Por Christopher Logan, Senior
Healthcare Strategist, VMware
A pesar de que las amenazas que
enfrentan las organizaciones de servicios de salud son muchas, el
ransomware (secuestro de archivos) es una que ha crecido enormemente
los últimos años. En vistas de graves incidentes y su aparición en
los periódicos, como los relacionados con Medstar Health y Hollywood
Presbyterian Medical Center, es bueno analizar qué sucede en las
organizaciones de salud.
¿Qué es lo que hace a las
organizaciones de servicios de salud tan vulnerables a estos ataques?
Actualmente, existen muchos, muchos
problemas de programas malignos en los servicios de salud. Para
entender por qué, piense en las aplicaciones que el servicio de
salud utiliza para brindar atención a los pacientes. Muchas son
aplicaciones basadas en políticas. Son antiguas y obsoletas, pero
hacen su trabajo, por lo que es difícil justificar su reemplazo. Eso
genera riesgos, ya que en los últimos 10 años en los servicios de
salud, incluso hasta lo más simple, como aplicar parches de
seguridad, se ha convertido en un problema. Esto genera un espacio
fértil para que el ransomware se propague.
Además, con la Ley de Reinversión y
Recuperación de Estados Unidos y la Ley de Tecnología de la
Información de Salud para Salud Económica y Clínica (HITECH,
Health Information Technology for Economic and Clinical Health)
aprobadas en 2009, se incentivó de verdad a las organizaciones de
servicios de salud para que adopten el uso de historias clínicas
electrónicas. Todos se pasaron rápidamente, sin detenerse de verdad
a pensar sobre la seguridad. Eso generó muchas vulnerabilidades y
creó muchos riesgos para las organizaciones.
¿En qué es diferente el
ransomware, comparado con otros tipos de programas malignos?
Los programas espía y otros tipos de
programas malignos buscan reunir credenciales, comprometer sistemas y
extraer datos. El ransomware intenta que los datos no estén
disponibles. Es un ataque que niega los servicios en los sistemas y
datos de TI. Pensemos en él como una forma de chantaje cibernético:
comprometo su sistema, cifro todos los datos en ese sistema y
entonces le digo que deben pagarme para obtener de nuevo esos datos.
Si los datos en sí no se roban,
¿cuál es el riesgo?
En los servicios de salud, si tengo un
sistema con datos críticos que no están disponibles, esto genera un
gran problema para la seguridad del paciente y la prestación de
cuidados. Pensemos en MedStar. A comienzos de este año, cerraron su
sistema de registros de salud electrónicos. Observemos el impacto
que ésto tuvo en los pacientes. ¿Cómo puedo tratar al paciente en
la sala de emergencias si no tengo información sobre él? No puedo
hacerlo. Tengo que hacer una de dos cosas: tratar de encontrar
registros en papel o enviar a esos pacientes a otro lugar.
En general, los pagos por ransomware se
limitan a individuos en sus hogares. No es algo que llegue a los
titulares. Pero ahora comenzamos a ver que grandes organizaciones,
por ejemplo, Hollywood Presbyterian, pagan para recuperar sus datos
clínicos. El FBI será el primero en decir que nunca se debe pagar
ese rescate. Pero, sinceramente, es la organización que recibió el
impacto quien debe tomar la decisión.
¿cómo se protegen las
organizaciones de servicios de salud?
Primero, lo más importante que
cualquier organización puede hacer es educar a sus usuarios. El
riesgo más grande es la persona detrás del teclado, ya que alcanza
con que una persona haga clic en un vínculo que no corresponde para
desatar el caos en la red de una organización de servicios de salud.
Si eso sucede, no existe tecnología, por más milagrosa que sea, que
pueda resolver el problema. Lo más importante es contar con los
conocimientos necesarios: la correcta aplicación de parches y
actualización de los sistemas; defensas en capas para dispositivos y
redes, como antimalware, filtros de contenidos y de correo
electrónico; y controles de autenticación y de acceso apropiados.
Todas estas cosas hacen referencia a lo que se llama "defensa en
profundidad".
Ninguna de estas tecnologías parece
ser demasiado nueva, ¿por qué los delincuentes continúan
apareciendo?
Es verdad, siempre tuvimos todas estas
herramientas de seguridad disponibles y aquí es donde creemos que la
virtualización juega un rol importante en cambiar la manera en que
las organizaciones de servicios de salud abordan la seguridad. Vemos
una necesidad cada vez mayor de que la seguridad sea abordada desde
el punto de vista arquitectónico, no solo como productos que se
implementan en toda la organización. La virtualización es una capa
de separación entre la infraestructura de TI y las aplicaciones, y
como tal, puede actuar como una capa de traducción: una oportunidad
para visualizar, gestionar y controlar la infraestructura desde la
perspectiva de las aplicaciones. Podemos aprovechar esta propiedad
para repensar la seguridad. Los usuarios pueden hacer esto mediante
tecnologías como la infraestructura de escritorio virtual y la
administración de la movilidad empresarial, o en la red y en el
centro de datos con la virtualización de redes. Estas tecnologías
ayudan a crear una arquitectura que segmenta y aísla a los atacantes
de las fuentes y limita sus posibilidades y a qué pueden acceder
incluso si logran perforar el perímetro de seguridad.
¿Y si incluso así ocurre lo peor?
Creo que la tecnología juega un rol
muy importante cuando se trata del tiempo de respuesta ante un
incidente, pero esta respuesta se basa verdaderamente en las personas
y los procesos. Los accidentes pasan. Los errores suceden. Realmente
se trata de cómo reaccionamos a esos incidentes, eso nos definirá
como organización. La clave es que toda la organización esté de
acuerdo con esta idea: "Siempre
sucederán cosas inesperadas. Así es cómo reaccionamos a ellas. Así
es cómo las prevenimos en el futuro".