El Departamento de Salud y Servicios Humanos de EE. UU. anunció el lunes un nuevo compromiso de financiación diseñado para mejorar la ciberresiliencia de los hospitales.
La nueva iniciativa de los Institutos Nacionales de Salud, Universal PatchinG and Remediation for Autónoma DEfensa, o UPGRADE, invertirá más de $50 millones para el desarrollo de herramientas que protejan las operaciones hospitalarias, mantengan seguros los dispositivos médicos y ayuden a garantizar la continuidad de la atención al paciente, según el anuncio.
POR QUÉ IMPORTA
Con la cantidad de dispositivos conectados a Internet exclusivos de cada centro u organización de atención médica y la variabilidad de los equipos conectados a la red en todos los hospitales, ha sido difícil garantizar una seguridad digital sólida y actualizada.
Incluso las interrupciones breves en los sistemas de TI pueden tener un impacto crítico en los servicios a los pacientes, especialmente porque los dispositivos más críticos para la salud y la seguridad del paciente tienden a estar entre los menos protegidos.
Las complejidades para proteger la cantidad y variedad de dispositivos médicos habilitados para Internet pueden abrir involuntariamente los sistemas de salud a ransomware y otros ataques cibernéticos, según los NIH, que encabeza UPGRADE a través de su división de la Agencia de Proyectos de Investigación Avanzada para la Salud, o ARPA-H.
«Es particularmente desafiante modelar todas las complejidades de los sistemas de software utilizados en un centro de atención médica determinado, y esta limitación puede dejar a los hospitales y clínicas excepcionalmente expuestos a ataques de ransomware», dijo Andrew Carney, gerente del programa UPGRADE, en un comunicado.
«Queremos reducir el esfuerzo necesario para asegurar el equipo hospitalario y garantizar que los dispositivos sean seguros y funcionales para que los proveedores de atención médica puedan concentrarse en la atención al paciente», dijo.
Las herramientas que ayudan a los equipos de TI a defender mejor los entornos hospitalarios que deben proteger por ley podrían mejorar la resiliencia cibernética en todo nuestro sistema de atención médica y llenar el vacío en la seguridad de la salud digital.
Tal hazaña (crear un paquete de software escalable y personalizado financiado por el gobierno para la ciberresiliencia hospitalaria) requerirá experiencia de profesionales de TI de hospitales, fabricantes y proveedores de dispositivos médicos, proveedores de atención médica, ingenieros de factores humanos y expertos en ciberseguridad, reconoció ARPA-H en el anuncio.
La visión –una plataforma que permitirá una evaluación proactiva de vulnerabilidades potenciales al sondear modelos de entornos hospitalarios digitales para detectar debilidades en el software y obtener o desarrollar automáticamente la remediación necesaria– también probaría la remediación en el entorno del modelo e implementaría los parches necesarios «con una interrupción mínima para los dispositivos que se utilizan en un hospital», señalaron los líderes del proyecto.
El software que puede automatizar la implementación de parches en «cuestión de días» después de que se detectan las vulnerabilidades, podría brindar «tranquilidad» al personal del hospital y a los pacientes, dijo Renee Wegrzyn, directora de ARPA-H.
«La salud no es sólo algo que afecta a un individuo, y ARPA-H está invirtiendo en formas de construir sistemas de atención sanitaria más fuertes, más saludables y más resilientes que puedan sostenerse entre crisis», añadió.
El nuevo proyecto se enmarca en la Iniciativa de Seguridad de la Salud Digital de ARPA-H, DIGIHEALS, lanzada en 2023 para centrarse en proteger aplicaciones y dispositivos individuales. DIGIHEALS se asoció recientemente con la Agencia de Proyectos de Investigación Avanzada de Defensa para el Desafío Cibernético de Inteligencia Artificial, un concurso de premios para proteger el software de código abierto utilizado en infraestructura crítica.
LA TENDENCIA MÁS GRANDE
Gestión de parcheses un desafío para los equipos de TI de salud que no solo deben seguir el ritmo del crecimiento de las vulnerabilidades que los ciberdelincuentes explorarán como posibles vectores de ataque, sino también actualizar el software de los dispositivos y sistemas médicos de los que dependen los pacientes para su atención en momentos en que se detectan vulnerabilidades.
Esto es especialmente difícil paradispositivos médicosporque el software queda obsoleto rápidamente, dijeron en marzo los expertos en seguridad en el Foro de Ciberseguridad de Salud HIMSS24.
Si bien recomendaron actualizar ciertos dispositivos IoT con parches durante el mantenimiento programado,
Tyler Reguly, director senior de investigación y desarrollo de seguridad de Fortra, dijoNoticias de TI para el cuidado de la saludel mes pasado que la capacidad de la inteligencia artificial para ayudar a las organizaciones a mantenerse al día con las vulnerabilidades en constante evolución aún está en su infancia.
Por ahora, las organizaciones deberían confiar en los expertos en ciberseguridad para mantenerse actualizados, afirmó. En el futuro, «habrá muchas oportunidades para que las organizaciones lo utilicen».
EN EL REGISTRO
«La ACTUALIZACIÓN de ARPA-H ayudará a desarrollar la estrategia de ciberseguridad del sector sanitario del HHS para garantizar que todos los sistemas hospitalarios, grandes y pequeños, puedan operar de forma más segura y adaptarse al panorama en evolución», dijo la subsecretaria del HHS, Andrea Palm, en un comunicado.
Andrea Fox es editora senior de Healthcare IT News.
Correo electrónico:afox@himss.org
Healthcare IT News es una publicación de HIMSS Media.