Mantener la ciberhigiene en el sector sanitario
Alcanzar un nivel aceptable de ciberhigiene es un reto para todos los proveedores sanitarios, hospitales y empresas farmacéuticas. Muchas brechas de seguridad se producen con sistemas heredados y procesos redundantes que a menudo quedan sin parchear y sin gestionar, creando vulnerabilidades expuestas que pueden dar lugar a futuros exploits.
Afortunadamente, con un enfoque moderno del parcheado de vulnerabilidades, las organizaciones del sector sanitario pueden poner sus parches en piloto automático, minimizar las interrupciones relacionadas con los parches y mantener protegidos los datos confidenciales de sus pacientes.
Pero, antes de entrar en materia, analicemos la situación actual del riesgo de ciberseguridad en la sanidad.
Retos a los que se enfrentan las empresas sanitarias para lograr una ciberhigiene adecuada
La sanidad, al igual que otros sectores, sigue transformando sus modelos empresariales y operativos para mejorar la experiencia del cliente y reducir los costes. Estas transformaciones siguen evolucionando y han cambiado el funcionamiento de la asistencia sanitaria, tanto para los proveedores como para los pacientes, que se esfuerzan por ser más eficientes, rentables y seguros.
Aunque las estrategias de transformación ayudan a conseguir un cambio en las operaciones y la eficiencia, también introducen nuevos vectores de ciberataques. Muchos responsables de seguridad sanitaria se enfrentan al reto de mantener seguras las aplicaciones basadas en la nube y a los ataques de ransomware procedentes de equipos de pacientes remotos conectados a plataformas de telemedicina. Ha sido necesario introducir muchas tecnologías nuevas para sustituir a los sistemas heredados anteriores. En muchos casos, mantener operativos tanto los sistemas antiguos como los nuevos creaba más complejidad operativa y riesgos para la seguridad.
Para reducir el riesgo organizativo y mejorar la protección de la ciberseguridad, los directores de sistemas de información y los directores de sistemas de información deben reducir la complejidad y eliminar las aplicaciones, servicios y plataformas duplicados de las TI sanitarias. Al tomar medidas ejecutivas para abordar el creciente problema de la ciberseguridad, las organizaciones pueden proteger sus datos confidenciales sin dejar de cumplir la normativa.
Ciberataques contra organizaciones sanitarias
Los recientes ataques de ransomware a proveedores de asistencia sanitaria en San Diego, Irlanda y Nueva Zelanda han demostrado los efectos perjudiciales de este tipo de incidentes. Por desgracia, muchos detalles siguen sin desvelarse. No obstante, los sistemas obsoletos y los dispositivos médicos desprotegidos son vulnerabilidades de seguridad comunes que ponen en peligro a los centros sanitarios, así como sus datos confidenciales.
Si no se aplican los parches de seguridad y otras medidas de protección en los centros sanitarios, las posibles brechas de seguridad pueden permitir a personas malintencionadas hacerse con el control de grandes cantidades de datos confidenciales o incluso con el acceso a equipos clínicos, lo que podría poner en peligro a los pacientes.
Los fabricantes de dispositivos médicos son fundamentales para prevenir los ciberataques en las TI sanitarias. Varias empresas de dispositivos han sufrido brechas en los últimos años. Historias de otros países han informado de víctimas mortales relacionadas con incidentes de ciberseguridadcomo una situación en Alemania en la que un incidente de ransomware provocó el traslado de un paciente a otro centro sanitario y, por desgracia, murió durante el transporte. Más tarde se demostró que el estado del paciente era tan grave que el mismo resultado se habría producido independientemente de la infección por ransomware.. Aun así, el hecho de que incluso se considerara una causa potencial hace replantearse la importancia de este tipo de incidentes en la calidad y la capacidad de las instituciones sanitarias para prestar una atención oportuna a los pacientes.
Alrededor del 83% de la tecnología de diagnóstico por imagen necesita actualizarse, cerca del 75% de las bombas de infusión tienen vulnerabilidades sin resolver y hasta el 72% de los centros médicos tienen equipos informáticos y médicos funcionando en la misma red. Muchas organizaciones sanitarias necesitan controlar sus estrategias de seguridad.
Parches para aplicaciones médicas locales y en la nube
Los centros sanitarios pueden reducir el riesgo de acceso no autorizado aplicando una serie de buenas prácticas de ciberseguridad, como la aplicación de parches en los sistemas críticos, incluso en los dispositivos médicos heredados.
Pero no todos los centros sanitarios están equipados para hacerlo con la rapidez que realmente necesitan. Algunos impedimentos para la aplicación de parches en la TI sanitaria moderna son:
- Restricciones presupuestarias: Los presupuestos de seguridad sanitaria siguen sufriendo recortes, incluso después de COVID-19, lo que puede contribuir al siguiente punto.
- Falta de personal: Muchos proveedores sanitarios necesitan más personal de TI. Sin los recursos adicionales, su equipo de SecOps o de TI tendrá que hacer más con menos recursos para las actividades de aplicación de parches.
