La superficie de ataque de telesalud


En medio del aumento de la atención médica electronic derivada de la pandemia de coronavirus, la seguridad está pasando a segundo plano en cuanto a la usabilidad.

La telesalud y la telemedicina se enfrentan a numerosas amenazas cibernéticas. Actualmente, los proveedores de atención médica, los fabricantes de dispositivos médicos y los proveedores de plataformas de telesalud confían en una gran cantidad de regulaciones y fuentes de orientación, incluidas HIPAA, el Departamento de Salud y Servicios Humanos, y las regulaciones de la Administración de Alimentos y Medicamentos y las mejores prácticas generales de seguridad cibernética para administrar estos servicios. . Sin embargo, estas regulaciones no anticipan la gama completa de amenazas que pueden ocurrir dentro del entorno de pink inseguro del hogar de un paciente. Además, muchas de estas plataformas se han implementado rápidamente durante la pandemia y se les ha permitido eludir las regulaciones existentes, lo que exacerba aún más el entorno de riesgo para estos servicios.

Se está realizando un nuevo esfuerzo federal para abordar esta deficiencia. El Centro Nacional de Excelencia en Ciberseguridad (NCCoE) y el Instituto Nacional de Estándares y Tecnología (NIST) recientemente comenzaron a trabajar con los principales proveedores de la industria y expertos en la materia para llevar a cabo un Análisis integral de los servicios de telemedicina. para mapear la superficie de ataque, identificar los posibles puntos clave de falla y diseñar nuevos estándares de ciberseguridad de telemedicina para que la industria los siga. Este proceso aún se encuentra en las primeras etapas, pero una vez completado, será una hoja de ruta efectiva para los proveedores de atención médica y los desarrolladores de tecnología a medida que se expanda el uso de la telemedicina.

Mientras tanto, examinemos el área clave de riesgos relacionados con estos servicios digitales.

Puntos finales humanos: pacientes y médicos
Los servicios de atención médica electronic tienen una amplia superficie de ataque, que abarca desde plataformas en línea hasta proveedores de atención médica, herramientas de terceros y servicios como almacenamiento en la nube y VPN, dispositivos médicos de acceso remoto y las propias redes domésticas de los pacientes. Sin embargo, el punto más possible de una falla de seguridad es en los dos puntos finales humanos: pacientes y médicos. En el último caso, muchos médicos pueden no estar recibiendo suficiente capacitación en seguridad para las plataformas de telesalud que se espera que usen. Las medidas de seguridad básicas, como la autenticación de dos factores y los tiempos de espera de sesión, pueden ser un obstáculo o inconveniente, lo que podría llevar a algunos médicos a solicitar al departamento de TI que los desactive. Además, dado el rápido despliegue de telesalud durante esta pandemia, existe una posibilidad significativa de que algunos médicos usen sus propias computadoras portátiles o teléfonos celulares personales para realizar consultas virtuales.

Del lado del paciente, la situación es más compleja. Muchos de los estándares actuales de ciberseguridad en los que confían los proveedores de atención médica son los más adecuados para un entorno de purple protegido, como un hospital o consultorio médico. Los hogares de pacientes son todo lo contrario. Los proveedores de atención médica están compartiendo datos confidenciales a través de una red insegura con múltiples usuarios y con otros puntos finales que son muy susceptibles al compromiso del malware, incluidos los dispositivos generales de World wide web de las cosas y los dispositivos conectados. A diferencia de los empleados remotos, los proveedores de atención médica no pueden exigir a los pacientes que tomen precauciones de seguridad, como tunelizar el tráfico a través de una VPN o agregar un firewall de dispositivo. Por lo tanto, los servicios de telesalud y telemedicina se enfrentan a un desafío substantial al tratar de mantener los datos seguros a medida que viajan a través de este entorno de alto riesgo.

