lunes, 30 de abril de 2018

Cuando los médicos necesitan un doctor

¿Nunca te has preguntado si los médicos acuden al doctor cuando tienen problemas de salud? A no ser de que seas tan terco como el Doctor House, cualquiera que tenga un problema, necesita soluciones. Los dispositivos médicos también son vulnerables a los ataques cibernéticos y pueden poner en riesgo no solo la información y los datos almacenados, sino también la salud de los pacientes. Recientemente, datos de usuarios de Facebook y Uber se han visto afectados por brechas en la seguridad, al igual que Healthcare, donde se accedió a información privada de 18.000 miembros.




En 2017, la FDA confirmó la vulnerabilidad de los dispositivos cardíacos implantables, conocidos como marcapasos. Si se piratean, los ciberdelincuentes podrían usar el acceso a estos dispositivos para agotar prematuramente la batería o cambiar la frecuencia del marcapasos, causando así la muerte del individuo. 
Debido a estos problemas, MedCrypt, una compañía de ciberseguridad de California fundada en 2016, ofrece una solución. Mike Kijewski, CEO de MedCrypt habla sobre ello en la entrevista ofrecida a Medgadget: "la industria no entendía en términos generales el problema de la ciberseguridad de los dispositivos médicos hasta que se publicaron los documentos de orientación sobre ciberseguridad de la FDA en 2016."

Los principales proveedores de dispositivos médicos creían que estaban exentos de ataques externos y la seguridad de ellos no era un problema, tal y como explica Mike Kijewski: "En el último trimestre de 2017, la mayoría de los principales proveedores de dispositivos habían visto que este es un problema importante, y que requerirá la colaboración entre proveedores de dispositivos, proveedores y compañías de tecnología."

La situación actual de las empresas de dispositivos médicos no es nada favorable. A partir del documento de la FDA en 2016, muchas empresas fueron conscientes de los peligros a los que estaban expuestos, pero no todas se pusieron a trabajar en esos problemas: "Existen empresas que consideran que la seguridad de los dispositivos médicos es una importante preocupación de seguridad y un potencial habilitador comercial. Eso no fue así hace dos años. Pero aún vemos que las empresas dicen que solo abordarán la seguridad del producto cuando una agencia reguladora les obligue a hacerlo. Afortunadamente, parece que la FDA ha prometido hacerlo en el futuro cercano", explica Kijewski.

Como hemos anunciado al principio del post, no solo corre peligro la información y los datos de los pacientes. Un ciberataque puede poner en riesgo la vida de las personas, tal y como cuenta Mike Kijewski: "los riesgos para los pacientes pueden variar desde el robo de datos personales hasta daños físicos. Para las compañías de dispositivos médicos, los riesgos financieros son realmente difíciles de cuantificar. Hemos visto a un par de empresas abandonar líneas completas de productos después de que se encuentra una vulnerabilidad importante. Es difícil saber si esos eventos fueron causales, pero está claro que la retirada de cientos de miles de dispositivos médicos implantables no es ni barata ni buena publicidad."

MedCrypt, la compañía de ciberseguridad ofrece seguridad de datos como un servicio que asegura que los dispositivos solo actúen y respondan a la dirección de fuentes confiables. Las capacidades de MedCrypt incluyen: cifrar datos enviados a dispositivos y desde ellos, firmar de forma criptográfica comandos enviados a un dispositivo, asignar claves únicas a cada actor del sistema y monitorear dispositivos en tiempo real. 

Kijewski explica el funcionamiento de la herramienta: "El software de MedCrypt les brinda a los ingenieros que escriben código para dispositivos médicos un acceso fácil a las funciones de seguridad a través de una API. Por ejemplo, un usuario puede llamar a nuestra API para firmar criptográficamente una instrucción que se envía a un dispositivo, y nuevamente para validar la firma una vez que se recibe la instrucción. Si bien puede parecer una tarea de ingeniería trivial, abordar todos los casos extremos relacionados con el aprovisionamiento de claves, la administración, parches de vulnerabilidad, selección de cifrado, etc. rápidamente pueden hacer que esas tareas sean desafiantes. Eliminamos esa complejidad del flujo de trabajo de nuestros usuarios, lo que les permite centrarse en las características clínicas."

Muchas veces, como usuarios de dispositivos convencionales en el día a día, no somos conscientes de los problemas que podemos llegar a sufrir. Un email fraudulento o el típico aviso del antivirus, son problemas que en la mayoría de los casos pasamos por alto, pero nunca podríamos llegar a imaginar que nuestra vida estuviera en peligro.

0 comentarios:

Publicar un comentario