[12/06/2023] Como todos los proveedores de atención sanitaria, el hospital estadounidense Northfield tiene una gran responsabilidad en materia de ciberseguridad, ya que pueden estar en juego datos confidenciales y la vida de los pacientes. Un estudio de Proofpoint y el Ponemon Institute publicado en septiembre del 2022 descubrió que las tasas de mortalidad de los pacientes aumentaron en más del 20% de las organizaciones sanitarias que sufrieron los tipos de ataques más comunes.
"Si esa organización sanitaria está caída y el paciente no tiene acceso a la atención médica, eso retrasa su atención y puede aumentar la mortalidad, especialmente si está hablando de una víctima de accidente cerebrovascular o un ataque cardíaco donde el tiempo es importante. Y cuando no hay automatización para que el paciente circule por el sistema y reciba la atención que necesita, puede aumentar el riesgo de mortalidad", explica Vern Lougheed, responsable de seguridad de la información del Hospital Northfield.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Fundado en 1910 como un centro de 12 camas en Minnesota, el Hospital Northfield ha crecido hasta convertirse en un centro de 37 camas con un centro de cuidados a largo plazo de 40 camas, siete centros clínicos y más de 65 proveedores de servicios sanitarios que atienden a la comunidad rural local, incluido el servicio de ambulancias del pueblo. Dado que los proveedores de atención sanitaria son siempre un objetivo de los ciberdelincuentes, el hospital ha estado actualizando constantemente su pila de ciberseguridad para garantizar que el personal pueda ofrecer siempre la mejor atención que necesitan los pacientes.
"La monitorización del corazón fetal es algo que hacemos aquí y... cuando una madre está de parto y estás monitorizando el latido del corazón del bebé, no quiere que eso desaparezca durante un evento", sostiene Lougheed.
Sistemas de ciberseguridad heredados sustituidos por protección basada en IA
Lo que el hospital de Northfield tenía en un principio era una pila de ciberseguridad tradicional con firewalls básicos, sistemas de protección y detección de intrusiones, gateways de seguridad en Internet, filtrado de spam y virus en el correo electrónico. Cuando empezaron a surgir productos basados en IA, el hospital se pasó a un sistema de protección de puntos finales basado en IA, el primer paso hacia las herramientas de inteligencia artificial en ciberseguridad.
"Pero nada estaba integrado; nada hablaba realmente entre sí", cuenta Lougheed. "Eran todo islas de información, todo islas de gestión de esos dispositivos. Era difícil comprender realmente y tener esa visibilidad que queríamos desesperadamente en nuestra red para entender cuáles eran nuestras amenazas, qué estaba ocurriendo, y por eso empezamos a buscar un conjunto de herramientas que nos permitiera obtener esa visibilidad. Era difícil distinguir los intentos de ataque de los dirigidos”, explica.
El primer producto con IA fue sólo el primer paso, en cuanto Lougheed descubrió que ofrecía un alcance limitado de los datos de telemetría procedentes de la red. Supo entonces que ese era el tipo de productos que proporcionarían la visibilidad necesaria, pero necesitaba buscar uno que fuera capaz de cubrir toda la empresa y no sólo un punto final.
Avanzar en la protección del Hospital Northfield
Las crecientes preocupaciones en torno a los riesgos para la atención sanitaria y las necesidades del Hospital de Northfield le llevaron a realizar una prueba de concepto con Darktrace antes de la COVID-19. El proveedor era todavía bastante nuevo entonces, por lo que se decidió a probar Darktrace. Según Lougheed, el proveedor era bastante nuevo entonces, pero su madurez iba en aumento.
"Esa prueba de concepto realmente nos demostró la visibilidad que este motor de IA puede proporcionarnos, no solo desde un cliente, sino desde un usuario, desde un protocolo, desde una IP a una fuente, a un destino, a una miríada de diferentes áreas de telemetría que podemos obtener a las que nunca antes habíamos tenido acceso. Fue realmente revelador. El hospital necesitaba saber qué era normal y qué era anómalo”, afirma.
Otro enfoque fue también simplificar la pila de ciberseguridad, en lugar de tener varios productos superpuestos por si uno no detectaba algo, el hospital está reduciendo la pila de ciberseguridad manteniendo cosas que por ahora siguen funcionando por separado, como firewalls y gateways de seguridad de Internet.
