Las TIC ya están a pie de cama... |
También podéis consultar los consejos sobre ciberseguridad de la Oficina de seguridad del internauta con consejos generales y recursos útiles sobre estos temas.
EDICIÓN 19/9/2016
He cometido el tremendo error de dejar de citar esta serie de entradas del blog Nuestra Enfermería en las que Manuel Jimber (@manuelJimber) ilustra también esta cuestión. Seguridad de la información para la seguridad del paciente.
__________________________________________________________________________________
BAJO AMENAZA
En 2015, los hospitales y sistemas sanitarios fueron algunas de las víctimas de los ciberataques. Ninguna industria es inmune, pero los hospitales y sistemas sanitarios parece que se han convertido en uno de los objetivos favoritos de los hackers que se benefician de unas redes insuficientemente seguras, tanto es así que IBM llama 2015, el "año brecha de seguridad en sanidad". Casi 100 millones de registros de salud se vieron comprometidos el año pasado.
La información sobre la salud sujeta a protección tiene un lago valor en el mercado negro. Los registros de historia clínica electrónica (HCE) contienen no sólo información médica y de salud sino también datos de documentos como número de la seguridad social, detalles sobre la situación laborla e información financiera (en EEUU).
Pese a que las cifras de los ciberataques en hospitales y sistemas de salud no son públicas al menos tres ataques a gran escala han ocurrido en el último año. Un ataque a MedStar forzó al mayor sistema de salud de la región capital de EEUU a apagar su red al inicio de la primavera, hospitales en Kentucky y Los Angeles han caido recientemente víctimas de ataques de ransomware (software secuestrador). En Marzo el Los Ángeles Times informó que otros dos hospitales del sur de California habían sido comprometidos por hackers.
Se espera que esto vaya a peor porque los hackers se están haciendo más sofisticados y muchas empresas adolecen de las medidas de protección necesarias para impedir estos ataques. Los gobiernos de EEUU y Canadá han lanzado una alerta a los hospitales, empresas y personas sobre los ataques con ransomware, incluyendo información sobre como prevenirlos y mitigar sus efectos.
Los humanos son el punto débil y los errores humanos son culpables de los ciberataques en hospitales y sistemas de salud. Que hacen o dejan de hacer las enfermeras (y otros profesionales) en su interacción con estos sistemas que puede comprometer la seguridad y facilitar ataques maliciosos y extremadamente caros?. Se estima que los ataques online cuestan unos 150000 dólares al año, pero es difícil poner precio a la pérdida de credibilidad de las instituciones.
Entrevista a Satish M Mahajan sobre el creciente problema de los ciberataques y qué necesitan saber las enfermeras sobre cómo prevenirlos y responder a los mismos en sus hospitales y en las redes de ordenadores de sanidad. Su cualificación para tratar el tema es única por tener una trayectoria profesional inusual pues tras su especialización en ingeniería cursó enfermería, consiguiendo un doctorado por la universidad de California. Trabajando en cuidados intensivos proporciona una perspectiva muy valiosa sobre como interactuan las enfermeras con los sitemas y de qué forma pueden abrir de forma inadvertida las puertas de esos sistemas invitando a los hackers a entrar. Mahajan en la actualidad combina sus conocimientos sobre enfermería y TICs empleando sus habilidades para enseñar a los empleados del hospital sobre su papel en la prevención de ciberataques.
¿PORQUÉ EN SANIDAD?
Medscape: Porqué los hackers tienen como objetivos los hospitales y a las enfermeras? Son los hospitales o las enfermeras demasiado confiados o desonocen la tecnología? Hay otros factores que hacen de la sanidad un objetivo tentador?
Dr Mahjan: No hay mucho que hacer con el personal que trabaja en los hospitales, por si sólo. Hay más que hacer con la motivación de los hackers. La principal motivación para hackear un hospital o sistema sanitario es por beneficio económico y en menor grado por publicidad o venganza.
Los hospitales se preocupan principalmente por la seguridad, la salvaguardia y la protección de los datos de salud de los pacientes. Suelen ser prudentes y precavido, pero esto les puede hacer lentos en responder y adaptarse a las situaciones en cambio rápido. Algunos hospitales pueden estar usando tecnología caducada, o fallar en actualizar sus sistemas por lo que cuesta. Los hacker conocen estas cosas y se aprovechan de ellas. Desde el punto de vista de los hackers cuanto intentan encontrar vulnerabilidades de las que conseguir beneficio económico ¿porqué no elegir un objetivo que es ineficiente y se mueve despacio?.
