Seguridad IoT: riesgo en +50% de los dispositivos médicos

Confira neste artigo

Más de la mitad de los dispositivos médicos IoT conectados en tiempo real en los hospitales plantean actualmente amenazas de seguridad IoT (Internet de las cosas) debido a las vulnerabilidades críticas existentes que pueden comprometer considerablemente la atención al paciente.

Así se muestra en el informe

Informe sobre el estado de la seguridad de los dispositivos IoT sanitarios

2022 de Cynerio, una empresa que desarrolla plataformas de seguridad IoT para la sanidad.

Según la encuesta, el 53% de los dispositivos médicos conectados a Internet analizados presentaban una vulnerabilidad conocida, y considerando cada dispositivo inteligente conectado a la cabecera del paciente, se identificó un tercio que presentaba un riesgo crítico.

Cynerio analizó más de 10 millones de dispositivos médicos IoT en más de 300 hospitales y centros médicos de todo el mundo.

El informe advierte de que el acceso de los ciberdelincuentes a estos dispositivos médicos afectaría a la disponibilidad de los servicios, la confidencialidad de los datos e incluso la seguridad de los pacientes.

Seguridad IoT en sanidad: uno de los principales objetivos de los ciberataques

E incluso con inversiones continuas en ciberseguridad, siguen existiendo vulnerabilidades críticas en muchos de los dispositivos médicos de los que dependen los hospitales para atender a los pacientes.

En la práctica, las instituciones sanitarias necesitan soluciones avanzadas que mitiguen los riesgos y les permitan defenderse de los ciberataques, ya que podrían significar la vida o la muerte para los pacientes.

De todos los dispositivos médicos IoT, el informe descubrió que las bombas de infusión son el dispositivo más común con algún tipo de vulnerabilidad, con un 73%, especialmente porque representan el 38% del IoT de un hospital.

Si los delincuentes piratean una bomba intravenosa, afectaría directamente a los pacientes, ya que están directamente conectadas a sus usuarios.

Algunas de las principales causas de las vulnerabilidades detectadas en las instituciones sanitarias se deben a cosas relativamente sencillas, como software obsoleto.

Por ejemplo, el informe descubrió que la mayoría de los dispositivos médicos IoT ejecutaban versiones antiguas del sistema operativo.

Además, las contraseñas por defecto, utilizadas en todos los dispositivos inteligentes de la organización, son un riesgo común, sobre todo porque estas credenciales son débiles y protegen alrededor del 21% de los dispositivos inteligentes.

De hecho, la sanidad se ha convertido en el objetivo número uno de los ciberdelincuentes en los últimos años, debido principalmente a la obsolescencia de los sistemas y a la insuficiencia de los protocolos de ciberseguridad.

La creciente adopción de IoT presenta ventajas y vulnerabilidades

A lo largo de los años, la Internet de los objetos ha aportado inmensos beneficios a las organizaciones médicas y a sus pacientes.

Desde ofrecer a los pacientes una visibilidad más clara de su tratamiento hasta reducir algunos de los problemas de coste, acceso y coordinación de la atención sanitaria a los que se enfrenta actualmente el sector sanitario, IoT está a punto de cambiar la forma en que mantenemos la salud de las personas.

Según el informe

Global Market Insights

, se espera que el mercado mundial de ciberseguridad sanitaria aumente por encima de los 27.000 millones de dólares en 2025, con una CAGR del 19,1% desde los 8.200 millones de dólares de 2018.

La Internet de los objetos médicos (IoMT) ha ofrecido una puerta de entrada sencilla a los ciberdelincuentes que intentan hacer un mal uso de las vulnerabilidades y aprovecharse de ellas.

A
Red y recurso de inteligencia sobre ciberseguridad de código abierto
afirma que existe una media de 6,2 vulnerabilidades por dispositivo médico.

Teniendo en cuenta el enorme volumen de dispositivos médicos IoT presentes actualmente en clínicas y entornos clínicos, esto muestra un panorama de alto riesgo en lo que respecta a la seguridad IoT.