Preparar al hospital de Northfield para futuros riesgos
Los correos electrónicos de suplantación de identidad son cada vez más convincentes y esa es una de las preocupaciones de Lougheed, especialmente aquellos en los que se pide ayuda a un médico o a una enfermera en relación con problemas de salud, algo que ocurre cada vez con más frecuencia. Dice que Darktrace también está ayudando a identificarlos y comprenderlos.
La otra preocupación es la seguridad de los dispositivos médicos, que cada vez funcionan más con software. Los pacientes y cuidadores dependen de que estos dispositivos estén en línea y disponibles. "Y tienen flujos de trabajo muy particulares que son difíciles de proteger, y no se puede apagar fácilmente el monitor cardíaco de alguien sólo porque haya un ataque de ciberseguridad para proteger ese dispositivo. Hay que mantenerlo en funcionamiento", afirma Lougheed.
Esto le preocupa aún más, ya que explica que estos dispositivos médicos salen de la red y llegan a los hogares de los pacientes. Una vez en casa del paciente, el riesgo aumenta y resulta más difícil mantenerlos protegidos.
Un suceso reciente también ha hecho que esto sea una amenaza muy real. Hace unos meses, un empleado del hospital fue enviado a casa con un nuevo dispositivo para que esta persona pudiera trabajar desde casa. Poco después de que el dispositivo se conectara a la red privada del empleado, un informe de telemetría del sensor Darktrace C instalado en esa computadora mostró que la red doméstica del empleado se había visto comprometida por una IP con base en Rusia que intentaba conectarse al dispositivo.
Aunque el equipo de Lougheed está formado por él y otro empleado, confían en la acción autónoma del producto, que actuó desconectando esa computadora. Más tarde, se informó al empleado de los motivos y las medidas que debía tomar y se puso el dispositivo en cuarentena. "Fue cuestión de minutos desde que se conectó el dispositivo que recibimos la alerta y el dispositivo se desconectó".
Debido a lo rápido que se resolvió el problema, Lougheed explica que es difícil saber cuál pudo ser la intención. Incluso la ubicación de la IP podría ser incorrecta, ya que es fácil falsificar IP procedentes de distintas ubicaciones.
Formación en ciberseguridad y actualización continua de la pila para la seguridad del personal y los pacientes
Un ataque de ransomware es la mayor preocupación de Lougheed, un suceso que pudiera hacer caer el hospital sería devastador, afirma. Para contrarrestarlo, se imparte formación anual a todo el personal y a los nuevos antes de que se incorporen. Esta formación se actualiza con la información recopilada a lo largo del año sobre amenazas y sucesos. Los ejercicios de phishing también se realizan automáticamente a través de Darktrace, que envía los informes a Lougheed.
Las herramientas que pueden ejecutar cosas como ejercicios de phishing son especialmente importantes para las empresas más pequeñas, como las del sector sanitario, y más aún cuando los equipos informáticos son aún más reducidos.
En cuanto a la tecnología, Lougheed planea seguir reduciendo el número de proveedores en la pila de ciberseguridad del hospital, ya que los entornos complejos pueden aumentar el riesgo, explica. También quiere reducir la complejidad de la supervisión y gestión de los sistemas de defensa del hospital. "Esto debe completarse cuidadosamente y de una manera que no aumente el riesgo, sino que lo disminuya".
Los sistemas basados en IA son la forma en que esto seguirá ocurriendo, ya que los actores de amenazas "ya vienen a por nosotros con amenazas basadas en IA y tenemos que estar preparados", anota Lougheed. "No somos una gran empresa, pero necesitamos el mismo nivel de protección que tienen quienes son mucho más grandes que nosotros, y tenemos que gestionarlo con menos recursos las 24 horas del día, los siete días de la semana. La necesidad de atender a los pacientes nunca se detiene. Seguiremos buscando formas de proteger más nuestro activo más crítico, que son nuestros pacientes. Esto incluirá incorporar los dispositivos médicos sanitarios al paraguas de protección de Darktrace".
Basado en el artículo de Samira Sarraf (CSO) y editado por CIO Perú