Otro factor en el crecimiento de los ataques a los hospitales es el nivel de penetración en términos de recuperación de información. Los hackers pueden conseguir beneficios financieros temporales con fraudes de tarjetas de crédito, pero el robo de registros de salud expone mucha más información de las personas: números de seguridad social, direcciones, teléfonos, detalles demográficos, discapacidades, información sobre su aseguramiento y más. Esta información está en el núcleo de la identidad de modo que hablamos de "robo de identidad médica". Esta situación proporciona una fuente de incentivos financieros al tiempo que un beneficio inmediato a los hackers.
Otro factor es la naturaleza de los servicios que ofrecen los hospitales cuyo primer obejtivo es proporcionar asistencia en temas de salud. Muchos servicios se caracterizan por se abiertos, tener interacción social, urgencia e intensidad. Las puertas deben permanecer abiertas, y el personal debe tener acceso a los registros de los pacientes para prevenir errores y retrasos en el tratamiento.
Los hospitales dependen de su reputación como lugar seguro y su misión es cuidar a personas en situaciones de vulnerabilidad. No pueden simplemente apagarse y esperar cuando ocurre un ciberataque. Por esta razón, los hospitales son más propensos a pagar un secuestro cuando el riesgo de retrasos puede comprometer la atención al pacientes y resultar en muerte o juicios.
CIBERATAQUES
Medscape: ¿Cuales son los diferentes tipos de cibertataques en los hospitales o sistemas de salud y que ganan quienes perpretan un ataque a estas redes?
Dr Mahajan: Tres conceptos sobre los que la gente habrá escuchado hablar en las noticias de los ciberataques a hospitales son "ransomware", "malware" y "ataques troyanos".
El ransomware es un virus de software que infiltra el sistema y pide que sus propietarios paguen algun tipo de rescate, como la moneda online bitcoin, antes de que se les devuelva la funcionalidad de su sistema y se desbloquee el acceso a sus datos. Este año, MedStar Health de Washington DC fue víctima de un ataque ransomware, pese a que rechazaron pagar el rescate y restauraron su sistema por sus propios medios.
El Malware es un software que trata de actualizar algunas partes de los sistemas operativos o las aplicaciones de núcleo y sus configuraciones. Esto puede ir desde deshabilitar el sistema completamente o paralizarlo de forma que ciertas aplicaciones no funcionen como es debido. El malware por si sólo puede proponer arreglar el sistema por un precio o provocando una molestia al usuario y pérdida de productividad.
Un Ataque troyano ocurre cuando los usuarios intentan descargarse algo conocido y beneficioso para ellos (como una nueva versión de su navegador favorito) pero fallan en reconocer que la descarga proviene de un sitio malicioso y que el navegador trae consigo malware en el instalador. Cuando el usuario instala la nueva versión en su sistema el malware se instala igualmente.
La reciente alerta del equipo americano de praparación para las emergencias informáticas proporciona los siguientes ejemplos de mensajes intimidatorios que pueden encontrarse los usuarios durante los ataques:
*Su ordenador ha sido infectado por un virus. Haga clic aquí para resolver el problema.
*Su ordenador se ha usado para visitar sitios con contenido ilegal. Para desbloquear su equipo debe pagar una multa de 100$.
*Todos los archivos de su ordenador han sido encriptados. Deberá pagar por ello en 72 horas para recuperar el acceso a sus datos.
Medscape: ¿Cual es la forma típica que tienen los hackers de entrar en la red sanitaria?
Dr Mahajan: La mayoría del hacking consite en explotar alguna de las varias vulnerabilidades que existen. Ellos buscan esas vulnerabilidades. Un ataque tipico ocurre cuando un usuario (un empleado) busca información en internet: Abre un sitio web específico y descarga algo que transporta lo que llamamos "carga maliciosa" que se instala en su ordenador. Desde ahí se propaga.
Otro método ocurre cuando el hacker envía algo directamente al usuario, habitualmente mediante un correo. A diario recibimos cientos de correos desde un gran número de origenes. En este caso, algo viene adjunto al correo. Si haces click en el adjunto el programa se descarga y ejecuta.
Los hackers más sofisticados a menudo van por otro camino. Buscan un sistema público en la periferia de la organización (servidores web o de comunicación que están abiertos al público) rastrean los puertos de la red en esos sistemas. Si encuentran un puerto abierto, escriben un programa para introducir algo mediante ese puerto en el servidor. Desde ahí, se ejecuta y el código malicioso se propaga por la intranet.