La seguridad del IoT pone en peligro la atención al paciente

Como los dispositivos periféricos no están en un entorno de red seguro, a los ciberdelincuentes les resulta más sencillo controlar el dispositivo médico conectado, por ejemplo, un dispositivo de evaluación de la salud, un ventilador portátil o una bomba de insulina, que envía información crucial al hospital.

Además, muchos de estos dispositivos cuentan con contraseñas predeterminadas y cortafuegos inaccesibles que los hacen más vulnerables.

Los ciberdelincuentes pueden acceder al dispositivo para desplegar código dañino y realizar modificaciones no aprobadas en el software del dispositivo.

Deben establecerse mecanismos antimalware adecuados para garantizar la integridad del dispositivo y protegerlo de los ataques de spyware y troyanos, garantizando así la seguridad del IoT.

También en relación con la seguridad del IoT, las instituciones sanitarias deben seguir asegurándose de que el dispositivo esté configurado con estrictas políticas de contraseñas.

También se exige el cumplimiento de la Ley General de Protección de Datos (LGPD ) para los equipos utilizados para obtener información sanitaria de los pacientes.

 

Una organización es tan fuerte como su eslabón más débil

Esto significa que es más importante que nunca que las organizaciones sanitarias inviertan en la seguridad de todos los dispositivos conectados a la red.

Implica la implantación de una solución que pueda rastrear todo el tráfico hacia y desde los dispositivos IoT, así como limitar con quién y con qué puede hablar cada dispositivo.

Encontrar una forma de proteger y rastrear lo que hacen las máquinas y los dispositivos es crucial. Además, es fundamental contar con una infraestructura de red vigorosa, sólida y orientada a la nube.

A medida que las organizaciones médicas intentan acceder a las ventajas de los dispositivos IoT, muchas se convierten en objetivos obvios para los ciberdelincuentes.

Disponer de la infraestructura y los procesos adecuados para proteger su primera línea le ayudará a preparar el uso correcto y seguro de los dispositivos, así como a obtener los mejores resultados para los pacientes.

La plataforma de seguridad de datos CipherTrust es la solución adecuada para que su hospital garantice la seguridad del IoT

La solución CipherTrust Data Security Platform es un importante recurso tecnológico que puede asociarse al uso del Internet de las Cosas (IoT), ampliando aún más la seguridad y protección de los datos.

Según IDC, en 2025 se crearán más de 175 zetabytes de datos, y hoy más de la mitad de los datos corporativos se almacenan en la nube.

Para hacer frente a la complejidad de la seguridad de IoT, la solución CipherTrust Data Security Platform ofrece sólidas capacidades para proteger y controlar el acceso a datos sensibles en bases de datos, archivos y contenedores. Las tecnologías específicas incluyen:

Cifrado transparente CipherTrust

Cifra los datos en entornos locales, en la nube, de bases de datos, archivos y Big Data con controles de acceso exhaustivos y un registro de auditoría detallado del acceso a los datos que puede evitar los ataques más maliciosos.

Protección de bases de datos CipherTrust

Proporciona un cifrado transparente a nivel de columna de los datos estructurados y confidenciales que residen en bases de datos, como tarjetas de crédito, números de la seguridad social, números de identificación nacional, contraseñas y direcciones de correo electrónico. Fundamental para garantizar la seguridad de IoT en instituciones sanitarias.

Protección de datos de aplicaciones CipherTrust

Ofrece API para que los desarrolladores añadan rápidamente cifrado y otras funciones criptográficas a sus aplicaciones, mientras que SecOps controla las claves de cifrado.

Tokenización CipherTrust

Ofrece servicios de tokenización de datos a nivel de aplicación en dos cómodas soluciones que proporcionan flexibilidad al cliente: Token sin Vault con enmascaramiento dinámico de datos basado en políticas y Tokenización en Vault.

