Si bien las organizaciones de atención médica dependen de dispositivos conectados a la red para la atención al paciente y para mejorar la prestación de atención médica, los ciberdelincuentes los han convertido en un importante punto de entrada para los ataques, y estánTodavía no estamos preparados para el alcance de las amenazas cibernéticas..
Le preguntamos a Tyler Reguly, director senior de investigación y desarrollo de seguridad de Fortra, cómo la TI sanitaria puede mejorar la gestión de dispositivos y controlar las vulnerabilidades de seguridad de los dispositivos de Internet de las cosas, las prácticas de gestión de dispositivos móviles, los marcos de seguridad, su consejo sobre el aprovechamiento de las herramientas de inteligencia artificial para seguridad y más.
Vigilando las entradas de los servicios sanitarios
La evasión de detección de endpoints, la recopilación automatizada de inteligencia sobre vulnerabilidades y la sofisticada ingeniería social son sólo algunas de lasarmas más nuevasacelerando el crecimiento de las amenazas cibernéticas a las organizaciones de atención médica y sus vastas redes.
Más allá de los límites de los recursos cibernéticos, el desafío de preparación para los equipos de TI de salud radica en mantener el ritmo del crecimiento de las vulnerabilidades que los ciberdelincuentes explorarán como posibles vectores de ataque para llegar al sistema que desean alterar o a los datos de salud protegidos que desean robar, particularmente con dispositivos IoT.
Para adelantarse a las necesidades de parches, las organizaciones deben implementar un sólido programa de gestión de vulnerabilidades para negar la ventaja a los actores de amenazas más grandes, como los estados-nación, dijo Tyler Reguly, gerente senior de investigación y desarrollo de seguridad en Fortra.
Porquedispositivo médicoEl software queda obsoleto rápidamente, los expertos en seguridad en el Foro de Ciberseguridad de Salud HIMSS24 el mes pasado recomendaron parchear esta categoría de dispositivos IoT durante el mantenimiento programado.
Sin embargo, los retrasos en la aplicación de parches, independientemente de los motivos, abren a las organizaciones de atención médica al riesgo de que los ciberdelincuentes puedan estar explorando estas vías en busca de posibles vectores de compromiso, lo que hace que la segmentación sea crítica, según Reguly.
También dijo que cuando se trata de atención médica, le preocupa la interconectividad de una compleja gama de dispositivos –incluidos los dispositivos móviles– y el amplio acceso a los registros médicos electrónicos.
«Hay demasiadas personas caminando con tabletas y teléfonos que tienen acceso a una gran cantidad de datos de salud», dijo Reguly, quien también es creador de IoT Hack Lab, en la siguiente sesión de preguntas y respuestas conNoticias de TI para el cuidado de la salud.
P. Existen varios marcos que las organizaciones de atención médica pueden utilizar para prepararse y prevenir configuraciones erróneas de seguridad y riesgos de ciberseguridad. ¿Cuáles son las acciones más importantes que pueden tomar los hospitales para abordar las configuraciones de seguridad configuradas incorrectamente?
A.Encuentro que la cantidad de marcos, puntos de referencia y políticas para cualquier industria puede ser abrumadora. Si bien estos documentos contienen muchos consejos valiosos, puede haber información contradictoria o confusa. Los hospitales deberían centrarse en lo básico.
Puede que existan estándares específicos de la industria que cumplir, pero estándares como los CIS Benchmarks son un excelente punto de partida. ElPuntos de referencia de la CEIson sencillos, fáciles de seguir. También son públicos y se construyen por consenso, por lo que puedes ver el proceso e incluso involucrarte.
Al final del proceso, es posible que no cumpla con los estándares específicos de la industria, pero sabrá que tiene una base sólida y que las configuraciones erróneas más riesgosas ya se han solucionado. Luego podrá detenerse y tomar un respiro antes de abordar los estándares más complejos que su organización debe implementar.
P. Cada año, la cantidad de dispositivos conectados a la red aumenta para los sistemas de salud y los actores de amenazas siempre están ideando nuevas armas persistentes para atacarlos. ¿Cuáles son sus principales preocupaciones en este momento sobre las vulnerabilidades de seguridad de los dispositivos IoT?
A.Tengo dos preocupaciones cuando pienso en el sistema de salud y la interconexión de los sistemas involucrados. El primero está relacionado con la variedad y complejidad de los dispositivos involucrados.
Con cada vez más dispositivos médicos conectados a la red, existe un gran riesgo adicional de movimiento lateral y métodos adicionales para obtener persistencia de la red. Muchos de estos equipos son caros, especializados y, en ocasiones, incluso restringidos a la hora de adquirirlos. Esto significa que no hay muchos laboratorios para probar este equipo y no hay muchos investigadores que estén explorando este equipo.
También significa que los actores de amenazas más grandes, como los Estados-nación, tienen una ventaja aquí.
