Un reciente ataque de ransomware que jugó un papel importante en la muerte de una mujer alemana ha puesto de relieve tanto los peligros como la importancia de la ciberseguridad en la actualidad. Pero también ha llevado a algunos a señalar con el dedo quién fue el responsable.
Como de costumbre, jugar al juego de la culpa no ayuda a nadie, pero nos recuerda la imperiosa necesidad de trabajar en la seguridad de la atención médica.
¿Que pasó?
Hace unas semanas, el hospital universitario Uniklinikum de la ciudad alemana de Düsseldorf sufrió un ataque de ransomware. El hospital decidió no admitir nuevos pacientes hasta que resolviera la situación y restableciera el funcionamiento normal.
Debido a la parada de admisiones, una mujer que necesitaba ayuda inmediata tuvo que ser llevada al hospital de Wuppertal, que está a unas 20 millas más allá. Desafortunadamente, murió al llegar. Los 30 minutos adicionales que tardó en llevarla al siguiente hospital resultaron ser fatales.
Al final resultó que, el objetivo de la banda de ransomware ni siquiera era el hospital, sino la universidad a la que pertenece el hospital. Cuando los atacantes se enteraron de que el hospital también había sido víctima, entregaron la clave de descifrado de forma gratuita. A pesar de esa clave, el hospital tardó más de dos semanas en alcanzar un nivel de operatividad que les permitiera aceptar nuevos pacientes.
Esto no solo es trágico porque la mujer podría haberse salvado si el hospital universitario hubiera estado operativo, sino también porque demuestra una vez más cómo una de las partes más importantes de nuestra infraestructura carece de las defensas adecuadas contra amenazas prevalentes como el ransomware.
¿Cuáles son los principales problemas a los que se enfrenta la seguridad sanitaria?
En el pasado, hemos identificado varios elementos que hacen que la industria de la salud, y los hospitales en particular, sean más vulnerables a las ciberamenazas que muchas otras verticales.
Estos son algunos de esos elementos problemáticos:
- Internet de las cosas (IoT): debido a su naturaleza y método de uso, encontrará muchos dispositivos de IoT en hospitales que se ejecutan en diferentes sistemas operativos y requieren configuraciones de seguridad específicas para protegerlos del mundo exterior.
- Sistemas heredados: muy a menudo, los equipos más antiguos no funcionan correctamente con los sistemas operativos más nuevos, lo que da como resultado que varios sistemas se ejecuten en un SO desactualizado e incluso en software que haya llegado al final de su vida útil . Esto significa que el software ya no recibirá parches ni actualizaciones incluso cuando haya problemas conocidos.
- Falta de copias de seguridad adecuadas: incluso cuando se ha resuelto el problema subyacente, el objetivo atacado puede tardar demasiado en volver a un estado operativo. Los institutos deben tener al menos un plan de respaldo y tal vez incluso equipos y servidores de respaldo para las funciones más vitales para que puedan mantenerlos en funcionamiento cuando ocurre un desastre.
- Estresores adicionales: problemas adicionales como COVID-19, incendios y otros desastres naturales pueden reducir el tiempo y dejar de lado la necesidad de realizar actualizaciones, hacer copias de seguridad o pensar en cualquier cosa relacionada con la ciberseguridad. Estos factores estresantes y otras razones a menudo se denominan «tenemos cosas más importantes que hacer».
Riesgos de seguridad de IoT
Muchos dispositivos médicos que investigan y monitorean al paciente están conectados a Internet. Los consideramos parte del Internet de las cosas (IoT) . Este grupo de dispositivos viene con su propio conjunto de riesgos de seguridad, especialmente cuando se trata de información de identificación personal (PII) .
En todos los casos, es recomendable investigar si la configuración de los dispositivos permite acceder a él a través de la intranet en lugar de Internet. Si es posible, eso facilita proteger el dispositivo del acceso no autorizado y mantener los datos confidenciales dentro del perímetro de seguridad.