Transformación de datos por lotes de CipherTrust

Proporciona servicios de enmascaramiento estático de datos para eliminar información sensible de las bases de datos de producción, de modo que se alivien los problemas de conformidad y seguridad, directamente relacionados con el problema de seguridad del IoT, cuando se comparte una base de datos con un tercero para su análisis, prueba u otro procesamiento.

Administrador de CipherTrust

Centraliza las claves, las políticas de gestión y el acceso a los datos para todos los productos CipherTrust Data Security Platform y está disponible en formatos físicos y virtuales conformes con FIPS 140-2 Nivel 3.

Gestor de claves en la nube de CipherTrust

Ofrece gestión del ciclo de vida de su propia clave (BYOK) para muchos proveedores de infraestructuras en la nube, plataformas y software como servicio.

Servidor KMIP de CipherTrust

Centraliza la gestión de claves para el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) utilizado habitualmente en soluciones de almacenamiento.

Gestor de claves TDE de CipherTrust

Centraliza la gestión de claves para el cifrado de Oracle, SQL y SQL siempre cifrado.

La cartera de productos de protección de datos que componen la solución CipherTrust Data Security Platform permite a las instituciones sanitarias proteger los datos en reposo y en movimiento en todo el ecosistema informático y garantiza que las claves de esa información estén siempre protegidas y sólo bajo su control.

Simplifica la seguridad de IoT sobre los datos, mejora la eficiencia operativa y acelera el tiempo de cumplimiento. Independientemente de dónde residan sus datos.

La plataforma CipherTrust garantiza la seguridad de sus datos, con una amplia gama de productos y soluciones probados y líderes en el mercado para su implantación en centros de datos, ya sean los gestionados por proveedores de servicios en la nube (CSP) o proveedores de servicios gestionados (MSP), o como un servicio basado en la nube gestionado por Thales, empresa líder en seguridad.

Cartera de herramienta que garantiza la protección de datos en dispositivos IoT

Con los productos de protección de datos de la plataforma de seguridad de datos CipherTrust, su institución sanitaria puede:

Reforzar la seguridad y el cumplimiento de la normativa

Los productos y soluciones de protección de datos de CipherTrust responden a las exigencias de una serie de requisitos de seguridad y privacidad, incluida la identificación electrónica, autenticación y confianza, Payment Card Industry Data Security Standard (PCI DSS), Ley General de Protección de Datos (LGPD), entre otros requisitos de cumplimiento.

Optimiza la eficiencia del personal y los recursos en los dispositivos IoT

La plataforma de seguridad de datos de CipherTrust ofrece el soporte más amplio del sector para casos de uso de seguridad de datos, con productos diseñados para trabajar juntos, una única línea para soporte global, un historial probado de protección contra amenazas en evolución y el mayor ecosistema de asociaciones de seguridad de datos del sector.

Centrada en la facilidad de uso, las API para la automatización y la gestión receptiva, la solución CipherTrust Data Security Platform garantiza que sus equipos puedan implementar, asegurar y supervisar rápidamente la protección de su empresa.

Además, disponemos de servicios profesionales y socios para el diseño, la implantación y la formación, con el fin de garantizar una implantación rápida y fiable con un mínimo de tiempo del personal.

Reduce el coste total de propiedad

La cartera de protección de datos de CipherTrust Data Security Platform ofrece un amplio conjunto de productos y soluciones de seguridad de datos que se pueden escalar fácilmente, ampliar para casos de uso específicos para la seguridad de IoT y tienen un historial probado de protección de tecnologías nuevas y tradicionales.

Con la plataforma de seguridad de datos de CipherTrust, las instituciones sanitarias pueden preparar sus inversiones para el futuro al tiempo que reducen los costes operativos y los gastos de capital.

Acerca de Eval

Con una trayectoria de liderazgo e innovación que se remonta a 2004, en Eval no sólo nos mantenemos al día de las tendencias tecnológicas, sino que estamos en una búsqueda constante de nuevos avances ofreciendo soluciones y servicios que marquen la diferencia en la vida de las personas.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Sobre o(s) autor(es):

Autores