave en las decisiones de compra.

Los hospitales y las organizaciones de salud necesitan exigir a sus proveedores que se comprometan con la seguridad. La realidad es que si los clientes no lo piden, el proveedor no hará que sucede. Esto es especialmente cierto para las organizaciones más grandes, ya que tienen el mayor poder adquisitivo.

A medida que las organizaciones sanitarias eligen la tecnología para implementar, también es importante que se esfuercen por comprender completamente los componentes de los que dependerá esta tecnología.

El mantenimiento de equipos anticuados suele ser una opción económica. Tendrá dificultades para encontrar un ejecutivo que apruebe el reemplazo de un dispositivo de escaneo de varios millones de libras, o todas las bombas de insulina, en base a un informe de vulnerabilidad de seguridad. El costo relacionado con esa decisión es insuperable para la mayoría de las organizaciones de salud.

Además, la seguridad de un sistema es siempre hasta su eslabón más débil. Siempre habrá equipo inseguro, por lo que su presencia debería ser contabilizada en la arquitectura y el diseño del sistema de TI desde el principio, en lugar de convertirse en una sorpresa desagradable en el camino.

 

Si bien la seguridad debe comenzar con aspectos básicos como la segmentación de la red y la supervisión, algo aún más importante se puede hacer.

Uno de los mayores desafíos con los dispositivos médicos es que su funcionalidad clave, desde el punto de vista de la seguridad , es recopilar, transportar y almacenar los datos de los pacientes.