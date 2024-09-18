Aunque los proveedores de asistencia sanitaria han implementado medidas de seguridad técnicas, administrativas y físicas relacionadas con la información de los pacientes, no han sido tan diligentes a la hora de proteger sus dispositivos médicos. Estos dispositivos son críticos para la atención al paciente y pueden poner a los hospitales en riesgo de sufrir ciberataques, lo que provocaría importantes interrupciones en la atención al paciente.
De hecho, según el Departamento de Salud y Servicios Humanos de EE. UU., el año pasado 88 millones de personas se vieron afectadas por grandes violaciones de seguridad, que comprometieron una gran cantidad de información médica protegida electrónica (ePHI). Este año, varios grandes proveedores de asistencia sanitaria se han visto nuevamente afectados por ciberataques, entre ellos Change Healthcare, Kaiser Permanente y Ascension. “Synnovis, un importante proveedor de servicios de laboratorio y diagnóstico de Londres, fue víctima de un ataque de ransomware que causó interrupciones generalizadas”, informó Halcyon. El ataque afectó a varios hospitales, entre ellos Guy's, St Thomas' y King's College, Evelina Children's Hospital, Royal Brompton, los hospitales especializados en cardiología y neumología de Harefield y el Princess Royal Hospital de Orpington, según informó The Guardian.
Se espera que el número total de hospitales en todo el mundo alcance los 166 548 en 2029, según un informe de Statista . El número medio de dispositivos médicos conectados por cama de hospital es de aproximadamente 10 a 15, según la revista HIPAA Journal. Estos datos sugieren que en 2029 habrá 1,67 millones de dispositivos médicos conectados en todo el mundo, muchos de ellos fabricados sin un enfoque de seguridad por diseño. Según una encuesta realizada por el Ponemon Institute y Proofpoint, el 89 % de las organizaciones sanitarias han sufrido cerca de un ataque por semana. El riesgo se agrava porque el 53 % de las organizaciones sanitarias afirman carecer de los conocimientos técnicos internos necesarios para abordar los problemas de ciberseguridad. Estas cifras son alarmantes, dada la gran cantidad de dispositivos médicos interconectados que hay en los hospitales.
Aunque los dispositivos médicos están diseñados para monitorizar la salud de los pacientes, también pueden ser un importante punto de entrada para los hackers en la red de un hospital. Si bien los proveedores de asistencia sanitaria han mejorado la seguridad de las historias clínicas electrónicas (HCE), los hackers ahora tienen como objetivo los dispositivos médicos. Esto ha puesto la seguridad de los mismos en una situación de “código azul”. Algunos ejemplos son:
Dispositivos heredados: muchos dispositivos médicos antiguos que todavía se utilizan no se diseñaron teniendo en cuenta la ciberseguridad. A menudo funcionan con software obsoleto, lo que introduce puntos de entrada vulnerables.
Lagunas normativas: aunque la Administración de Alimentos y Medicamentos (FDA) ha tomado medidas importantes para hacer cumplir la normativa sobre dispositivos médicos en los últimos años, sigue habiendo un cumplimiento inconsistente por parte de los fabricantes de dispositivos médicos y los proveedores de asistencia sanitaria.
Falta de protocolos de seguridad: muchos dispositivos médicos se diseñan sin protocolos robustos, lo que los convierte en blancos fáciles para los atacantes.
Complejidad: los dispositivos médicos son sistemas complejos que pueden ser difíciles de proteger debido a sus múltiples componentes, interfaces y opciones de conectividad.
Requisitos de interoperabilidad: los dispositivos médicos necesitan comunicarse con otros sistemas, dispositivos y redes, lo que crea riesgos de seguridad.
Falta de recursos: algunos fabricantes de dispositivos médicos no cuentan con la ciberexperiencia necesaria para implementar controles de seguridad adecuados.
Riesgos de la cadena de suministro: los proveedores de asistencia sanitaria suelen tener una visibilidad limitada de principio a fin en su red de dispositivos médicos y su cadena de suministro, lo que limita la detección y la respuesta adecuadas.
Abordar estas vulnerabilidades en los dispositivos médicos ayudará a mejorar significativamente la resiliencia de las redes de los proveedores de asistencia sanitaria y a mitigar el riesgo de ciberataques.
Entre los ejemplos de dispositivos médicos que son los objetivos favoritos de los hackers se incluyen:
Resulta crítico que los proveedores de asistencia sanitaria se aseguren de que los dispositivos médicos interconectados en la infraestructura de sus hospitales sean seguros para mitigar el riesgo y garantizar la seguridad de los pacientes.
Los proveedores de asistencia sanitaria pueden mejorar la seguridad de los dispositivos médicos, reforzar su postura en materia de ciberseguridad y mejorar la calidad de la atención al paciente aprovechando la inteligencia artificial generativa (IA generativa). Algunas estrategias clave son:
Monitorización del cumplimiento: utilice la IA generativa para garantizar el cumplimiento de la HIPAA (Ley de Portabilidad y Responsabilidad de Seguro Médico) y otras normas reglamentarias.
Inteligencia de amenazas: emplee la IA generativa para analizar grandes cantidades de datos, detectar y responder a posibles amenazas a los dispositivos médicos y enviar alertas a los proveedores de asistencia sanitaria.
Protección de datos: garantice el cumplimiento de la HIPAA anonimizando la ePHI antes de procesarla con IA generativa e incorporando la tokenización para evitar la difusión externa de la información de los pacientes.
Formación: cree cursos de formación en ciberseguridad impulsada por IA para los proveedores de asistencia sanitaria con el fin de mejorar la concienciación, minimizar los riesgos de seguridad y cumplir los requisitos de cumplimiento.
Gestión de parches: implemente un sistema de gestión de parches eficiente e impulsado por IA para garantizar que las vulnerabilidades más críticas se corrijan primero y que los dispositivos médicos reciban actualizaciones de software oportunas.
Respuesta a incidentes: utilice la IA para analizar datos e identificar patrones en posibles ataques, con el fin de proporcionar conocimientos a los analistas para mejorar la toma de decisiones y reducir el tiempo dedicado al análisis de alertas.
Para terminar, el sector sanitario depende de la conectividad digital de los dispositivos médicos. Los fabricantes de dispositivos médicos no han seguido tradicionalmente enfoques de seguridad por diseño, lo que ha introducido riesgos en la infraestructura de la red de los hospitales. Los atacantes se están aprovechando de esto y están llevando a cabo con éxito ataques de ransomware, paralizando las operaciones de los hospitales, así como otros tipos de ciberataques. Los proveedores de asistencia sanitaria pueden mejorar significativamente la seguridad de los dispositivos médicos aplicando buenas prácticas de ciberseguridad y aprovechando el poder de la IA generativa para mejorar la calidad de la atención al paciente y, en última instancia, la seguridad de sus vidas.
