¿Por qué la ciberseguridad sanitaria tiene tan poca financiación?

Jun 28, 2023

Tony Fler

@más__híbrido

[email protected]

El dinero es crucial para que la atención médica vuelva a ser segura.

• La importancia de la ciberseguridad sanitaria a menudo se minimiza o se malinterpreta. • Para obtener financiación adecuada, es importante enmarcar las conversaciones sobre ciberseguridad sanitaria en términos de riesgo clínico. • Las organizaciones sanitarias tienen superficies de ciberseguridad increíblemente planas.

Los servicios de salud son cada vez más vulnerables a los ciberataques. Nuevos actores, nuevos vectores de ataque (o al menos recientemente modificados) y un nuevo enfoque en las vulnerabilidades siempre presentes están rompiendo cualquier resistencia ética por parte de los malos actores a atacar lugares destinados a ser refugios y centros de curación para personas que no están en su mejor nivel físico.

Si hay un infierno, naturalmente, los malos actores que atacan las instalaciones de atención médica con vulnerabilidades de ciberseguridad sin duda se quemarán allí por la eternidad. Pero para las organizaciones que no se sienten cómodas con la idea de un castigo metafísico y retrasado, es importante detener las maquinaciones de estos desperdicios de piel en el aquí y ahora.

Nos volvimos a conectar con Deryck Mitchelson, CISO de campo de Check Point Research, una organización especialista en ciberseguridad con muchos asuntos en juego cuando se trata de detener este tipo de ciberataques a infraestructuras nacionales críticas.

Hablamos específicamente con Deryck porque, además de ser un experto en ciberseguridad, tiene un historial de trabajo para el NHS Escocia del Reino Unido, por lo que tiene una especialización amplia y particular en el campo de la ciberseguridad sanitaria.

Le preguntamos por qué la gente todavía, en 2023, apunta a las organizaciones sanitarias.

THQ:

Ya hemos hablado antes de por qué el NHS del Reino Unido es especialmente vulnerable a los ciberataques, pero ahora también se está convirtiendo en algo más importante en los EE. UU. ¿Dónde creemos que se ubica la ciberseguridad sanitaria en las escalas de urgencia y vulnerabilidad en términos de, por ejemplo, inversión gubernamental u organizacional? En orden de prioridades de gasto de las autoridades, ¿de dónde viene la protección de esas infraestructuras críticas contra los ciberataques?

DM:

Si le preguntas a alguien, te dirán que es una de las tres prioridades principales. Absolutamente. Cualquiera con un alto cargo en el gobierno, cualquiera con un alto cargo en el ámbito de la atención sanitaria, le dirán que es una de las tres principales prioridades.

Pero es una prioridad de casilla de verificación, no una prioridad real. La razón por la que dicen que es una prioridad es porque luego figura en el registro de riesgos. Eso significa que pueden hablar con sus juntas directivas y decir: "Sí, alguien tiene esto como una prioridad". Sin embargo, si alguien continúa diciendo que necesitamos un aumento sustancial en la inversión para un programa plurianual de ciberseguridad sanitaria para poder hacer tal o cual cosa, no encontrará el dinero.

Eso significa que no es una prioridad en absoluto. Evidentemente, siempre encuentras dinero para cosas que son realmente prioritarias.

THQ:

Así es más o menos como se definen las prioridades reales, ¿no? ¿Cosas en las que debemos gastar y gastamos dinero real?

DM:

Exactamente. La ciberseguridad sanitaria es una de las pocas cosas que se sitúa en la parte superior del registro de riesgos como una prioridad que no recibe la financiación adecuada.

Así que sí, si no recibe la financiación adecuada, si no obtiene el nivel de inversión que necesita, ¿cómo puede tener ese nivel de prioridad? Porque otras cosas que se encuentran a su alrededor, como reemplazar equipos que están al final de su vida útil, generan dinero de inversión.

Cuando buscan cubrir la escasez de personal, cambiar las rotaciones o realizar algún programa de inversión de capital, esas cosas reciben inversión.

Es difícil quejarse de ello; sé que esas cosas brindan atención médica de primera línea. Pero cuando ocupaba mi puesto de CIO, la seguridad digital y la ciberseguridad eran una parte importante de la prestación de atención de primera línea. No se podría brindar atención de primera línea sin los servicios digitales y cibernéticos que permitieron a las personas hacerlo. No se obtiene uno sin el otro.

Y eso es parte del problema: la ciberseguridad sanitaria figura en los registros de riesgos, pero ya no se la considera tan importante como las prioridades sanitarias de primera línea.

THQ:

Pensarías que eso es obvio, ¿no? Puede tener el centro de atención médica más inteligente, pero si sus sistemas de ciberseguridad son vulnerables, no podrá brindar una atención adecuada y confiable. En cierto modo, te lleva casi a los niveles de tratamiento de un hospital de campaña. Las instalaciones sanitarias deben ser entornos seguros tanto para los pacientes como para sus datos, lo cual es vital, día tras día, para el negocio de brindar atención médica.

MASH: atención médica moderna sin ciberseguridad.

DM:

Correcto. Absolutamente. ¿Realmente desea acceder a un escáner de resonancia magnética si no sabe que es seguro y está parcheado? Estás subiendo a un dispositivo que te dispara con bajos niveles de radiación. Si estás realmente paranoico y empiezas a pensar en ello y sabes que estos dispositivos no están recibiendo los parches y la protección que necesitan, entonces tendrás cuidado al ingresar a la máquina.

