Las implicaciones de hackeos en sistemas médicos

El 12 de mayo del 2017, un gran ataque cibernético golpeó a los sistemas médicos alrededor del mundo. Desafortunadamente, el ataque a los sistemas de TI de los hospitales es sólo un ejemplo de las ciber-vulnerabilidades en el sector médico.

TIEMPO DE LECTURA

texto alt

¿Cómo se calcula?

Descarga este Artículo

El 12 de mayo del 2017, un gran ataque cibernético golpeó a los sistemas médicos alrededor del mundo. En gran Bretaña, donde el ataque afectó a sistemas de tecnologías de la información en hospitales, los doctores no pudieron acceder a los registros de sus pacientes. Las ambulancias fueron desviadas y la atención de emergencias se retrasó.

Desafortunadamente, el ataque a los sistemas de TI de los hospitales es sólo un ejemplo de las ciber-vulnerabilidades en el sector médico. Los hackeos de dispositivos médicos implantados o portátiles son una amenaza incluso más preocupante.

Investigadores en Bélgica y en el Reino Unido han demostrado que es posible transmitir señales que amenacen la vida (si no es que hasta fatales) hacia dispositivos médicos implantados, como marcapasos, desfibriladores y bombas de insulina. Más recientemente, investigadores le brindaron al Center for Devices and Radiological Health, de la U.S. Food and Drug Administration, una lista de vulnerabilidades específicas que habían identificado en los dispositivos médicos.

Alentado por una población que envejece, los incrementos en las enfermedades crónicas y los avances tecnológicos, el mercado de dispositivos médicos está apuntando a alcanzar un estimado de $398 mil millones de dólares en 2017. Sin embargo, mientras el mercado se expande a una tasa esperada de 3% anual, al menos hasta el 2022, las redes de tecnologías de la información de los hospitales siguen lentas para atender viejos desafíos de ciber seguridad que plantean preocupaciones tanto de privacidad como de salud potencialmente fatales.

He aquí algunos pasos básicos que pueden proteger a pacientes, dispositivos, redes y datos:

  • Evalúe la ciberseguridad de los dispositivos durante su adquisición. Hable abiertamente con los vendedores acerca de preocupaciones y expectativas si se identifican vulnerabilidades en el futuro. En 2014, la International Organization for Standardization desarrolló guías para revelar potenciales vulnerabilidades en los productos. Es importante familiarizarse con estas guías e incorporar aspectos apropiados en sus procedimientos. Esté atento a un estándar revisado en el 2019.
  • Requiera ciber higiene básica. Involucre proactivamente a los usuarios finales para que se adhieran a las políticas de seguridad. Asegúrese de que las políticas, procedimientos y sistemas tengan el mismo nivel de protección que los dispositivos en red. Finalmente, requiera el uso de antivirus y anti malware. Los gerentes de TI deberían pensar como médicos: prevenir una infección es mejor que tratarla.
  • Atienda riesgos y repare vulnerabilidades proactivamente. Enfóquese en los dispositivos antiguos y trabaje directamente con los fabricantes y proveedores para actualizar todos tan pronto como sea posible. A finales del 2016, la FDA brindó guías útiles, pero no obligatorias, para los dispositivos que están aprobados y en campo. Brinda un marco de referencia para evaluar los riesgos de ciber seguridad a lo largo del ciclo de vida de un producto. También brinda lineamientos específicos sobre cómo atender un riesgo identificado de ciber seguridad a lo largo de todo el ecosistema de las TI de la salud sin alarmar a pacientes o prestadores de servicios médicos.
  • Manténgase alerta e informado. En 2013, la Orden Ejecutiva 13961 estableció una serie de organizaciones y centros de análisis e intercambio de información, para alentar la formación de comunidades voluntarias que puedan compartir información de forma segura a lo largo de una región o industria en respuesta a amenazas emergentes. La membresía brinda notificaciones seguras sobre estas amenazas, además de acceso a los líderes de muchas grandes firmas de fabricación de dispositivos y a vendedores cuyos productos, procesos de fabricación y respuesta cumplen ciertos criterios. El costo de participar es mínimo en comparación con el costo financiero y de relaciones públicas de limpiar un inevitable ataque.