Cuando el objetivo es un robo de identidad, un método para conseguir la información es mediante ingeniería social. Por ejemplo, el hacker puede iniciar una conversación casual con un empleado del hospital, por teléfono o en persona, para encontar un punto de entrada (como una dirección de correo) en las operaciones del hospital o en información de los pacientes. Los trabajadores de los hospitales con más vulnerables en estos escenarios porque los pacientes pasan a diario, las llamadas solicitando información son frecuentes y el personal habla habitualmente con desconocidos. En caso de apuro, puden responder a las preguntas antes de pensar con quien están hablando. Es importante que los profesionales puedan distinguir entre una situación real de duda de un paciente y un intento de conseguir información que pueda permitir inmiscuirse en los procesos del hospital.
Medscape: Son vulnerables lso dispositivos clínicos conectados a internet que se emplean en el cuidado de los pacientes? (monitores, bombas, respiradores). Como puede ocurrir y que consecuencias puede tener el hackeo de estos aparatos y que pueden hacer las organizaciones y su personal para protegerlos?
Dr Mahajan: La mayoría, pero no todos, los dispositivos clínicos y de cuidados tienen conexión a internet actualmente. La seguridad del servidor (cuando el dispositivo está conectado) y el uso de comunicaciones encriptadas son elementos importantes en el diseño de los productos. El fortalecimiento frente a las vulnerabilidades recae en gran medida sobre el fabricante. Los dispositivos normalmente se encuentran en partes seguras de la red del hospital. Los departamentos de biomedicina (servicios técnicos) son responsables de la instalación, configuración y mantenimiento de estos dispositivos y deben ser cuidadosos con los aspectos de seguridad de los elementos dedicados a la atención directa a los pacientes siguiendo las recomendaciones de los fabricantes cuando se usen los dispositivos. Los trabajadores tienen poco control sobre esas vulnerabilidades, pero deben cooperar en la instalación, simulación y prueba de los dispositivos haciendo su parte en mitigar los problemas de seguridad.
DEFENDIENDO EL SISTEMA
Medscape: ¿Qué papel deben desempeñar los empleados, incluyendo a la enfermería para frustar ciberataques?
Dr Mahajan: Las enfermeras necesitan más formación sobre los ciberataques y seguridad incluyendo cómo tienen lugar los ataques y como prevenirlos. En nuestro hospital, tenemos sistemas de información obligatorios, formación en privacidad y seguridad para cada empleado de la organización que interactua con los sistemas del mismo. Usamos videos con escenarios prácticos para enseñar al personal sobre coo reaccionar o no en ciertas situaciones, especial en la gestión del correo electrónico y durante conversaciones telefónicas. Enseñamos al personal ha no pinchar o abrir correos de remitentes desconocidos. Si reciben un correo de un desconocido, no deben abrir los archivos adjuntos o seguir enlaces en el mensaje. Una cosa que muchos hospitales han hecho es separar sus redes en capas que van incrementando su nivel de seguridad y privacidad. Una red fortificada y segura (el nucleo interno) se dedica a los datos de los pacientes y a los sistemas de atención a los mismos como la HCE. El siguiente nivel es la red general de la organización en la cual el personal puede usar el correo electrónico, en tercer lugar la red menos segura es para el acceso público.
Medsacape: Además de tener cuidado con los correos y las llamadas telefónicas que más pueden hacer las enfermeras para prevenir ciberataques??
Dr Mahajan: Incorporar cualquier cosa que aprendas en tu entrenamiento de seguridad en tu trabajo diario. Cerrar las sesiones de ordenador cuando no lo uses. Estar atento a quien usa el sistema en tu zona de trabajo. No visitar sitios web desconocidos desde la red del hospital. Orientar a los demás sobre el uso seguro de los recursos digitales en el trabajo. Informar sobre cualquier situación sospechosa de uso inadecuado o evidencia de un ataque de malware.
El personal debe ser consciente sobre las capas de seguridad del sistema y conocer en cual están cuando usan el correo electrónico, visitan PubMed o el sitio web del sistema de salud o cuando usan ordenadores del trabajo para cosas personales o en que capa estan los pacientes o cuando hacen encuestas u otras actividades en los ordenadores del hospital.
Los trabajadores deben evitar bajar aplicaciones como dropbox, teamviewer e instalarlas en los ordenadores del hospital. Frecuentemente los usuarios no tienen privilegios para instalar esas aplicaciones y llaman al departamento de informática para justificar su uso. Los técnicos evaluan la amenaza y las posibilidades de daño y prueban esas aplicaciones en entornos controlados antes de dejarlas disponibles para los usuarios. Algunas aplicaciones funcionan mediante navegadores web; su alcance viene delimitado por la configuración del mismo que es definida por los técnicos tras considerarlo cuidadosamente y no pueden ser cambiadas por los usuarios. Las solicitudes para usar esas aplicaciones también son valoradas por los técnicos informáticos.
