La tecnología lleva años protagonizandos los avances médicos, por ello, es importante asegurar las Infraestructuras Tecnológicas de la Salud. Hemos encontrado fallos de seguridad, principalmente en software médico, y queremos aportar soluciones.
En el último tiempo la tecnología ha tenido influencia relevante en el avance vertiginoso de la investigación y las ciencias médicas. Actualmente, se han llegado a avances tecnológicos no solo para curar enfermedades, ayuda en intervenciones quirúrgicas y también la prevención de enfermedades.
¿Qué aportan las Infraestructuras Tecnológicas de la Salud? Con la transformación digital, la infraestructura hospitalaria almacena a través de sus plataformas y dispositivos gran cantidad de datos de sus pacientes -usuarios- como historias clínicas, inventario de medicamentos, imágenes radiológicas, gestión de laboratorios, entre otros. Es a través de estos datos que permiten la tomar acciones, desde que una enfermera pueda suministrar medicamentos, alguien revise sus resultados desde el móvil y hasta poder compartir estos datos con otros hospitales.
Sin lugar a dudas, todos los cambios tecnológicos son buenos, ya sea porque automatizan procesos, agregan valor a los servicios o mejoran los tiempos de respuesta para sus usuarios. Pero… ¿qué hay de los riesgos de seguridad en los datos en esta industria? En base a la importancia que en la actualidad este tipo de instalaciones, catalogadas en el mundo de la ciberseguridad como infraestructuras críticas, las amenazas y los atacantes están constantemente intentando irrumpir sus controles de seguridad para poder robar datos de pacientes, extraer investigación de laboratorios o ¨secretos¨ o secuestrar equipos (casos de ransomware), entre otras actividades maliciosas.
Desde nuestra posición hemos estado investigando en varios ámbitos donde hemos encontrado fallos de seguridad principalmente en software médico para gestionar imágenes radiológicas, registros médicos (EHR/EMR) y Sistemas de Información Hospitalarios (HIS). Una necesidad que evidenciamos en este aspecto es la falta de soporte en varios proyectos opensource para la industria médica que están olvidados y sin soporte, algunos de ellos con diferentes implementaciones o embebidos en otras aplicaciones propietarias.
A su vez, hemos identificado en base a experiencias y compartiendo con la comunidad que varios de estos sistemas están descentralizados en las instalaciones de salud de los países, gestionan diferentes tipos de implementaciones y protocolos, mantienen bajos estándares de seguridad y sumado a todo esto el incremento de este tipo de servicios en la nube y dispositivos médicos conectados (IoT) a sus redes para convergencia sus servicios. Sobre esto último, un estudio indica que las industrias de “Healthcare” cada vez agregan como parte de sus infraestructuras dispositivos de monitoreo IoT y “hearables”, con los riesgos que esto implica, ya que se ha demostrado la inseguridad y los pobres controles de seguridad que tienen muchos de estos equipos.
Al igual que muchos, vemos con preocupación que para este tipo de industria tan relevante en la vida de las personas continúe implementándose más tecnología sin los controles necesarios, o al menos mínimos de seguridad, ya que, a diferencia de otros sectores, en el hospitalario se pone en riesgos aspectos más críticos que pérdidas monetarias a través de un posible ataque informático.