Hace solo unos, el gobierno del Reino Unido anunció una nueva aplicación del NHS England que permitió a los pacientes reservar citas directamente con sus médicos generales (GP), así como repetir recetas y ver sus propios archivos médicos personales. La mayoría de las organizaciones de atención médica han intentado digitalizar sus servicios durante años para reducir la carga de trabajo administrativo y mejorar la atención general al paciente. Los beneficios de tal movimiento son evidentes, ya que Internet de las cosas (IoT) puede influir en varias áreas, incluidas las operaciones clínicas, la monitorización hospitalaria, la gestión de medicamentos y la gestión del flujo de trabajo.
Si bien este es un paso en la dirección correcta, mover los registros médicos en línea, por supuesto, generará algunas preocupaciones, ya que no es raro que los teléfonos se roben o se pierdan. Por lo tanto, es posible que algunas personas puedan acceder a información confidencial desde la aplicación. Sin embargo, la principal preocupación aquí es el sistema de back-end que proporciona la interfaz de programación de aplicaciones, datos, al mundo exterior. Cualquier sistema que proporcione datos externos debe ser una prueba de balas en sus mecanismos de autenticación y tener una miríada de protecciones para limitar los riesgos de seguridad de las aplicaciones basadas en la web.
En el futuro, hay una serie de desafíos de seguridad cibernética que el sector de la salud debe superar como parte de su plan de transformación digital, el más obvio es el tamaño y la diversidad de su ecosistema. Una gran cantidad y variedad de dispositivos (computadoras, tabletas, escáneres de resonancia magnética, monitores de frecuencia cardíaca, incluso los dispositivos personales del personal), todos los que tendrán acceso a la red, deberán estar conectados a un servidor central. Tener una variedad tan grande de dispositivos conectados a la red significará que habrá innumerables puntos finales conectados a Internet en cada hospital. Sin una visibilidad completa de la red, los ciberdelincuentes podrían explotar cada punto final.
Los departamentos de TI también se dan cuenta de que ningún sistema es infalible. La brecha de habilidades en seguridad cibernética está bien publicitada y se necesita más educación. Los empleados continúan abriendo correos electrónicos o enlaces web sospechosos, lo que expone a las organizaciones a una amplia gama de amenazas. El sistema de salud no es diferente, y los equipos de TI deberán abordar esto si el sector quiere continuar con su plan de transformación digital. Las habilidades de seguridad cibernética deberán agregarse a cualquier programa de capacitación inicial, especialmente dado el aumento reciente de los ataques de ransomware a las organizaciones de atención médica. Si los empleados todavía usan contraseñas predeterminadas o débiles y hacen clic en enlaces en correos electrónicos de phishing,
Si bien la transformación de datos ofrece beneficios obvios, no está exenta de riesgos. El cambio a una aplicación en línea parece una progresión natural, sin embargo, existe una diferencia entre tener registros computarizados dentro de nuestra infraestructura de TI de atención médica y que esos registros residan en un servidor público. Tener registros internos limita el rango y el tipo de acceso. Si bien todavía hay brechas, es mucho más difícil para los piratas informáticos remotos.
La solución
En pocas palabras, las bases de datos desprotegidas son muy fáciles de encontrar. Existen técnicas que las organizaciones sanitarias pueden utilizar para reducir el riesgo de futuras filtraciones de datos. Una forma es “optar por participar”, para que los pacientes tengan la opción de decidir si su información médica se traslada a un público para que puedan acceder a ella. Sin embargo, aquellos que no opten o descarguen la aplicación y, en su lugar, la utilicen, deben, de forma predeterminada, tener sus registros alojados en un servicio en la nube no público. De esta manera, si ocurre una violación de datos, aquellos que nunca usaron la aplicación, o no quisieron, no se habrán divulgado sus detalles.
Dicho esto, desarrollar una aplicación web segura y robusta es increíblemente difícil. Si bien los desarrolladores conocen la codificación segura, deben comprender cómo cifrar bases de datos o prevenir ataques de inyección SQL, e incluso ser conscientes de las vulnerabilidades de bibliotecas de terceros . Los equipos deben asegurarse de que las contraseñas tengan hash, mientras implementan la autenticación multifactory que no se pueden enumerar recursos en la interfaz de programación de aplicaciones (API) pública. Los desarrolladores deben completar la validación de entrada del lado del cliente, saber cómo configurar los servicios en la nube y utilizar la seguridad de transporte estricta HTTP (HSTS) o los sistemas de detección de intrusiones (IDS) para restringir los puertos y garantizar privilegios de acceso mínimos. Después de todo, los piratas informáticos solo necesitan encontrar un defecto que les otorgue acceso. Los administradores de sistemas de salud deben asegurarse de que todas las vulnerabilidades conocidas estén parcheadas.
Otra opción es utilizar una forma de cifrado totalmente homomórfico, que admite cálculos sobre datos en forma cifrada, incluido el cifrado de búsqueda (SSE). Sin embargo, el cifrado totalmente homomórfico sigue estando algo fuera de lugar. En un entorno de nube, criptografíase utiliza normalmente para dos propósitos: seguridad mientras los datos están en reposo y seguridad mientras los datos están en tránsito. Desafortunadamente, esto no garantiza la seguridad de los datos durante el procesamiento, ya que las limitaciones actuales de la criptografía impiden que los datos se procesen en forma cifrada. Dado el hecho de que los datos se procesan sin cifrar, es bastante común que los atacantes apunten a los datos en uso, en lugar de apuntar a los datos que están cifrados durante el almacenamiento y el tránsito. Ahí es donde se podrían considerar técnicas modernas como el cifrado totalmente homomórfico o el cifrado con capacidad de búsqueda.
Por supuesto, los equipos involucrados en esta transformación tendrán como objetivo brindar un servicio seguro y confiable, de eso no hay duda. Sin embargo, la estrategia de seguridad cibernética deberá ser amplia. Las pruebas de penetración son comunes para los sistemas de sondeo, pero desafortunadamente no se pueden identificar todas las amenazas. Dado el tamaño del sistema y la gran cantidad de datos públicos y confidenciales involucrados, será necesario considerar todo, incluidas todas las vulnerabilidades y todas las amenazas potenciales.
Selección del editor. (2021b, 9 de abril). Entrega de una estrategia de seguridad cibernética efectiva dentro de la atención médica. Recuperado 12 de abril de 2021, de https://www.information-age.com/delivering-effective-cyber-security-strategy-within-healthcare-123494662/