La Internet de los objetos médicos (IoMT) se anuncia a menudo como el futuro de la asistencia sanitaria.
No es del todo cierto.
Lo cierto es que los big data y los dispositivos conectados ya están profundamente arraigados en miles de hospitales, laboratorios y organizaciones de prestación de asistencia sanitaria (HDO) de todo el mundo. En otras palabras, IoMT no es nuestro futuro, es nuestra realidad actual.
Sus médicos y enfermeras ya utilizan dispositivos conectados por Wi-Fi para controlar y tratar a distancia afecciones en tiempo real. El IoMT genera multitud de datos de gran riqueza que pueden pasar a formar parte del historial de forma automática, lo que proporciona a los facultativos las herramientas necesarias para tomar decisiones informadas y ofrecer una atención precisa más rápido que nunca.
Y estas innovaciones llegan en un momento crucial para el sector sanitario, con una población que envejece y un gasto mundial en sanidad que alcanzará los 8,7 billones de dólares en 2020. El ecosistema IoMT en expansión será clave para racionalizar la atención y hacer frente a esta creciente presión financiera.
Por este motivo, la seguridad de los dispositivos médicos ya no puede ser una idea tardía. La seguridad debe integrarse en el diseño y la incorporación de todos y cada uno de los nuevos dispositivos que lleguen a su organización.
Definición de la Internet de los objetos médicos (IoMT)
Los fabricantes de dispositivos médicos siguen superando los límites de las capacidades informáticas y de procesamiento, produciendo un número cada vez mayor de dispositivos conectados que generan, recopilan, analizan y transmiten datos.
El mercado sanitario de IoT , con un valor de 41 220 millones de dólares, incluye ahora desde dispositivos fijos conectados, como rayos X y escáneres de resonancia magnética, hasta dispositivos implantados, como marcapasos, y wearables, como bombas de insulina y rastreadores de actividad.
Luego está la infraestructura que proporciona las plataformas que permiten este vasto ecosistema de dispositivos: incluida la conectividad Wi-Fi y Bluetooth, la gestión de dispositivos software, la seguridad de la red. Todos ellos son componentes cruciales de la Internet de los objetos médicos.
El IoMT representa un cambio significativo de un sistema cerrado a otro abierto. Los dispositivos médicos y los sistemas de historia clínica electrónica (HCE) que antes funcionaban en una Ethernet hospitalaria aislada ahora viven en redes abiertas, lo que permite un mayor acceso a los datos que contienen.
Pero esta conectividad permanente viene acompañada de lagunas de seguridad, que a menudo comienzan en el momento en que un nuevo dispositivo entra en la red.
El reto de incorporar dispositivos médicos conectados
No hace falta ser un experto en seguridad para haber oído hablar de las preocupaciones en torno a la seguridad de IoT .
Pero el reto es especialmente urgente en el contexto sanitario, donde los dispositivos médicos pirateados pueden pasar de útiles a perjudiciales en un abrir y cerrar de ojos. Las retiradas de bombas de insulina y marcapasos inseguros son un claro recordatorio de vulnerabilidades que pueden convertirse en una cuestión de vida o muerte.
Lamentablemente, sólo el 38% de las organizaciones dedica tiempo a consultar a sus equipos de seguridad a la hora de elegir soluciones de IoT .
Los dispositivos médicos conectados deben ser impecablemente seguros desde el primer día. Hacerlo bien requiere una importante cooperación tanto por parte de los proveedores sanitarios como de los MDM.
1. Establecer procedimientos de incorporación seguros
A estas alturas, no es ningún secreto que no todos los nuevos productos sanitarios entran en su red con una bienvenida oficial.
De hecho, los puntos finales desconocidos y no gestionados pueden representar más de dos tercios de todos los puntos finales de la red de una organización sanitaria.
Se sabe que los proveedores de productos sanitarios ofrecen a los médicos equipos de prueba para ayudarles a introducir sus productos en el mercado. Es posible que estos dispositivos "clandestinos" no se registren hasta meses después... normalmente, cuando llega una factura.
Cuando un dispositivo conectado elude el proceso habitual de evaluación de riesgos de su organización -ya sea un diminuto wearable o un escáner fijo- introduce aún más oportunidades de ataque.
Comprometerse con la seguridad IoMT significa que ningún dispositivo nuevo debe entrar bajo su techo a menos que haya sido debidamente examinado.
2. Responsabilizar de la seguridad a los fabricantes de productos sanitarios
La prevención de las infracciones sanitarias comienza con la adopción de medidas proactivas en la fase de diseño de los dispositivos.
Esto pone la responsabilidad directamente en manos de los fabricantes de productos sanitarios.
Una seguridad sólida por diseño supone una gran ventaja a la hora de mitigar posibles amenazas. Pero muchos MDM están totalmente desincronizados en lo que respecta a quién es responsable de la seguridad de los dispositivos.
Parte de su trabajo consiste en responsabilizar a los MDM de la fabricación de dispositivos que puedan desplegarse de forma segura. Esto significa certificados digitales únicos para cada dispositivo, firmando firmware y software, e incorporando criptoagilidad para que los dispositivos permanezcan protegidos más allá de la vida de su cifrado original.
3. Supervisar e identificar continuamente el comportamiento de los productos sanitarios
La investigación ha demostrado que el tiempo medio para identificar una infracción es de seis meses, 190,7 días para ser exactos.
Es tiempo suficiente para que un atacante cause daños graves.
A medida que el IoMT continúa expandiéndose, se hace más crítico que nunca supervisar continuamente los dispositivos que llaman a su red hogar. Para empezar, hay que hacer un inventario de todos los terminales conectados a la red: cuáles son, dónde están ubicados y cómo deben comportarse en la red.
Este paso es fundamental para supervisar la actividad de los dispositivos, aplicar parches de firmware y software y purgar los dispositivos no utilizados o no identificados que puedan suponer un riesgo.
4. Ayude a su personal a comprender su papel en la preservación de la seguridad del IoMT
Para el personal médico, la seguridad de los datos puede ser difícil de vender.
No es que los médicos piensen que la integridad de los productos sanitarios no importa. Ni mucho menos. El problema es que la atención al paciente es lo primero, y no siempre parece que la seguridad esté de su parte.
Desde tu punto de vista , dar a cada máquina de imágenes una contraseña única es de sentido común. También lo es cambiar esas contraseñas cada 90 días. Pero para el personal clínico que utiliza la máquina día tras día, tener que recordar y actualizar continuamente esas credenciales es una carga.
Si no se está al tanto, no tarda mucho en compartirse una misma contraseña entre varios médicos y terminales. La formación del personal debe formar parte del proceso de incorporación de dispositivos y de la práctica diaria.
5. Proteja la identidad de su dispositivo
Los certificados digitales se utilizan cada vez más para proteger datos, dispositivos y software vulnerables dentro de las organizaciones de prestación de asistencia sanitaria. La infraestructura de clave pública (PKI) sirve de base para una plataforma IoMT segura en la que todas y cada una de las entidades de su organización puedan comunicarse de forma segura.
Pero los certificados no duran para siempre. Cada uno de ellos deberá renovarse periódicamente para mantener actualizada la infraestructura. Y a medida que aumente el número de dispositivos médicos de IoT en su red, también lo hará el número de identidades que tendrá que gestionar.
No es un trabajo para una sola persona. Una PKI automatizada y basada en la nube es una excelente forma de agilizar lo que de otro modo sería un proceso lento, caro y propenso a errores. Descargue nuestro libro blanco para obtener más información sobre cómo proteger el IoMT con una PKI automatizada basada en la nube:
