El Director del FBI declaró la semana pasada que la agencia frustró un ciberataque en junio de 2021 dirigido al Boston Children’s Hospital.
El ataque se adjudicó a un grupo APT respaldado por el gobierno iraní, el cual aprovechó vulnerabilidades de un firewall para acceder a las redes de control ambiental que estaban interconectadas con el hospital.
En este caso, la inteligencia del ecosistema de colaboración de agencias estadounidenses y la oportuna reacción del FBI impidió que existiera una afectación al centro con más de 400 camas, pero debemos recordar que lamentablemente no siempre se ha tenido suerte. El sector salud es de los objetivos más asediados por el cibercrimen y particularmente, la creciente amenaza del ransomware es de las más inquietantes. El emergimiento del IoT en las redes hospitalarias y la ausencia de controles de seguridad desde el diseño de los dispositivos médicos convierten a sus infraestructuras en un suculento vector de ataque para diferentes actores de amenaza.
Es curioso, si bien es evidente que en los centros hospitalarios públicos encontramos importantes carencias y diferencias entre ellos, podemos observar que los hospitales privados, en lo general, se distinguen por sus protocolos de seguridad. Podemos percibir orden, estructura, limpieza, alertas homogéneas, monitores y muchos señalamientos, así como zonas de triage y urgencias donde los procesos de respuesta son destacables. Las personas son constantemente capacitadas, parece que todas esas batas blancas y uniformes azules saben qué hacer en el momento preciso.
Sin embargo, en el grueso de los hospitales no se refleja este mismo panorama en su ciberseguridad, ¿qué se puede hacer? Por supuesto, no existe un tratamiento mágico y todos los centros hospitalarios tienen características particulares, pero un elemento fundamental en su estrategia debe ser seleccionar el framework adecuado que les guíe de la mejor manera en la definición de su postura de seguridad basada en su tamaño, complejidad y nivel de riesgo. El NIST CSF es una referencia socorrida en muchas industrias y puede ofrecer a los hospitales orientación sobre cómo protegerse de ciberataques y al mismo tiempo cumplir con regulaciones como HIPAA. Un recurso útil para las organizaciones que desean implementar el NIST CSF es Healthcare Sector Cybersecurity Framework Implementation Guide que se desarrolló a priori para apoyar a organizaciones del sector salud.
Otro instrumento clave que nunca debe faltar es el análisis de riesgos, que a manera de ecografía permitirá diagnosticar qué le duele a la infraestructura del hospital y cómo comenzar a tratar, o al menos paliar sus dolores. Este check-up debe realizarse periódicamente, de manera que podamos monitorear cualquier síntoma que denote la posibilidad de que ese riesgo se materialice.
Para reflexionar: el sector salud es estratégico para los estados y considerado como una infraestructura crítica, ¿hacemos lo adecuado, no solo como profesionales sino como sociedad, para protegerlo?
Como decía Séneca: “Parte de la curación está en la voluntad de sanar.”
Provehito in altum
Por: Juan Pablo Carsi