Ciberseguridad en la medicina, curando en todos los sentidos
En nuestro anterior artículo las vulnerabilidades también se curan ya se trató el tema de los dispositivos médicos, pero centrado en dispositivos implantados. Hoy en día, el sector médico dispone de muchos otros dispositivos utilizados para monitorización de pacientes, robots para operaciones, etc., que, aunque en conjunto no forman un sistema de control al uso, sí que comparten muchas de las características que lo definen, además de pertenecer al grupo de las infraestructuras críticas en muchos casos. Por estos motivos, su protección debe ser tenida muy en cuenta.
Este sector ha elevado su nivel de seguridad en los últimos años de manera notable, y prueba de ello son los numerosos avisos relacionados con vulnerabilidades descubiertas en estos dispositivos, que han sido publicados fruto de los análisis de seguridad llevados a cabo.
Una de las posibles razones de este empeño por mejorar la ciberseguridad dentro de los entornos hospitalarios puede deberse a la detección de diferentes ataques para la obtención de información sensible de pacientes, la cual ha de protegerse con las medidas pertinentes según la nueva normativa RGPD aplicable en España, ya que si estos datos cayeran en manos de ciberdelincuentes podrían desembocar en fraudes, extorsiones o suplantación de identidad.
Análisis de seguridad en sistemas médicos
Los dispositivos de uso médico no son dispositivos de control tradicionales como pueden serlo las máquinas herramienta, puesto que no disponen de los PLC ni RTU habituales. Se trata de dispositivos aislados uno de otro, con funcionamiento totalmente independiente e intermitente.
La tipología de uso de estos dispositivos, esporádico pero de requerimiento inmediato en diferentes ubicaciones físicas, hace que no se puedan aplicar medidas de seguridad generales para todos ellos, sobre todo para temas de actualización y parcheo, pero tampoco otros como la realización de copias de seguridad o un análisis de seguridad. Sería impensable que un carro de paradas no pudiera ser utilizado por estar en medio de un proceso de actualización. Además, otro de los condicionantes de estos dispositivos es que su responsable no es un CISO o un departamento de sistemas, que se puedan encargar de velar por su seguridad en todo momento, sino que es personal especializado del hospital, cuya misión principal es atender a los pacientes. Por ello, los equipos que manipulan y requieran para su trabajo han de estar listos, accesibles y utilizables ante cualquier emergencia que pueda ocurrir, dado que la vida del paciente puede depender de su buen funcionamiento.
Si nos centramos en la infraestructura necesaria para gestionar estos equipos, como puede ser la infraestructura de red, también debe ser protegida, aunque hay determinados aspectos que no son sencillos. Los dispositivos médicos se conectan a la red según las necesidades, lo que significa que lo hacen en diferentes habitaciones o quirófanos. Son muchos los equipos diferentes que se pueden conectar en la misma habitación, por esta razón no se puede hacer un control de acceso a la red (NAC – Network Access Control) en los puertos Ethernet tal y como se podría llevar a cabo en instalaciones industriales donde los equipos siempre se conectan en el mismo punto de red. Por así decirlo, se trata de una red con continuos cambios que han de permitirse dado que, por ejemplo, los equipamientos en los quirófanos cambian dependiendo del tipo de operación a realizar por los médicos del hospital.
Mejoras de ciberseguridad y contramedidas
El sector médico, como se ha visto, tiene sus peculiaridades, que hacen que no sean sistemas TI tradicionales, ni que tampoco sean sistemas TO tal cual los conocemos. Sus características hacen que se asemejen más a sistemas del Internet de las Cosas (IoT – Internet of Things). Por eso, las soluciones de seguridad deberían de ir en esa misma dirección, e incorporar las mismas soluciones que se están pidiendo a los dispositivos de IoT, entre las que destacan:
- Uso de protocolos de nueva generación, donde se incluyen diferentes suites de cifrado que permiten aplicar diferentes niveles de seguridad a los mensajes enviados. Entre estos protocolos, destacan las comunicaciones inalámbricas, abanderadas por ZigBee y todos los protocolos basados en el estándar IEC 802.15.4.
