En marzo de este año, los pacientes de MedStar Health —un importante proveedor de servicios de salud sin fines de lucro que opera en las zonas de Maryland y Washington DC— eran rechazados por el sistema en línea o éste no acusaba novedades importantes en sus registros digitales. El staff de la organización podía leer, pero no actualizar, miles de registros de pacientes en su base de datos central, mientras que el sistema de órdenes estaba a oscuras. Algunos empelados contaron que aparecieron mensajes en sus pantallas, pidiendo un rescate en bitcoins. Así funciona el ransomware: un malware que encripta los datos y otros recursos del sistema, y luego pide un rescate a cambio de devolverles la legibilidad.
En el sector de salud, el impacto es particularmente crítico. “¿Cómo puedo tratar al paciente en la sala de emergencias si no tengo información sobre él? No puedo hacerlo. Tengo que hacer una de dos cosas: tratar de encontrar registros en papel o enviar a esos pacientes a otro lugar”, explica Christopher Logan, Senior Healthcare Strategist en VMware. Casos como los de Medstar Health y el Hollywood Presbyterian Medical Center marcan la pauta del alcance, los riesgos y el impacto del ransomware en este vertical, y dejan una pregunta picando: ¿Qué es lo que hace a las organizaciones de servicios de salud tan vulnerables a estos ataques?
“Actualmente, existen muchos, muchos problemas de programas malignos en los servicios de salud. Para entender por qué, piense en las aplicaciones que el servicio de salud utiliza para brindar atención a los pacientes. Muchas son aplicaciones basadas en políticas. Son antiguas y obsoletas, pero hacen su trabajo, por lo que es difícil justificar su reemplazo”, asegura Logan, y declara: “Eso genera riesgos, ya que en los últimos diez años en los servicios de salud, incluso hasta lo más simple, como aplicar parches de seguridad, se ha convertido en un problema. Esto genera un espacio fértil para que el ransomware se propague”. Si a esto sumamos la progresiva adopción de las historias clínicas electrónicas, el panorama de las vulnerabilidades comienza a completarse.
SI LOS DATOS NO SE ROBAN, ¿CUÁL ES EL RIESGO?
“En los servicios de salud, si tengo un sistema con datos críticos que no están disponibles, esto genera un gran problema para la seguridad del paciente y la prestación de cuidados”, dice Logan. En general, agrega, “los pagos por ransomware se limitan a individuos en sus hogares. No es algo que llegue a los titulares. Pero ahora comenzamos a ver que grandes organizaciones, por ejemplo, Hollywood Presbyterian, pagan para recuperar sus datos clínicos. El FBI será el primero en decir que nunca se debe pagar ese rescate. Pero, sinceramente, es la organización que recibió el impacto quien debe tomar la decisión”.
¿CÓMO SE PROTEGEN LAS ORGANIZACIONES DE SERVICIOS DE SALUD?
Para el experto, lo más importante es educar a los usuarios. “El riesgo más grande es la persona detrás del teclado, ya que alcanza con que una persona haga clic en un vínculo que no corresponde para desatar el caos en la red de una organización de servicios de salud. Si eso sucede, no existe tecnología, por más milagrosa que sea, que pueda resolver el problema. Lo más importante es contar con los conocimientos necesarios: la correcta aplicación de parches y actualización de los sistemas; defensas en capas para dispositivos y redes, como antimalware, filtros de contenidos y de correo electrónico; y controles de autenticación y de acceso apropiados”. Todas estas cosas hacen referencia a lo que se llama “defensa en profundidad”.
Obviamente, ninguna de estas tecnologías parece ser demasiado nueva. “Siempre tuvimos todas estas herramientas de seguridad disponibles y aquí es donde creemos que la virtualización juega un rol importante en cambiar la manera en que las organizaciones de servicios de salud abordan la seguridad —puntualiza Logan—. Vemos una necesidad cada vez mayor de que la seguridad sea abordada desde el punto de vista arquitectónico, no solo como productos que se implementan en toda la organización. La virtualización es una capa de separación entre la infraestructura de TI y las aplicaciones, y como tal, puede actuar como una capa de traducción: una oportunidad para visualizar, gestionar y controlar la infraestructura desde la perspectiva de las aplicaciones”.
El experto asegura que se puede aprovechar esta propiedad para repensar la seguridad. “Los usuarios pueden hacer esto mediante tecnologías como la infraestructura de escritorio virtual y la administración de la movilidad empresarial, o en la red y en el centro de datos con la virtualización de redes. Estas tecnologías ayudan a crear una arquitectura que segmenta y aísla a los atacantes de las fuentes y limita sus posibilidades y a qué pueden acceder incluso si logran perforar el perímetro de seguridad”.
¿QUÉ PASA SI, INCLUSO ASÍ, OCURRE LO PEOR?
En materia de respuesta a un incidente, sostiene Logan, la tecnología juega un rol muy importante. “Pero esta respuesta se basa verdaderamente en las personas y los procesos. Los accidentes pasan. Los errores suceden. Realmente se trata de cómo reaccionamos a esos incidentes, eso nos definirá como organización”. La clave es que toda la organización esté de acuerdo con esta idea: “Siempre sucederán cosas inesperadas. Así es cómo reaccionamos a ellas. Así es cómo las prevenimos en el futuro”, resume Logan.
Compartir nota:
