La mayoría de los pacientes médicos no se preocupan por su seguridad cuando van al médico; simplemente esperan que su información y su salud se ocupen del uso de medidas de seguridad confiables
La ciberseguridad en el sector salud se enfrenta a dos problemas, de los cuales ninguno se puede resolver utilizando solo la mejor tecnología. De hecho, estos problemas tienen más que ver con la economía que con la ciberseguridad.
Sólo este año en el CES, más de 500 compañías presentaron soluciones innovadoras para diagnosticar, monitorear y tratar enfermedades, así como avances en la prestación de asistencia médica remota. El problema es que algunos de estos dispositivos dejan la información médica y los datos de los pacientes expuestos en línea, permitiendo que sean utilizados por cibercriminales.
El primer problema es que la atención médica es una parte crítica de la economía. Según recientes estudios los registros electrónicos de salud EHR (Electronic Health Record, por sus siglas en inglés) son altamente lucrativos. Para dar un ejemplo claro, una historia clínica completa de un paciente puede oscilar entre US$300 y US$3.000 ; ante este panorama es imprescindible que las organizaciones aumenten las inversiones en materia ciberseguridad y trabajen para que los datos almacenados en la nube estén protegidos, y que toda la información sea segura y privada.
En este caso, el tipo de ataque más habitual que utilizan los cibercriminales es el ransomware, un tipo de malware que encripta los archivos y restringe su acceso a ellos a cambio de un rescate económico. Aunque la única amenaza no proviene solo de los ataques informáticos, también se puede producir una violación de la privacidad de los datos por el abuso de un miembro del personal interno que tiene acceso a la información del paciente y la transmite al exterior con ánimo de lucro o por errores no intencionados. La confidencialidad es el principio básico de la política de seguridad del entorno sanitario, lo que obliga al profesional de la salud o a cualquier otra persona a no revelar información suministrada por el paciente.
El segundo problema es que, incluso dentro de un solo hospital, la seguridad es una responsabilidad compartida. Cuando un recurso se comparte comúnmente, el incentivo de cada parte es obtener el mayor beneficio posible y al mismo tiempo incurrir en el menor costo posible. Este problema se conoce como la «tragedia de los bienes comunes». “Tomemos el ejemplo de un proveedor de atención médica que se basa en una bomba de infusión para tratar a los pacientes diabéticos. ¿La responsabilidad de asegurar ese dispositivo descansa sobre los hombros del fabricante o del proveedor de atención médica? ¿Quién es el propietario de asegurar la transmisión de datos de la bomba? La respuesta a estas preguntas depende de a quién le preguntes», afirmó Mike Nelson, vicepresidente de seguridad de la IoT de DigiCert.
Para agregar aún más complejidad, una red de atención médica puede usar dispositivos de 50 fabricantes diferentes. ¿Quién es el responsable en este caso? Desafortunadamente, las preguntas no se detienen ahí. ¿Los proveedores del software EHR proporcionan actualizaciones seguras? ¿se confía en la integridad del código que se carga en los dispositivos? ¿Qué medidas tiene implementadas para garantizar que solo las personas adecuadas tengan acceso a los datos del paciente. Desafortunadamente, los seres humanos tienden a hacer cambios sólo cuando se presentan incentivos atractivos o cuando el problema con el que se enfrentan se vuelve lo suficientemente doloroso.
Autenticación de extremo a extremo
Los dos problemas descritos anteriormente apuntan a la necesidad de una autenticación de extremo a extremo, que es el proceso de probar la validez de todas las conexiones digitales, desde un inicio de sesión seguro del sistema para enfermeras y médicos, las comunicaciones entre dispositivos, la red y los servicios externos o las bases de datos tales como las EHRs. Podría ser útil ver estas conexiones como dos partes en un solo sistema. En la parte frontal, se debe verificar la identidad de cualquier persona que use un dispositivo o acceda a los datos del paciente, como médicos y enfermeras. En el extremo posterior, es igualmente crucial autenticar las conexiones entre los dispositivos y los servidores, EHR, farmacias etc, es decir con los que se interactue constantemente.
La base para la autenticación de extremo a extremo es la infraestructura de clave pública (PKI). Al utilizar certificados digitales, PKI auténtica usuarios, sistemas y dispositivos sin la necesidad de tokens, políticas de contraseña u otros factores incómodos iniciados por el usuario. Esto descentraliza la autenticación y permite que ocurra en sistemas dispares.
Los proveedores de seguridad, como Imprivata, han introducido varias soluciones en la interfaz descrita anteriormente. Estos incluyen el inicio de sesión único, la autenticación multifactorial y la identificación del paciente para establecer la confianza entre los usuarios, la tecnología y los datos transmitidos en todo el ecosistema de atención médica. La mayoría de los pacientes médicos no se preocupan por su seguridad cuando van al médico; simplemente esperan que su información y su salud se ocupen del uso de medidas de seguridad confiables.
Desafortunadamente, este no es siempre el caso. El Instituto Ponemon ha descubierto que más de la mitad de las compañías han experimentado un incidente de seguridad debido a un empleado descuidado. La PKI puede mitigar esta amenaza al exigir que las enfermeras y los médicos utilicen varias capas de autenticación para acceder a los datos del paciente.
En el extremo posterior, algunas autoridades de certificación (CA) modernas, como DigiCert, han construido una infraestructura capaz de implementar miles de millones de certificados en los dispositivos conectados. Además de proporcionar garantía de identidad para dispositivos que se conectan a servidores, sistemas y bases de datos, estas CA ofrecen soluciones para garantizar la integridad del código y la confiabilidad de las actualizaciones de software.
La autenticación de extremo a extremo no se materializará en la industria de la salud hasta que los fabricantes de dispositivos, hospitales, compañías de seguros, proveedores de software y proveedores de seguridad reconozcan su responsabilidad compartida y comiencen a trabajar en colaboración.
Detrás de Vida y Éxito se encuentra un equipo de profesionales con reconocida trayectoria en el mundo empresarial y el periodístico.