Sistemas heredados
Los sistemas médicos provienen de varios proveedores y en cualquier hospital encontrará muchos tipos diferentes. Cada uno con su propio objetivo, guía de usuario y régimen de actualización. Para muchos sistemas heredados, la regla de actuación será no jugar con él si funciona. El temor a una falla del sistema supera la urgencia de instalar los últimos parches. Y podemos relacionarnos con ese estado mental, excepto cuando se aplica a las actualizaciones de seguridad en un sistema conectado.
Estrés por desastres
Bien, aquí viene nuestra enésima mención de COVID-19, lo sé, pero es un factor que no podemos ignorar.
La reciente pandemia global contribuye a la falta de tiempo que el personal de TI de muchas organizaciones de atención médica siente que tiene. Lo mismo ocurre con muchos otros desastres que requieren la creación de soluciones de emergencia.
En algunos casos, se construyeron clínicas especializadas completas para tratar con las víctimas de COVID-19 y para reemplazar la capacidad perdida en otros desastres como incendios forestales y deslizamientos de tierra.
¿Asuntos más importantes a la mano?
Es difícil exagerar la importancia del “triaje” en el sistema de salud. Es probable que los profesionales de la salud, como enfermeras y médicos, lo practiquen todos los días, dando prioridad a las necesidades más críticas del paciente segundo a segundo.
No debería sorprender que la clasificación también tenga un lugar en la administración de TI. Los centros de salud deben determinar qué sistemas requieren atención inmediata y qué sistemas pueden esperar.
Curiosamente, el CISO del hospital que sufrió el ataque de ransomware fue acusado de negligencia en algunos medios alemanes. La aplicación de la ley en Alemania está avanzando tanto para tratar de identificar a las personas detrás del ataque de ransomware, como para acusarlas potencialmente de homicidio negligente debido a la muerte de la mujer.
Si bien difícilmente podemos culpar al CISO por la muerte de la mujer, puede llegar un momento en que la seguridad inadecuada y sus resultados puedan conllevar un castigo para los responsables.
Ransomware en particular
El ransomware en juego en el caso alemán se identificó como DoppelPaymer y se determinó que estaba implantado dentro de la organización utilizando la vulnerabilidad CVE-2019-19781 en las VPN de Citrix.
En noticias más recientes, nos enteramos de que los hospitales de UHS en los EE. UU. Se vieron afectados por el ransomware Ryuk .
También es importante recordar que los costos de un ataque de ransomware a menudo se subestiman. La gente tiende a mirar solo el monto real del rescate exigido, pero los costos adicionales suelen ser mucho más altos que eso.
Se necesitan muchas horas-personas para restaurar todos los sistemas afectados en una organización y volver a un estado completamente operativo. El tiempo de recuperación será menor en una organización que viene preparada. Tener un plan de restauración y copias de seguridad adecuadas que sean fáciles de implementar puede agilizar el proceso de volver al negocio. Otra tarea importante es averiguar cómo sucedió y cómo tapar el agujero, para que no vuelva a suceder. Además, puede ser necesaria una investigación exhaustiva para comprobar si el atacante no dejó ninguna puerta trasera .
Hay un problema para cada solución
La seguridad probablemente nunca alcanzará una calidad hermética, por lo que además de hacer que nuestra infraestructura, especialmente las partes vitales de la misma, sean lo más seguras posible, también debemos pensar en el futuro y hacer planes para lidiar con una brecha. Ya sea que se trate de una filtración de datos o un ataque que paraliza partes importantes de nuestros sistemas, queremos estar preparados. Saber qué hacer, y en qué orden, puede ahorrar mucho tiempo en la recuperación ante desastres. Tener las herramientas y las copias de seguridad a mano es el segundo paso para limitar los daños y ayudar con una recuperación rápida.
En resumen, necesitarás:
- Planes de recuperación para diferentes escenarios: filtraciones de datos , ataques de ransomware, lo que sea
- Copias de seguridad de archivos que son recientes y fáciles de implementar u otro tipo de método de reversión
- Sistemas de respaldo que pueden asumir el control cuando los sistemas críticos están paralizados
- Capacitación para los involucrados, o al menos una oportunidad para familiarizarlos con los pasos de los planes de recuperación.
Y por último, pero no menos importante, no olvide centrarse en la prevención. Lo mejor de un plan de recuperación es que nunca lo necesita.