6 abr 2016

Insuficiencias de seguridad informática en el área de salud [Kaspersky]

Kaspersky Lab realizó una investigación de campo en una clínica privada con la intensión de explorar sus debilidades de seguridad y cómo resolverlas. Se encontraron vulnerabilidades en dispositivos médicos que abrieron una puerta para que los ciberdelincuentes tuvieran acceso a los datos personales de los pacientes, así como de su bienestar físico.

En la investigación, Sergey Lozhkin demostró con un ejemplo lo fácil que es encontrar un hospital, conseguir acceso a sus redes internas y tomar el control de un aparato de resonancias magnéticas para acceder al sistema de ficheros del dispositivo y conseguir los datos personales de sus pacientes y la información sobre sus tratamientos. El problema supera la inseguridad de los equipos médicos – toda la infraestructura informática de los hospitales modernos tiene problemas de organización y protección, y esta situación es de alcance mundial.
Una clínica moderna es un sistema complicado. Cuenta con dispositivos médicos sofisticados que comprenden computadoras completamente funcionales con sistema operativo y aplicaciones instaladas. Los médicos dependen de las computadoras, y toda la información se almacena en formato digital. Además, todas las tecnologías relacionadas con el área de la salud están conectadas a Internet. Por lo tanto, no es ninguna sorpresa que tanto los dispositivos médicos así como la infraestructura de TI del hospital ya hayan sido previamente objetivos de los hackers. Los ejemplos más recientes de este tipo de incidentes son ataques tipo ransomware contra hospitales en los EE.UU. y Canadá. Sin embargo, un ataque malicioso masivo es sólo una manera en la que los delincuentes podrían tomar ventaja de la infraestructura de TI de un hospital moderno.

Las clínicas almacenan información personal de sus pacientes. También poseen y utilizan equipo muy caro, difícil de arreglar y sustituir, lo que les convierte en un objetivo potencialmente valioso para la extorsión y robo de datos.

El resultado de un ataque cibernético exitoso contra una organización médica podría diferir en algún detalle, pero siempre será peligroso. Podría implicar lo siguiente:
  • El uso delictivo de los datos personales de los pacientes: la reventa de información a terceros o exigir a la clínica que pague un rescate para recuperar información sensible de los pacientes;
  • La falsificación intencional de los resultados de los pacientes o diagnósticos;
  • El daño al equipo médico puede causar tanto daño físico a los pacientes y enormes pérdidas financieras a una clínica;
  • Impacto negativo en la reputación de una clínica.

Exposición a Internet

Lo primero que decidió explorar al realizar esta investigación, fue entender cuántos dispositivos médicos están conectados a Internet en todo el mundo actualmente. Los dispositivos médicos modernos con computadoras completamente funcionales con un sistema operativo y la mayoría de ellos tienen un canal de comunicación con Internet. Al hackearlos, los delincuentes podrían interferir con su funcionalidad.

Un vistazo al motor de búsqueda Shodan para dispositivos conectados a Internet mostró cientos de dispositivos– desde escáneres de resonancia magnética, hasta equipos de cardiología, equipos médicos radiactivos y otros dispositivos relacionados están registrados. Este descubrimiento lleva a conclusiones preocupantes– algunos de estos dispositivos siguen trabajando con sistemas operativos antiguos como Windows XP, con vulnerabilidades sin parches, y algunos incluso utilizan contraseñas por defecto que se pueden encontrar fácilmente en manuales con acceso al público.

Al utilizar estas vulnerabilidades, los delincuentes podrían tener acceso a la interfaz de un dispositivo y afectar de forma potencial la manera en que funciona.

Dentro de la red local de la clínica

El escenario antes mencionado fue una de las formas en que los ciberdelincuentes podrían tener acceso a la infraestructura crítica de la clínica. Pero la manera más obvia y lógica es tratar de atacar su red local. Durante la investigación se descubrió una vulnerabilidad en conexión Wi-Fi de la clínica. Se pudo entrar a la red local gracias a un protocolo de comunicaciones muy débil.

Al explorar la red local de la clínica, el experto encontró algunos equipos médicos que ya había encontrado previamente en Shodan. Sin embargo esta vez, para obtener acceso al equipo no se necesitaba ninguna contraseña– debido a que la red local era una red confiable para aplicaciones de equipos médicos y usuarios. Esta es una manera en que un ciberdelincuente puede acceder a un dispositivo médico.

Al continuar con la exploración de la red, se descubrió una nueva vulnerabilidad en una aplicación de dispositivo médico. Se implementó un intérprete de comandos en la interfaz del usuario que pudiera darle acceso a los ciberdelincuentes a la información personal de los pacientes, incluyendo sus historias clínicas e información sobre análisis médicos, así como sus direcciones y datos de identificación. Por otra parte, a través de esta vulnerabilidad podría verse comprometida todo el dispositivo controlado con esta aplicación. Por ejemplo, entre estos dispositivos podría tratarse de escáneres de resonancia magnética, equipos de cardiología, equipos radiactivos y quirúrgicos. En primer lugar, los delincuentes podrían alterar la forma en que funciona el dispositivo y causar daños físicos a los pacientes. En segundo lugar, los delincuentes podrían dañar el propio dispositivo a un costo inmenso para el hospital.

"Las clínicas ya no son sólo médicos y equipos médicos, sino también servicios de TI. El trabajo de los servicios de seguridad interna de una clínica afecta a la seguridad de los datos del paciente y la funcionalidad de sus dispositivos. Los ingenieros del software y equipo médico ponen mucho esfuerzo en crear un dispositivo médico útil que va a guardar y proteger la vida humana, pero a veces se olvidan por completo de protegerlo contra accesos externos no autorizados. Cuando se trata de las nuevas tecnologías, las cuestiones de seguridad se deben abordar en la primera etapa del proceso de investigación y desarrollo. Las empresas de seguridad de TI podrían ayudar en esta etapa para hacer frente a los problemas de seguridad", menciona Sergey.

Los expertos recomiendan la aplicación de las siguientes medidas para proteger a las clínicas contra accesos no autorizados:
  • Utilizar contraseñas seguras para proteger todos los puntos de conexión externos;
  • Actualizar las políticas de seguridad de TI, llevar al cabo evaluaciones de vulnerabilidad y administración oportuna de parches;
  • Proteger las aplicaciones de los equipos médicos en la red local con contraseñas en caso de un acceso no autorizado a la zona de confianza;
  • Proteger la infraestructura contra amenazas como malware y ataques de hackers con una solución de seguridad fiable;
  • Hacer copias de respaldo con regularidad de la información crítica y conservar una copia de respaldo fuera de línea. 
La Administración de Alimentos y Medicamentos (FDA) de EE.UU. ha publicado una guía para los fabricantes de dispositivos médicos que les indica los pasos a seguir para evadir los riesgos de seguridad informática y proteger así a sus pacientes y la salud pública.
    Para obtener más información acerca de las amenazas en la industria de la salud, lea por favor el blog disponible en Securelist.

    Fuente: Silicio

    Suscríbete a nuestro Boletín

    0 Comments:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info.

    Gracias por comentar!