Dispositivos médicos portátiles
Los dispositivos médicos remotos también plantean desafíos únicos. Además de operar dentro de una pink doméstica de pacientes sin protección, los dispositivos en sí son más vulnerables a los ataques porque tienen recursos limitados y los pacientes tienen acceso físico sin supervisión y sin restricciones. A diferencia de los dispositivos grandes como las máquinas de resonancia magnética, los pequeños dispositivos médicos portátiles que terminan dentro de los hogares de los pacientes, como las bombas de insulina o los sistemas de monitoreo cardíaco, tienen una potencia de procesamiento, almacenamiento de datos y duración de la batería limitados. Como resultado, las soluciones de seguridad cibernética a las que recurriríamos, como la autenticación y el cifrado sólidos, pueden no ser opciones adecuadas para esos dispositivos. También pueden carecer del issue de forma necesario para otros pasos básicos de seguridad, como la protección con contraseña, ya que a menudo carecen de una pantalla y un teclado.

Riesgo de privacidad frente a ataques disruptivos
Los ataques cibernéticos en la industria de la salud han sido un problema durante años, pero el brote de COVID-19 ha exacerbado muchos de estos riesgos, particularmente cuando se trata de ransomware. Sin embargo, a pesar del hecho de que estos ataques disruptivos están aumentando, la industria de la salud se ha centrado principalmente en el tema de la privacidad del paciente para evitar el robo de información o exposiciones accidentales. Lo mismo también es cierto con la telesalud y la telemedicina. En el campo emergente de la atención médica electronic, los proveedores se preocupan principalmente por los riesgos de privacidad, mientras que no representan totalmente otros tipos de ataques, como el ransomware de dispositivos y la interrupción o sabotaje deliberado de los servicios. Los dispositivos médicos conectados a World wide web proporcionan un vector de ataque único, que podría explotarse para causar un daño significativo a los pacientes.

Aunque los ataques dirigidos a los pacientes son ciertamente posibles, son poco probables. Lo que es más realista es que los delincuentes se centrarán en la infraestructura de again-stop y los ecosistemas de tecnología de terceros que respaldan los servicios de telesalud y telemedicina para ganar escala y acceder a grandes conjuntos de datos de información altamente monetizable. Estos objetivos podrían incluir servidores de aplicaciones world wide web de telesalud, servicios de soporte de terceros, servidores de back-finish para dispositivos médicos remotos y redes de hospitales. El creciente número de ataques contra enrutadores Wi-Fi de nivel de consumidor también podría ser utilizado para comprometer los servicios de salud, ya sea intencionalmente o no, por parte de actores criminales.

Próximos pasos
En la prisa por implementar los servicios de telesalud, se han omitido o racionalizado algunos procesos de seguridad tradicionales para reducir el tiempo de comercialización. Esto ha elevado el nivel de riesgo para estos servicios. Es importante que los proveedores de servicios aborden estos problemas retrocediendo y aplicando un refuerzo de seguridad y activando las características clave de seguridad. Las protecciones de ciberseguridad como el cifrado de extremo a extremo, la autenticación de acceso fuerte, la autenticación multifactor y la supervisión activa son elementos esenciales imprescindibles. Sin embargo, estos no siempre son realistas en ciertas áreas de la telemedicina, particularmente cuando se trata del uso de dispositivos médicos más pequeños conectados a World wide web para el monitoreo remoto de pacientes. Para estos dispositivos, se deben investigar otras medidas de seguridad, incluidas las defensas basadas en firmware y los controles de seguridad a nivel de components, que pueden evitar que un atacante obligue a los dispositivos a actuar de manera insegura.

El programa NCCoE es un primer paso crítico para definir el alcance completo de los riesgos y amenazas relacionados con los servicios de telesalud. También jugará un papel importante en la mejora de la salud y la seguridad del paciente.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Justine Bone es CEO de MedSec, una compañía de seguridad cibernética que se centra exclusivamente en la industria de la salud, incluidos los hospitales y los fabricantes de dispositivos médicos. MedSec se desempeña como experto en la materia para el NCCoE / NIST Securing Telehealth Remote Individual Checking … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia unique