- Capacidades de detección limitadas: Los equipos de TI del sector sanitario a menudo necesitan más financiación y experiencia para implementar la prevención de pérdida de datos, la seguridad del correo electrónico y la microsegmentación para ayudar a detectar y prevenir los ciberataques.
- Fatiga de alertas: La fatiga por las alertas derivada de los constantes ciberataques sigue afectando a los proveedores sanitarios. Muchos proveedores se enfrentan al reto de contratar y retener recursos informáticos cualificados y experimentados para hacer frente a la velocidad de estos ataques. El agotamiento laboral y el estrés mental están aumentando en los equipos de ciberseguridad por la gestión del volumen de mensajes y ataques.
- Déficit de talentos en ciberseguridad: La sanidad, al igual que otros sectores, sigue necesitando ayuda para contratar y mantener talentos experimentados en ciberseguridad a la hora de desplegar parches de actualización de seguridad.
- Retos de la seguridad en la nube: Muchos proveedores sanitarios han trasladado sus plataformas heredadas a plataformas en la nube HIPAA/HITrust, lo que puede introducir nuevas necesidades de ciberseguridad.
Requisitos de parcheo de la HIPAA y objetivos de control del mandato C.F.R 45
¿Y el cumplimiento de la HIPAA? ¿No es necesario que los profesionales de la salud mantengan los parches actualizados para cumplir la normativa? La verdad es que no.
El cumplimiento de la HIPAA no exige la aplicación de parches como elemento de cumplimiento. Sin embargo, los sistemas de parcheo son necesarios para el cumplimiento de varios códigos de reglamentos federales (C.F. R), entre ellos 45 C.F.R. § 164.308 (a) (5) (ii) (B), protección contra software malicioso. La HIPAA hace referencia a varios CFR en sus mandatos de cumplimiento. La aplicación de parches también está relacionada con otros requisitos de la HIPAA, ya que es necesario aplicar los parches adecuados para disponer de sistemas seguros y reducir el riesgo de fuga/corrupción de información.
Parches para cumplir los requisitos de HITrust
Fundada en 2007, HITrust es conocida en todo el mundo por gestionar sistemas de seguridad de la información y medidas de protección de datos. Desarrollado inicialmente para el ámbito sanitario, HITrust publicó CSF 9.2 en enero de 2019. Para cumplir las normas de HITrust, los proveedores de servicios en la nube han realizado una gran inversión para obtener la certificación del marco CSF mediante el cumplimiento de las distintas categorías de control, la aplicación del proceso de cumplimiento de HITrust y el cumplimiento de todos los requisitos de certificación exigidos.
¿Por qué es importante la certificación HITrust para los proveedores de servicios sanitarios?
Muchos proveedores sanitarios exigen ahora que todos los vendedores con acceso a información sanitaria reciban la certificación HITrust CSF en un plazo de dos años para demostrar que cuentan con procedimientos adecuados de seguridad y privacidad.
El MCA de HITrust exige cuatro controles relacionados con la gestión de riesgos para la seguridad de la información:
- Desarrollo de programas de gestión de riesgos
- Evaluación de riesgos
- Mitigación de riesgos
- Evaluación de riesgos
Los sistemas de parcheo desempeñan un papel fundamental en la certificación HITrust, ya que proporcionan una solución para mitigar los riesgos al reducir las vulnerabilidades de la superficie de ataque descubiertas durante la fase de evaluación de riesgos.
Por qué el Live Patching puede agilizar la ciberseguridad sanitaria
Afortunadamente, existe una solución asequible y automatizada que permite a los proveedores sanitarios poner sus parches de vulnerabilidad en piloto automático y evitar por completo las interrupciones y el tiempo de inactividad relacionados con los parches. Se trata de la aplicación de parches en tiempo real, que proporciona todos los parches de vulnerabilidad más recientes, en segundo plano, mientras los sistemas están en funcionamiento. Con la aplicación de parches en tiempo real, las organizaciones sanitarias pueden mantener sus sistemas actualizados sin necesidad de desconectarlos ni de programar periodos de mantenimiento.
La sanidad, al igual que otros sectores, presta servicios vitales que requieren una actualización y disponibilidad de sus sistemas críticos de casi el 100%. La solución de TuxCare, KernelCare Enterprise, protege sus sistemas Linux eliminando rápidamente las vulnerabilidades sin que su equipo de TI tenga que programar ningún tiempo de inactividad.
Con KernelCare Enterprise, los equipos de TI sanitarios pueden automatizar la aplicación de nuevos parches a través de la puesta en escena, las pruebas y la producción en todas las distribuciones de Linux más populares. TuxCare también ofrece parches en tiempo real para bibliotecas compartidas, bases de datos, entornos de máquinas virtuales y dispositivos IoT médicos, de modo que todo su ecosistema puede permanecer parcheado sin reinicios ni interrupciones.
Programe una conversación con uno de nuestros expertos para obtener una explicación personalizada de cómo funciona la automatización de parches en directo de TuxCare.