Medscape: ¿Cual es el papel de las contraseñas en la entrada de los hackers en un sistema? ¿Cuan importante es tener una contraseña fuerte?.
Dr Mahajan: Una vez los hackers tienen información sobre los ordenadores que tienen información potencialmente famosa el siguiente paso es intentar loguearse con una cuenta de usuario. Hace falta una contraseña para este paso y es muy importante tener contraseñas fuertes para impedir esos intentos. Una contraseña fuerte habitualmente es una combinación de letras mayúsculas y minúsculas, números y símbolos. Cada una de esas letras se representa como un código diferente en el sistema operativo. Si usamos diferentes categorías de letras el número de repeticiones necesarias para desbloquear la contraseña se incrementa exponencialmente. Esto reduce la posibilidad de desbloquear la cuenta incluso aunque el hacker tenga un programa para intentar múltiples combinaciones.
SI TE ATACAN
Medscape: ¿Qué deben hacer los usuarios si piensan que han hecho click o abierto algo que no deberían? ¿Deben borrarlo?¿Qué deben hacer si ven mensajes no habituales (por ejemplo solicitando un rescate) apareciendo en sus pantallas?.
Dr Mahajan: Lo más importante es suspender (detener pero no apagar ni seguir usando o permitir a otros usar) el ordenador potencialmente infectado y contactar con un mando intermedio, los técnicos de informática o la oficina de seguridad para recibir instrucciones. Las páginas web abiertas no deben cerrarse (aunque los analistas podrían buscar en el historial). Si no es posible buscar en historial del ordenador es posible que los técnicos quieran entrevistar al profesional para obtener información y determinar las causas del problema.
Los usuarios no deberían borrar los archivos adjuntos ni hacer click en ningún botón o cuadro de dialogo que aparezca. La acción de borrar un archivo puede que no destruya su contenido de malware. De igual modo, haciendo click en botones o en cuadros de dialogo se puede habilitar el malware.
Medscape: ¿Qué ocurre con el trabajo cuando el sistema del hospital se cae?
Dr Mahajan: Normalmente, las organizaciones sanitarias tienen ordenadores con copias de seguridad con los que continuar el trabajo en caso de emergencia. Si la extensión o alcance del fallo es mayor y esos ordenadores no son suficientes o adecuados los equipos de atención deben disponer de formatos en papel (plan de contingencias).
Medscape: Algunas fuentes suguieren que los ataques ocurren con más frecuencia que lo que dicen los medios ¿Se resisten las organizaciones a informar si son atacadas?
Dr Mahajan: Los hospitales abordan esto de dos formas diferentes. Algunas organizaciones piensan que es mejor que no se sepa y solucionan sus problemas ellas mismas. Dejan que el departamento de seguridad y de tecnologías de la información luchan con esto fortaleciendo el sistema y sus límites. Por otra parte, un abordaje más correcto es ver a los trabajadores (médicos, enfermeras, administrativos...) como aliados en la misión de la organización. Hacer conscientes de lo sucedido a todos permite tener múltiples ojos mirando al mismo problema. Todos debemos estar en alerta y si los trabajadores saben qué observar y como informar sobre algo fuera de lo normal así se podrán detectar rápidamente y responder de forma efectiva. Los ciberataques pueden implicar más elementos que los registros clínicos de los pacientes. Los empleados deben saber que no sólo los pacientes son vulnerables también su información personal está bajo riesgo.
ENFERMERÍA Y CIBERSEGURIDAD
Medscape: Que recomendaría a las enfermeras que quisieran trabajar con tecnologías de la información o ciberseguridad? Que tipo de titulación deben buscar y qué tipos de oportunidades de trabajo están disponibles con esa formación?
Dr Mahajan: Tener formación en cuidados realmente es útil para trabajar con tecnologías de la inforamción en sanidad por su familiaridad con los procesos de trabajo y las actividades que tienen lugar en el entorno sanitario y en un hospital. Esto, sin embargo, no es suficiente para abordar los problemas que ocurren con las tecnologías de la información o la ciberseguridad en estos entornos. Un certificado de formación medio (bachelor en EEUU) es realmente útil. Esta formación proporiona la compresión básica sobre el hardware, el software y los sistemas de aplicaciones que funcionan habitualmente en las organizaciones sanitarias. Comprender la ciberseguridad necesita de formación adicional en cursos sobre redes y sistemas operativos de seguridad. Existe una gran demanda de personas que comprendan los lenguajes clínico y técnico que se hablan en el día a día de las actividades en organziaciones sanitarias.