Pueden hacer que sus investigadores encuentren nuevas vulnerabilidades en este equipo y aprovechar el hecho de que no hay tanta gente mirando resonancias magnéticas conectadas a la red, por ejemplo, como gente investigando vulnerabilidades de Windows. Aquí es donde la segmentación de la red es crítica y las redes grandes y planas pueden aumentar considerablemente el riesgo.
Mi segunda preocupación son los registros médicos electrónicos.
Hay demasiadas personas caminando con tabletas y teléfonos que tienen acceso a una gran cantidad de datos de salud. Si no garantiza la seguridad y protección adecuadas de estos dispositivos, existe la posibilidad de que se produzca una gran cantidad de fuga de datos.
Si bien este software puede ser más fácil de obtener que el hardware médico, todavía no es el software más fácil y barato de poner en manos de los investigadores, lo que también les da a los actores de amenazas que están bien financiados la ventaja con estos dispositivos.
Rastrear estos dispositivos y bloquearlos es fundamental en entornos sanitarios. La idea de que alguien lea mis análisis de sangre y luego abra la tienda de aplicaciones y descargue un juego para jugar me preocupa mucho.
P. Después de un primer trimestre más tranquilo,Los CVE de Microsoft vuelven a aumentar. ¿Cómo ve los próximos meses y qué consejo puede ofrecer a las organizaciones para mantenerse al día con estos parches?
A.Las vulnerabilidades de Microsoft siempre parecen presentarse en oleadas, con picos y valles.
Este mes se produjo un aumento en las vulnerabilidades debido a que un par de aplicaciones tenían una gran cantidad de vulnerabilidades asociadas. Es difícil prepararse para estas cosas, pero dado que Microsoft tiene la amabilidad de programar sus actualizaciones, las organizaciones deben mantener sus calendarios claros.
Si su equipo de seguridad no tiene bloqueado el segundo martes del mes para revisar las actualizaciones y priorizarlas, ese es un cambio fundamental.
Además, unos sistemas sólidos de gestión e inventario de activos son clave.
El martes de parches de abril vio más de 30 CVE que podrían eliminarse simplemente sabiendo que no había instancias de Microsoft SQL Server implementadas en su entorno. Estas dos técnicas combinadas con un sólido programa de gestión de vulnerabilidades ayudarán a una organización a adelantarse a la crisis de parches que tenemos estos días.
P. Los proveedores de atención médica son susceptibles a ataques de intermediarios en los que los actores cibernéticos pueden explotar conversaciones en tiempo real y otros datos protegidos. Con el aumento del trabajo remoto y el uso de redes WiFi, ¿cómo pueden los proveedores que dependen del acceso móvil y dispositivos BYOD detectar y eliminar ataques MITM que podrían resultar en violaciones de datos?
A.El nivel de protección realmente depende del proveedor. He estado en situaciones en las que mi empleador controlaba todo mi dispositivo, aunque fuera BYOD, y ellos implementaron todas las políticas de administración.
También me dieron un punto final de VPN de hardware y tuve que conectar mis dispositivos a él para poder conectarme a la red interna. Estas acciones pueden ser mal vistas hoy por los empleados, pero son acciones que se pueden tomar en un entorno seguro.
Creo que lo importante es operar desde una posición de confianza cero.
Restrinja a qué tienen acceso sus empleados remotos, limite lo que está expuesto a los usuarios conectados externamente solo a los datos que necesitan y aproveche la autenticación multifactor en todas partes.
Lo he mencionado antes, pero la segmentación de la red es realmente un control de seguridad crítico que puede ayudar en muchas situaciones.
P. La inteligencia artificial podría permitir a la sociedad automatizar tareas y mejorar el rendimiento. ¿Cómo puede la IA ayudar a las organizaciones a mantenerse al día con las vulnerabilidades en constante evolución?
A.En este punto, no creo que las organizaciones individuales deban confiar internamente en esta tecnología.
Si bien un equipo de seguridad bien financiado y con personal completo puede tener la capacidad de investigar el uso de IA internamente, estas tecnologías aún están en su infancia. En cambio, las organizaciones deberían seguir aprovechando los proveedores y expertos en ciberseguridad para mantenerse actualizados. Sospecho que esas organizaciones están aprovechando la IA de varias maneras para ampliar sus capacidades, pero eso debería dejarse en manos de sus distintos proveedores de servicios por ahora.
En el futuro, una vez que la tecnología se optimice y simplifique aún más, habrá muchas oportunidades para que las organizaciones la utilicen. Por ahora, una pregunta ocasional a ChatGPT para aclarar un tema debería ser más que suficiente para el personal de la mayoría de las organizaciones.
Andrea Fox es editora senior de Healthcare IT News.
Correo electrónico:afox@himss.org
Healthcare IT News es una publicación de HIMSS Media.
