Desafíos y soluciones de Ciberseguridad para la protección de entornos sanitarios

7 de septiembre de 2023

El sector sanitario se encuentra inmerso en un imparable proceso de adopción de dispositivos médicos IoMT (Internet of Medical Things) impulsado por los indudables beneficios que proporcionan en términos de productividad, innovación y mejora del servicio prestado a los pacientes.

Sin embargo, como suele ocurrir con cualquier nueva tecnología, su aparición viene acompañada de algunos retos que deben ser afrontados para su satisfactoria adopción. En este sentido, este creciente número de dispositivos conectados conlleva un aumento en el número y diversidad de puntos de exposición de la organización, incrementando lo que suele conocerse como “superficie de ataque”.

Se calcula un crecimiento continuado durante la primera mitad de la década actual de casi el 20% anual en el número de dispositivos IoMT en los hospitales. Fuente: Juniper Research.

Esto exige habilitar mecanismos para tener identificados estos dispositivos, conocer sus posibles vulnerabilidades, evaluar de forma continua el riesgo de su posible explotación e implementar las medidas necesarias para mantener el nivel de riesgo en valores razonables.

Retos específicos del sector sanitario

Un problema común en el sector sanitario, que se reproduce también en organizaciones de otros sectores, consiste en la falta de visibilidad completa de los dispositivos conectados a las redes; problema que se agrava en el caso de dispositivos IoTM, más heterogéneos que los sistemas IT tradicionales.

Además, el crecimiento orgánico e inorgánico de estas organizaciones, por ejemplo, por la incorporación de nuevos centros sanitarios y unidades de atención médica o fruto de fusiones y adquisiciones, da lugar a una infraestructura de redes y sistemas heterogénea y en constante cambio, lo que dificulta la definición e implantación de modelos de gobierno y controles de seguridad consistentes en toda la organización.

A lo anterior hay que sumar la importancia vital que tiene para las organizaciones sanitarias la disponibilidad ininterrumpida de sus sistemas y tecnologías, tanto por la naturaleza de su actividad como por la necesidad de prestar un servicio de calidad y proteger su reputación.

El proyecto: definición de la arquitectura, implantación y explotación

Para cumplir con los requisitos habituales en proyectos de este tipo se pueden optar por diferentes tecnologías de monitorización especializada en entornos sanitarios. Uno de ellos es Medigate by Claroty.

Esta tecnología toma como entrada una copia pasiva del tráfico y es capaz de identificar los dispositivos, sus relaciones de comunicación con otros equipos de la red y sus vulnerabilidades potenciales.

Para desplegar este tipo de tecnologías se requiere implantar una sonda en cada hospital (Medigate Collection Service) que se comunica con el MAS (Medigate Analysis Server), plataforma Cloud que proporciona una gestión centralizada del despliegue.

Asimismo, con el fin de sacar el máximo partido a la tecnología, deben realizarse integraciones con otros sistemas con dos objetivos fundamentales:

  • Alimentar a la solución de monitorización con información de otros servicios de red para complementar su capacidad de inspección profunda de paquetes (DPI). Es el caso de sistemas de gestión de red (SNMP), directorio activo (AD) o repositorios de activos (CMDB)
  • Alimentar otras soluciones de Ciberseguridad con la información que es capaz de proporcionar la solución de monitorización. Esto permite obtener un mayor rendimiento de otras soluciones de Ciberseguridad, permitiendo la aplicación de reglas de segmentación y filtrado (FW, EDR) o control de acceso (NAC) más granulares gracias a la mayor capacidad de identificación y reconocimiento de dispositivos que aporta la tecnología

Una vez definida la arquitectura de despliegue y las integraciones necesarias, se procede al despliegue y la configuración de los equipos en cada uno de los centros sanitarios objeto del proyecto.

Tras la fase de despliegue, configuración e integración, se inicia una fase de explotación, actividad clave en estos proyectos para rentabilizar la inversión en tecnologías por cuanto permite seguir obteniendo valor de su uso.

De hecho, es a partir de este momento cuando se empiezan a realizar actividades con impacto significativo en la postura de Ciberseguridad:

  • Gestión de riesgos: tomando como punto de partida la información sobre cada dispositivo, sus vulnerabilidades y sus comunicaciones, se obtiene una evaluación del nivel de riesgo en las circunstancias iniciales y su potencial reducción mediante la implementación de algunas contramedidas o acciones de corrección como las que se describen a continuación.
  • Apoyo a la segmentación de red para limitar la exposición de los dispositivos: esta es una medida básica pero que requiere un análisis de los segmentos de red de la organización (VLAN) y su correcta gestión.
  • Definición de directivas de red: con objeto de reducir la superficie de ataque a nivel de red en los dispositivos médicos, se aplican directivas de red sobre los flujos de comunicaciones, protocolos y puertos personalizados para la organización. Si bien la tecnología proporciona directivas basadas en guías del fabricante, estas no tienen en cuenta las características propias de comunicaciones preexistentes, por lo que deben personalizarse.
  • Gestión de alertas: como toda solución de monitorización genera alertas que, en el caso de los entornos sanitarios podemos clasificar en dos grupos: alertas específicas de entornos médicos (e.g. datos de pacientes sin cifrar) y alertas generales (e.g. comunicaciones con IP maliciosas). Con objeto de automatizar el tratamiento de alertas, se definieron y se siguen definiendo procedimientos en forma de playbooks.
  • Remediación de vulnerabilidades: algunas de las vulnerabilidades desencadenan acciones en forma de proyectos acotados para su eliminación o para la mitigación del riesgo que suponen. Algunos ejemplos son: mover equipos críticos a un segmento de red concreto, estudiar comunicaciones SMBv1 por hospitales o tratar vulnerabilidades por fabricante para encontrar un mecanismo de remediación.

Conclusión

La implantación de soluciones de monitorización de seguridad en los entornos sanitarios responde a las demandas y los desafíos asociados a la construcción de un modelo sanitario de mejor calidad, centrado en el paciente.

En este sentido, los productos y servicios de Ciberseguridad de Telefónica Tech, como los descritos en este artículo, son clave para afrontar los riesgos de Ciberseguridad y aumentar la resiliencia de las infraestructuras sanitarias.

AUTORES
VICENTE SEGURA
Gerente de producto de Ciberseguridad OT & IoT
&
MIGUEL GARCÍA PARRONDO
Consultor OT

***

Evolución de la Ciberseguridad: la IA como herramienta de ataque y defensa
Cyber Security
AI of Things
Evolución de la Ciberseguridad: la IA como herramienta de ataque y defensa
28 de junio de 2023