El
sector de la Salud no es ajeno a la digitalización y a la hiperconectividad
como tampoco lo es a los peligros a los que se enfrentan los nuevos sistemas y
dispositivos conectados, que hacen cuestionarse si es posible 'hackear' un
corazón humano.
Sin
embargo, como recuerdan desde G DATA, algunos de los sistemas empleados en
estas tareas podrían no ser lo suficientemente seguros. Las brechas de
seguridad en dispositivos médicos obligan a incorporar la 'security by design'
(seguridad por diseño) en este tipo de equipos.
G DATA comparte uno de los casos examinados
sobre los riesgos que plantea la conectividad. Éste se conoció en agosto de
2016, cuando un grupo de investigadores de seguridad descubrió una
vulnerabilidad en un marcapasos fabricado por uno de los principales
proveedores del mundo de desfibriladores, marcapasos y otros equipos médicos.
Estos
investigadores comprobaron que los transmisores utilizados en un determinado
modelo sufrían una vulnerabilidad que permitía chequear el estado del
marcapasos y su configuración de forma remota, con el único requisito de que el
paciente se encontrara físicamente en el radio de acción de dicho transmisor,
explican desde la compañía de seguridad.
El fabricante del dispositivo lanzó una
actualización de software para solucionar la mencionada brecha y la
Administración americana de alimentos y medicamentos (FDA) publicó una nota
para informar a los pacientes y los médicos de los pasos necesarios para
actualizar el software.
Desde
G DATA entienden que hay mucho en juego: la reputación de un fabricante puede
sufrir daños importantes si se suceden estos fallos de seguridad en sus
productos. Y ya se sabe que los intereses financieros van de la mano de esta
reputación. Pero mucho más importante es la vida de los pacientes que confían
en estos dispositivos para sobrevivir, en el sentido literal de la palabra.
PREVENIR VULNERABILIDADES NO ES FÁCIL
- Aunque sería fácil señalar las deficiencias de cualquier fabricante, hay que tener en cuenta que cualquier nuevo hardware o software usado en el sector salud tiene que someterse a pruebas rigurosas y necesita ser certificado antes de ser comercializado. Los criterios serán además más estrictos en función del papel que desempeñen estos dispositivos en la supervivencia de un paciente.
- Este proceso de certificación puede llevar años y ser muy costoso para los fabricantes. Hardware y software médico tienen además opciones muy limitadas cuando hablamos actualizaciones. A menudo estas actualizaciones y parches de seguridad para los dispositivos médicos son escasos y poco regulares, en el supuesto de que los haya.
- Con la llegada de ransomware surge una posibilidad peligrosa: la amenaza real de que alguien sea capaz de extorsionar a los pacientes o a los centros de salud con la posibilidad de desactivar los sistemas vitales para los enfermos.
- Para hacer frente a este desafío, fabricantes e investigadores de seguridad no tienen más opción que mantener una estrecha colaboración y actuar de forma muy responsable cuando hablamos de revelar información, asegurando que ninguna vida se pone en riesgo como consecuencia de una vulnerabilidad en el software.
- Cada nuevo producto o dispositivo médico, por sencillo que sea, necesita de un cuidadoso proceso de evaluación capaz de establecer si sus utilidades son mayores que los riesgos de una conexión en línea. Además, los procesos de certificación deben acelerarse considerablemente pues la seguridad TI ha alcanzado la velocidad de crucero necesaria.
- Por tanto, es de importancia crítica para la seguridad del paciente que los dispositivos médicos se apunten a la seguridad 'by design', es decir, esa seguridad que forma parte de la esencia del dispositivo y que está presente desde el momento en que era solo un concepto, tan importante como la propia función que realiza y por la que ha sido diseñado.