LA SEGURIDAD CIBERNÉTICA

No se ve gente debatiendo estas cosas muy a menudo, pero creo que deberían hacerlo.

THQ:

Hace un tiempo hablamos con una empresa que destacó exactamente ese punto: cosas como los escáneres de resonancia magnética y otros dispositivos médicos actúan como puntos débiles fundamentales en el sistema, porque no tienen el tipo de regímenes de parches que a) uno pensaría. lo harían, y b) otros equipos más sencillos que tiene el sistema.

DM:

Muchos de esos dispositivos suelen ejecutar versiones antiguas de Windows. Así que la mayoría de la gente ni siquiera sabría por dónde empezar a parchearlos. Han sido comprados, los fabricantes no tienen regímenes de parches, no piensan en ponerles puntos finales, porque ¿quién piensa en poner software antimalware en un escáner de resonancia magnética? Entonces eso no sucede.

Se les deja en paz, pero están en la red, sobre todo los más modernos. Crean cientos de gigabytes de datos en cada escaneo y están en la red, no están aislados dentro de los hospitales.

Cualquiera que haya trabajado en un hospital o centro de atención médica sabe que las redes no tienen los mayores niveles de segmentación y separación entre sistemas de TI, sistemas de OT y sistemas médicos. Muchas de las redes son muy planas.

Y luego, por supuesto, el 80% de los hospitales están abiertos al público. El público camina a cualquier lugar en un hospital, lo que les impide simplemente sentarse donde puedan encontrar el puerto Ethernet más cercano y enchufar algo. La mayoría de los hospitales no ejecutan ningún tipo de software que realmente encuentre ese dispositivo rápidamente y lo ponga en cuarentena. Esa es una red plana.

Los hospitales brindan atención médica. La base para proporcionar un punto de atención es que todo se haga basándose en la confianza. Nadie tiene que mostrar una identificación para recibir tratamiento (al menos no en el Reino Unido). No necesita su pasaporte ni su permiso de conducir; estar enfermo o necesitar ayuda es su pasaporte para cuidarse. Quizás sea necesario cambiar a un modelo un poco más seguro y restringido.

Dispositivos médicos: salvavidas, pero valores atípicos desde el punto de vista de la ciberseguridad.

THQ:

Demos un paso atrás. Usted dice que es una de las tres prioridades principales que nunca obtiene la financiación que necesita. ¿Por qué nunca obtiene la financiación que necesita? ¿Qué lo hace diferente en ese sentido? ¿Por qué nadie quiere mostrarnos el dinero?

DM:

Hay unas pocas razones.

No creo que los profesionales cuyo trabajo es exigir el dinero hagan un gran trabajo al articular el riesgo clínico que están manejando. Y las juntas directivas y los ejecutivos comprenden el riesgo clínico. En lo que respecta a la atención médica, si intentan articular esto como un riesgo cibernético: "Esto es lo que significa si recibimos un ataque de ransomware o una pieza de malware en nuestro sistema, o algunos datos que han sido filtrados fuera del sistema". sistema…” la junta se esfuerza por entender lo que eso significa realmente en lo que respecta al impacto.

Bonito laboratorio de sangre el que tienes ahí. Sería una pena si algo... le sucediera...

Siempre comenzaría con un escenario de riesgo clínico. “Si esto sucede, probablemente signifique que algunos de los sistemas más críticos son vulnerables y es posible que deba desconectarlos para protegerlos. Cosas como los sistemas de laboratorio, si hacen análisis de sangre, por ejemplo. Si los desconectas, habrá muchos análisis de sangre no realizados, mucha sangre coagulándose silenciosamente hasta volverse inútil, luego tendrás que llamar a muchas personas y volver a programarlas, y se crearán cadenas de retrasos en los resultados clínicos.

Eso es lo que eso significa”.

Necesitamos hacer un trabajo mucho mejor para articular dentro de la atención médica y el riesgo clínico lo que realmente significa el riesgo cibernético, y no hablar de ciberseguridad, porque las juntas directivas no lo entienden. Hay que hablar de ello en términos comerciales. Las personas no son particularmente buenas hablando en términos comerciales cuando se trata de atención médica y resultados de salud.

THQ:

Entonces, ¿cómo podemos mejorar? ¿Cómo presentamos ese argumento de una manera que haga que las juntas directivas, los gobiernos y el público se despierten y digan “¡Oh! ¡Eso es lo que es!

DM:

Cuando estuve en el NHS de Escocia, me hice algunos aliados fuertes, y el primero fue el director médico. El Director Médico, aunque no suele tener el presupuesto principal, sí tiene una gran influencia sobre la priorización del gasto.

Pasé mucho tiempo con los CMO para saber cuáles eran sus prioridades, de modo que pudiera articular mejor cuáles eran mis prioridades y asegurarme de que entendieran cómo mis prioridades impactaban en las suyas y viceversa. Nos convertimos en un equipo bastante fuerte que seguiría adelante y presentaría argumentos muy sólidos para invertir en programas de seguridad digital.

Y a menudo buscaba que el CMO fuera el patrocinador ejecutivo, y lo que estos programas hicieron por mí fue alejar mis prioridades de lo que parecía una conversación típica sobre seguridad y digital, y hacer que pareciera una conversación de negocios, con el respaldo de la OCM.

En la Parte 2 de este artículo, analizaremos la importancia de ir más allá de los titulares para mejorar la ciberseguridad de la atención médica y cómo ganar las batallas necesarias para mantener la atención médica como un entorno seguro para los datos.

Tony Fler

@más__híbrido

[email protected]

29 agosto 2023

24 agosto 2023

24 agosto 2023