- Introducción de elementos de cifrado específicos en los dispositivos ya en uso para proteger las comunicaciones no seguras. De esta manera, no solo se protegen, sino que también se asegura que ningún dispositivo sin elemento de cifrado pueda comunicarse con el resto de componentes que conforman el dispositivo médico.
- Monitorización de uso de dispositivo y tráfico de red. Existen numerosas soluciones que permiten monitorizar el uso de los dispositivos y se encargan de trasladar la información hacia un sistema centralizado que permite identificar posibles incidentes comprobando los datos extraídos de diferentes equipos que trabajan de forma individual.
- Gestión de accesos. Muchos de estos dispositivos disponen de pantallas táctiles, por lo que no es necesario disponer de ningún elemento externo para poder acceder a ellos. Por este motivo, es necesario que el usuario de operación y el de configuración estén claramente separados, evitando de esa manera que se pueda modificar la configuración del dispositivo por error. También podría añadirse algún factor de seguridad adicional como, por ejemplo, el desbloqueo para modificación mediante tarjeta RFID, que deberían portar todos los médicos, enfermeras y personal sanitario.
Si además de los propios dispositivos de uso médico tenemos en cuenta otros aspectos, como la información recolectada por los equipos y su almacenamiento dentro de los servidores del hospital, aunque sea parte del mundo TI, hay que considerar aspectos esenciales como la privacidad, el cifrado, el almacenamiento seguro, la clasificación y el respaldo de los datos.
Orangeworm: historia y contramedidas
Como en cualquier otro sector, el ámbito sanitario también ha sufrido ataques que le han afectado en mayor o menor medida. Uno de los últimos incidentes relevantes ha sido Orangeworm.
Orangeworn es un grupo de espionaje que lleva operando desde el año 2015 en diferentes partes del planeta, entre ellas Europa, con un tercio de los incidentes detectados. Su objetivo principal siempre ha estado relacionado con el sector salud, teniendo la intención de obtener información relevante de las organizaciones atacadas.
El modo de operación se basaba en la carga de un malware, un troyano denominado Kwampirs, en diferentes dispositivos de los que poder obtener información, tanto de la organización como de los pacientes que trata. Entre estos dispositivos se encontraban algunos tan específicos del sector como máquinas de rayos X o de resonancia magnética. Este malware era el encargado de recoger información del equipo comprometido, pero también de ocultarse a sí mismo y garantizar no ser detectado utilizando medios como puertas traseras, técnicas de evasión de detección o la creación de servicios. La propagación la realizaba mediante la copia de sí mismo a recursos compartidos, tan habituales en el sector industrial.
-Identificación del servicio creado por Orangeworm-
La información recopilada incluía información de la red y de los medios utilizados (tipos de equipos, SO, identificación de tarjetas de red, etc.), equipos accedidos recientemente, recursos compartidos de red visibles, unidades mapeadas y, por supuesto, archivos del propio equipo. Toda esta información era enviada a un listado bastante extenso de centros de comando y control (C&C). Esta comunicación era bastante elevada y generaba bastante ruido en la red, la cual podría haber sido detectada en cualquier momento con las medidas de monitorización adecuadas.
Symantec, empresa que detectó el incidente, ha generado numerosos indicadores de compromiso y reglas de YARA para la identificación de este malware, además de reglas de antivirus e IDS para su detección.
-Identificadores de diferentes C & C-
Los dispositivos de uso médico no deben perder nunca su función principal, que es velar por la salud de los pacientes, pero eso no tiene por qué estar reñido con la seguridad. Para ello, el primer paso sería designar responsables de la seguridad para estos dispositivos que, operando conjuntamente con los médicos, puedan llegar a proponer e implementar medidas que eleven la seguridad de los dispositivos y que protejan tanto los propios equipos como la privacidad de los datos que almacenan de sus pacientes.