Red Seguridad 102

58 red seguridad tercer trimestre 2023 monográfico salud 5.0 El aumento de dispositivos conectados IoMT ( Internet of Medical Things , por sus siglas en inglés) en el entorno hospitala- rio hace necesario analizar la cibersegu- ridad del sector desde un punto de vista ciberfísico, más allá del ámbito digital (TI). La ciberseguridad industrial (OT) es determinante en este espacio y tiene por delante retos que solo se solventarán con un trabajo de convergencia. En el mercado negro, los datos mé- dicos valen ya diez veces más que los económicos. A modo de ejemplo, solo un expediente clínico en la Dark Web puede costar alrededor de los mil dó- lares. Según el informe Servicios CCN- CERT Sector Salud del Centro Criptológi- co Nacional, la fuga de datos de salud (datos personales, historiales, etcétera) es el atractivo número uno para los ci- berdelincuentes, y el ransomware ha evi- denciado la debilidad de los sistemas de hospitales en todo el mundo. Sin embargo, es necesario mirar más allá del ámbito digital. La ciberseguridad OT se convierte hoy en una prioridad para el sector y tiene que ver con siste- mas ciberfísicos, aquellos que son ges- tionados mediante sistemas digitales (y producen información que se comparte con los distintos servicios del hospital) o que proporcionan algún servicio y pue- den generar un efecto en las personas. El fallo o intrusión en un sistema digital pondrá al descubierto nuestra informa- ción más personal. El fallo en un equipo hospitalario puede provocar problemas irreversibles en la salud física de los pacientes: se trata de la seguridad de un marcapasos, de un holter o de una bomba de insulina; del compromiso de máquinas de tomografía, de ecografía, de rayos X, de radioterapia, de medicina nuclear, de robots de cirugía, de equipos de endoscopia y láser, de desfibriladores y de todo tipo de wearables . Todo ello se comunica de forma electrónica con los sistemas digitales (IT) de un hospital, como señala el informe Good practices for the security of healthcare services de la Agencia de la Unión Europea para la Ciberseguridad. Sistemas ciberfísicos La principal problemática del sistema ciberfísico en el ámbito hospitalario es que la regulación de la FDA ( the food and drug administration ) y la naturaleza de los dispositivos médicos los hacen intocables. No se permite instalar nin- gún software de terceros en un terminal médico, ni parchear su sistema operati- vo por razones de seguridad, al no estar esta acción certificada por el fabricante. Cualquier modificación a este respecto lleva a perder la certificación frente a las entidades regulatorias. Hoy, gran parte del software médico está fuera de soporte y muchos de los sistemas que se utilizan son anticuados y están profundamente implantados, por lo que puede ser costoso reemplazarlos. Además, los flujos de trabajo clínicos son complejos, lo que hace que las mi- tigaciones de red para la vulnerabilidad de los dispositivos médicos no sean algo trivial para compilar, implementar y ha- cer cumplir. Convergencia IT/OT: garantizar la ciberseguridad en un hospital A lejandro V illar Global Director of OT Cybersecurity en Entelgy Innotec Security La ciberseguridad OT se convierte hoy en una prioridad para el sector de la salud