Vulnerabilidad de infraestructuras críticas. Principales conclusiones del proyecto CIPSEC
Fecha: Noviembre 2019
Idioma: Castellano
Procedencia: Hospital Clínic de Barcelona
Web: ver aquí
Autores: Ferran Rodríguez Omedes, Adjunto a la Dirección de Infraestructuras e Ingeniería Biomédica; Manuel Sanz, Responsable de Ingeniería Biomédica; y Paco Sánchez, Responsable de Redes y Comunicaciones.
Las infraestructuras críticas son esenciales para el funcionamiento de cualquier sociedad y cualquier economía. Infraestructuras de producción y distribución de energía o agua, infraestructuras de transporte o redes de telecomunicaciones son buenos ejemplos para comprender que cualquier fallo en alguna de estas instalaciones puede tener efectos notables e incluso paralizantes para un Estado, ámbito territorial o institución. También las infraestructuras sanitarias tienen la consideración de infraestructuras críticas por la repercusión que implica para la sociedad un mal funcionamiento de la red sanitaria, debido a su repercusión en la salud de la población a la que atiende.
En los últimos años, tanto las Infraestructuras Críticas como las empresas proveedoras de servicios en este ámbito se han adaptado y han incorporado los avances exponenciales en el campo de las Tecnologías de la Comunicación y de la Información. Esta adaptación tecnológica se ha producido a un ritmo vertiginoso y no siempre se ha evaluado exhaustivamente su impacto en la seguridad. Internet permitió aspectos tan interesantes como la monitorización o el control remoto de las instalaciones, pero al mismo tiempo generaba una brecha de seguridad. El conjunto de amenazas y ataques en la era de la información comprometen seriamente estas infraestructuras y visibilizan sus vulnerabilidades ya sea a nivel de hardware, software y redes.
Ante estos desafíos y en este contexto nació el proyecto CIPSEC, de sus siglas en inglés Enhancing Critical Infraestructure Protection with innovative SECurity framework (Mejora de la protección de infraestructuras críticas con un innovador marco de seguridad). Cofinanciado por la Comisión Europea en el marco del programa Horizonte 2020, el proyecto tenía como objetivo crear un marco de seguridad unificado que vertebrara las heterogéneas soluciones y productos de última generación presentes en el mercado. Además, se proponía desarrollar una plataforma de gestión informática capaz de trabajar de forma integrada con las herramientas de seguridad aportadas por los distintos socios del consorcio.
El proyecto, que arrancó en mayo de 2016 y ha finalizado este verano de 2019, ha sido desarrollado por un consorcio integrado por 13 proveedores y organismos de diferentes países europeos. La solución desarrollada ha sido evaluada con dispositivos reales en tres casos piloto de infraestructuras críticas: la Deutsche Bahn, principal empresa ferroviaria de Alemania, en el campo del transporte; la CSI Piamonte de Italia en el ámbito de la administración y las ciudades inteligentes; y el Hospital Clínic de Barcelona como infraestructura sanitaria.
El Hospital Clínic de Barcelona: piloto de infraestructura sanitaria
Uno de los principales intereses del proyecto CIPSEC ha sido testear las soluciones desarrolladas en modelos de uso que pudieran modelizar diferentes entornos críticos escalables a nivel europeo. Como acabamos de decir, el Hospital Clínic de Barcelona ha sido la infraestructura crítica piloto en el ámbito sanitario.
La particularidad de los hospitales, desde esta perspectiva, es la alta complejidad y el desmesurado y heterogéneo número de dispositivos de diferentes marcas, fabricantes, especializaciones o softwares que se encuentran en nuestro entorno. Además, en muchas ocasiones, los equipos médicos que son los dispositivos más prototípicos de nuestro ámbito, o bien no están pensados para estar conectados, o bien la posibilidad de conectarlos es muy precaria u obsoleta, sin capacidad de integración.
En un hospital medio/grande como el nuestro, si sumamos los elementos IT (Information Technology) y los OT (Operational Technology) alcanzamos cifras de dispositivos nada despreciables que denotan la complejidad del asunto. En nuestro hospital tenemos alrededor de 5.000 elementos IT (ordenadores, estaciones de trabajo...), 2.000 elementos OT industriales (antenas, lectores, videocámaras…), y aproximadamente 1.000 dispositivos OT médicos conectados o fácilmente conectables.
Además, sabemos que en un futuro no muy lejano, por la evolución que sigue la tecnología y por las posibilidades que nos ofrecerá en el campo de la salud, los equipos médicos que todavía no están conectados a la red lo estarán. Los avances de la tecnología van en la línea de la integración para poder obtener información de fuentes muy diversas para obtener resultados muy por encima de los que te daría un dispositivo solo mirándose a sí mismo. En un mundo en el que la tendencia es a la conectividad entre dispositivos, existe la posibilidad de que los equipos médicos sean accesibles a través de dispositivos industriales y al revés. Esto implica que la barrera que todos tenemos muy clara en homologaciones se pone en tela de juicio, porque todos los dispositivos están conectados a la misma red.
Para poder seguir leyendo este artículo sobre las principales conclusiones del proyecto CIPSEC del Hospital Clínic de Barcelona y poder descargar el documento completo en PDF debe iniciar sesión o darse de alta en el portal.
Para poder escribir un comentario debe iniciar sesión o darse de alta en el portal.