Video: El verdadero riesgo de la Piratería 🏴☠️ (Noviembre 2024)
Si bien los médicos han jurado no hacer daño, lo mismo no parece ser cierto para el equipo o las redes que utilizan para administrar la atención. Según un nuevo informe de la organización de investigación SANS y Norse, los proveedores médicos ya están sucumbiendo a los ataques cibernéticos en masa. El estudio encontró 49, 917 eventos maliciosos únicos de los proveedores de atención médica que describieron, y no se preocupe: empeora.
Los salvavidas se volvieron malvados
El informe descubrió que los piratas informáticos se apoderaron fácilmente de muchos dispositivos médicos en red. Estos incluyen software de imágenes de radiología, sistemas de videoconferencia, sistemas de video digital, software de contacto de llamadas y sistemas de seguridad. Incluso los dispositivos que estaban destinados a ayudar a proteger a las organizaciones, como VPN, firewalls y enrutadores, fueron secuestrados.
El informe encontró que los dispositivos médicos y el software se están convirtiendo en un objetivo favorito de los piratas informáticos para lanzar otros ataques, ya sea en la misma red o en otros objetivos. Del informe: "Una vez comprometidas, estas redes no solo son vulnerables a las infracciones, sino que también están disponibles para ser utilizadas para ataques como phishing, DDoS y actividades fraudulentas lanzadas contra otras redes y víctimas".
"Una de las principales razones por las que vemos que la infraestructura de los hospitales se utiliza como plataforma de lanzamiento para otros delitos informáticos y piratas informáticos es porque muchos de estos dispositivos son dispositivos tontos", dijo el CTO de Norse y cofundador Tommy Stiansen. "No son escritorios ni servidores, pero todos ejecutan Linux". Ya hemos visto cómo algunos dispositivos, en particular las cámaras de video en red, pueden usarse para establecerse en la red de una víctima y causar todo tipo de caos.
A pesar de sus capacidades, los equipos médicos y las cámaras de vigilancia no se consideran parte de la arquitectura de seguridad, explicó el CEO y cofundador Sam Glines. "Un documento que fue descubierto por nuestros rastreadores para un hospital importante tenía el mismo nombre de usuario y contraseña para todo", dijo. Esto incluyó dispositivos que salvan vidas, como equipos de diálisis. Recuerda que Internet todavía está en camino de matarte para el 2014.
Como para demostrar el alcance del problema, Stiansen mencionó que se interesaron por primera vez en este proyecto cuando observaron que los dispositivos médicos transmitían la información de la tarjeta de crédito. "Si alguien deja la puerta abierta, vendrán hackers", dijo Stiansen.
Datos más valiosos
Además de los dispositivos no seguros y el software utilizado por los hospitales, hay un problema aún mayor: los datos médicos robados. Los proveedores de atención médica en todos los niveles tienen datos personales extremadamente valiosos a su disposición, y es esa información la que los atacantes están desesperados por tener en sus manos.
La razón, explicó Stiansen, es simple: "Puede realizar más fraude con él que con los datos de la tarjeta de crédito". Un atacante puede monetizar rápidamente los datos médicos, explicó, a través de vías como Medicare o fraude de recetas. Además de la información médica, la propiedad intelectual y la información de facturación almacenada por los proveedores de atención médica también están en riesgo.
Más allá del impacto obvio en las personas causado por el robo de sus datos, el informe también señala que este fraude eleva aún más el precio de la atención médica. El informe cita un informe de Ponemon del año pasado que estimó el costo de la fraude médico y de seguros en alrededor de $ 12 mil millones.
Como arreglarlo
Obviamente, las organizaciones de atención médica deben tomarse en serio la seguridad de sus redes y dispositivos, incluso a un nivel básico. "Considere que todo con una dirección IP es un punto final crítico", dijo Glines, quien continuó diciendo que protocolos de contraseña más fuertes para todo, desde dispositivos médicos hasta firewalls, mejorarían la situación.
La nueva legislación también podría alentar un mejor comportamiento. Glines señaló las leyes de la Unión Europea que multan a las empresas con un porcentaje de sus ingresos cuando se produce una violación o se produce una pérdida de datos. Aunque HIPAA está destinado a proporcionar protección, Norse mantuvo que el cumplimiento simplemente no equivalía a seguridad.
Pero también hay un papel para las personas normales. Stiansen alentó a los pacientes a preguntar a su proveedor de atención médica sobre la ciberseguridad. Glines acordó decir que "los consumidores son los que tienen más que perder. Tienen derecho a preguntar cómo se mantienen sus registros y qué tipo de procedimientos de seguridad existen".
