Garantizar la IoMT y la asistencia sanitaria conectada de próxima generación

Hace sólo unos años, hospitales y clínicas empezaron a acelerar su transición del papel a la historia clínica electrónica (HCE).

En la actualidad, prácticamente todos los aspectos de la atención al paciente se han transformado digitalmente.

Ya no es ciencia ficción: los wearables, los dispositivos médicos, los implantables, la robótica avanzada y la inteligencia artificial (IA) son los pilares del ecosistema sanitario conectado actual.

Impulsadas por el aumento de los costes, el envejecimiento y el crecimiento de la población, y el paso de una atención basada en el volumen a otra basada en el valor, las organizaciones de prestación de asistencia sanitaria (HDO) se enfrentan a una presión cada vez mayor para pasar de una atención reactiva a los "enfermos" a un modelo de atención "sanitaria" más proactivo y sostenible, centrado en la prevención y el diagnóstico precoz.

Las tecnologías actuales y emergentes crean oportunidades para acortar distancias. Los fabricantes de dispositivos médicos (MDM) están creando la próxima generación de dispositivos médicos conectados para ofrecer una atención más rentable centrada en el paciente. Al mismo tiempo, disruptores del mercado como Apple y Google están ofreciendo dispositivos con capacidad médica que ofrecen datos valiosos para pacientes y proveedores.

¿Qué hay detrás de esta innovación? La "Internet de los objetos médicos" (IoMT), un tejido de dispositivos médicos, aplicaciones, sistemas sanitarios y servicios alimentado por red.

El IoMT aúna los mundos físico y digital, generando grandes volúmenes de datos que impulsan diagnósticos más rápidos y precisos. Los dispositivos médicos conectados pueden monitorizar y modificar a distancia la salud del paciente en tiempo real y agilizar los procesos y flujos de trabajo clínicos.

Los hospitales estadounidenses ya utilizan una media de 10 a 15 dispositivos médicos conectados por cama, pero apenas estamos arañando la superficie de lo que puede ofrecer IoMT. En 2018, Forbes informó de que se utilizaban unos 3,7 millones de dispositivos conectados. Para 2020, se espera que esa cifra alcance entre 20.000 y 30.000 millones.

Pero la IoMT es una oportunidad tanto para los piratas informáticos como para los pacientes y los proveedores. Los dispositivos conectados a la red ahora recopilan y comparten información sanitaria protegida (PHI) a través de redes abiertas, lo que aumenta significativamente el número de vulnerabilidades potenciales en todo el ecosistema.

Casi el 95% de las instituciones médicas y sanitarias han declarado haber sido víctimas de algún tipo de ciberamenaza. En un sector ya bombardeado con constantes ataques de ransomware y phishing, el emergente IoMT debería servir de llamada de atención a los líderes en TI y ciberseguridad sanitaria.

En este nuevo entorno, el coste de las filtraciones de datos es significativo y de gran alcance. A medida que los dispositivos médicos se conectan a redes Wi-Fi domésticas o públicas no seguras, así como a redes celulares para transmitir datos entre el paciente y el proveedor, el riesgo de pérdida de datos aumenta exponencialmente.

Desde 2015, los hackers han aprovechado los dispositivos médicos habilitados para IoT para crear puertas traseras en las redes de los hospitales. El secuestro de dispositivos ya no se limita a los laboratorios de seguridad: es real.

Uno de los principales problemas a los que hay que enfrentarse es que muchos de los protocolos máquina a máquina (M2M) utilizados hoy en día son intrínsecamente inseguros, lo que deja a los dispositivos IoMT en el extremo de la red vulnerables a los ataques. Los piratas informáticos aprovechan los dispositivos IoMT comprometidos para infiltrarse en la red y desplazarse lateralmente a través de infraestructuras críticas, interceptar datos valiosos o incluso comprometer el funcionamiento del propio dispositivo, poniendo a los pacientes directamente en peligro.

Cada vez son más los dispositivos médicos que cuentan con la flexibilidad de diseño necesaria para conectarse a la red de una HDO, desde los wearables e implantables hasta los dispositivos fijos de cabecera. Pero incluso los dispositivos heredados con elevados costes de sustitución, como las máquinas de resonancia magnética y rayos X, se están reequipando con acceso a la red para permitir la gestión remota.

Incluso si su organización aún no ha adoptado una estrategia de IoT , lo más probable es que ya tenga un gran número de dispositivos médicos conectados a su infraestructura. Para 2020, más del 25% de los ataques identificados en HDO implicarán a IoT. A medida que el sector sanitario aumenta la adopción de dispositivos médicos conectados en red, es un momento ideal para dar prioridad a las medidas de ciberseguridad.

En 2013, la Administración de Alimentos y Medicamentos (FDA) se volvió significativamente más vigilante en la forma en que revisan los requisitos de ciberseguridad. Desde entonces, se han emitido numerosos comunicados de seguridad al público, sacando a la luz la gravedad de las vulnerabilidades en los dispositivos médicos conectados, y los inevitables daños a la reputación y los costes operativos tanto para los MDM como para los HDO.

Asegurar la IoMT y la asistencia sanitaria conectada de próxima generación es una responsabilidad compartida entre los HDO y los MDM. La FDA es clara al respecto, afirmando que los HDO deben "evaluar la seguridad de su red y proteger sus sistemas hospitalarios", mientras que los MDM "son responsables de permanecer vigilantes sobre la identificación de riesgos y peligros asociados a sus dispositivos médicos."

Entonces, ¿cuáles son los primeros pasos prácticos que pueden dar las HDO y los MDM para proteger la IoMT y la asistencia sanitaria conectada de próxima generación?

1. Identificar - Los puntos finales desconocidos y no gestionados representan al menos dos tercios de todos los puntos finales de la red de una organización. Los equipos de TI y seguridad sanitaria deben descubrir todos los dispositivos de la red, incluidos los nuevos dispositivos IoMT, y comprender cuál es su función.
2. Auditoría - A medida que el IoMT se expande, es fundamental realizar un seguimiento de los nuevos dispositivos, asegurarse de que se aplican los últimos parches de firmware y software , y purgar los dispositivos no utilizados que aún puedan suponer un riesgo para su red.
3. Comunicar - Fuera del CISO, los riesgos de seguridad de los dispositivos de IoT no suelen ser bien comprendidos. Especialmente el personal médico debe ser consciente de los riesgos potenciales de los dispositivos médicos conectados a la red.

1. Diseño - La seguridad debe abordarse en el momento de la fabricación. El borrador de directrices de la FDA sobre el contenido de las presentaciones previas a la comercialización para la gestión de la ciberseguridad en los productos sanitarios proporciona un marco sólido para comprender cómo...
2. Planificar - Los MDM también deben prepararse para la inevitable actualización de software o del firmware. El documento Final Guidance on Post-Market Management of Cybersecurity in Medical Devices de la FDA ofrece recomendaciones para garantizar operaciones seguras durante todo el ciclo de vida del producto.
3. Comunicar - Los MDM necesitan comunicarse con los HDO y su proveedor de seguridad de datos para entender los tipos de dispositivos que están tratando de introducir en el mercado, cuál es el objetivo para esos dispositivos y los riesgos potenciales que implican, incluida la ciberseguridad.

Keyfactor se compromete a proteger la próxima generación de asistencia sanitaria conectada para pacientes, aplicaciones y dispositivos médicos. Ayudamos a nuestros clientes a desarrollar e implantar tecnología sanitaria de forma más rápida, sencilla y segura que nunca. Descargue nuestro libro electrónico para saber cómo proteger la próxima generación de asistencia sanitaria conectada.