“En 2014, la International Organization for Standardization desarrolló guías para revelar potenciales vulnerabilidades en los productos”.

“Asegúrese de que las políticas, procedimientos y sistemas tengan el mismo nivel de protección que los dispositivos en red”.

“Los gerentes de TI deberían pensar como médicos: prevenir una infección es mejor que tratarla”.

Desafortunadamente, el ataque a los sistemas de TI de los hospitales es sólo un ejemplo de las ciber-vulnerabilidades en el sector médico. Los hackeos de dispositivos médicos implantados o portátiles son una amenaza incluso más preocupante.

He aquí algunos pasos básicos que pueden proteger a pacientes, dispositivos, redes y datos:

  • Evalúe la ciberseguridad de los dispositivos durante su adquisición.
  • Requiera ciber higiene básica.
  • Atienda riesgos y repare vulnerabilidades proactivamente.
  • Manténgase alerta e informado.

© 2018 Harvard Business School Publishing Corp.

De: hbr.org

Distribuido por: The New York Times Syndicate.

Medical Systems Hacks Are Scary, but Medical Device Hacks Could Be Even Worse

On May 12, a major cyberattack hit health systems around the world. In Britain, where the attack affected hospital information technology systems, doctors were unable to access patient records. Ambulances were diverted and emergency care delayed.

Unfortunately, attacking hospital IT systems is just one example of the cyber vulnerabilities in the health care sector. Hacks of implanted or wearable medical devices are an even more sobering threat.

Researchers in Belgium and the U.K. have demonstrated that it’s possible to transmit life-threatening (if not fatal) signals to implanted medical devices such as pacemakers, defibrillators and insulin pumps. More recently, researchers provided the Center for Devices and Radiological Health at the U.S. Food and Drug Administration with a list of specific medical device vulnerabilities they have identified.

Spurred by an aging population, increases in chronic disease and technological breakthroughs, the electronic medical device market is poised to reach an estimated $398 billion in 2017. But while the market expands at an expected rate of 3% per year until at least 2022, hospital IT networks remain slow to address long-standing cybersecurity challenges that raise both privacy and potentially fatal health concerns.

Here are some basic steps that can protect patients, devices, networks and data:

ASSESS DEVICE CYBERSECURITY DURING PROCUREMENT. Talk openly with vendors about concerns and expectations if vulnerabilities are identified in the future. In 2014 the International Organization for Standardization developed guidelines for the disclosure of potential vulnerabilities in products. It’s important to get familiar with these guidelines and incorporate appropriate aspects into your procedures. Look for a revised standard in 2019.

REQUIRE BASIC CYBER HYGIENE. Proactively engage end users to adhere to security policies. Ensure that policies, procedures and systems have the same level of protection as networked devices. Finally, require the use of anti-virus and anti-malware software.IT managers should think like care providers: Preventing an infection is better than treating one.

PROACTIVELY ACCESS RISKS AND PATCH VULNERABILITIES.Focus on legacy devices and work directly with manufacturers and suppliers to bring every device up to date as soon as possible. In late 2016 the FDA provided helpful but nonbinding guidance for devices already approved and in the field. It provides a framework for assessing cybersecurity risk across a product’s life cycle. It also gives specific direction about how to address an identified cybersecurity risk across the entire health IT ecosystem without alarming patients or providers.

STAY ALERT AND INFORMED. In 2013, Executive Order 13961 established a series of Information Sharing and Analysis Organizations and Centers to encourage the formation of voluntary communities that can securely share information across a region or industry in response to emerging threats. Membership provides secure notifications of emerging threats, as well as access to leaders at many major device manufacturing firms and vendors whose products, manufacturing and response processes meet certain criteria. The cost of participating is minimal compared to the financial and public relations cost of mopping up an avoidable breach.

¿Qué te ha parecido?

Si encontró algún error gramatical en este artículo, por favor notifíquelo a nuestros editores seleccionando el texto y presionando:“Ctrl + Enter”.