De Eduard Bardaji el 19.6.2023
Fa unes setmanes vam publicar un article parlant de la importància de la ciberseguretat en el sector sanitari a causa de l’increment dels ciberatacs dirigits a aquest sector, revisant els tipus de malware més comuns que poden afectar centres de salut, hospitals, empreses farmacèutiques o biotecnològiques. En aquest article, volem ampliar la informació proporcionada, fent un repàs de les vulnerabilitats i punts febles més freqüents en les infraestructures informàtiques dels centres sanitaris, que poden convertir-se en la principal causa de l’entrada d’un virus informàtic en un sistema, paralitzant la seva activitat i posant en risc la informació emmagatzemada.
Un estudi de Cynerio va revelar el 2022 que el 53% dels dispositius mèdics connectats (IoMT) presenten vulnerabilitats crítiques que poden posar en risc la seguretat informàtica de la institució sanitària.
Però…
Quines vulnerabilitats informàtiques ha de solucionar el sector sanitari per prevenir ciberatacs?
Software desactualitzat
El software desactualitzat és una de les principals causes de l’entrada de malware en un sistema informàtic. Les actualitzacions són versions millorades de les funcions del sistema, incloent-hi mesures de ciberseguretat. Cada dia apareixen nous ciberatacs cada vegada més sofisticats. Com més evoluciona la tecnologia, més evolucionen els tipus de ciberatacs. Cada actualització inclou mesures de seguretat concretes, però aquestes poden quedar ràpidament obsoletes davant un nou atac, conegut com a atac zero-day. Per això és important tenir sempre l’última versió del sistema i realitzar les actualitzacions que aquest demani.
El mateix passa no només amb el software, sinó també amb aplicacions i programes com els de Windows. Les actualitzacions no estan per molestar, sinó per garantir el funcionament, rendiment i seguretat d’un equip.
Mètodes d’emmagatzematge de dades obsolets
L’ús d’Excel o programes informàtics antics pot suposar un problema de seguretat, ja que no estaran adaptats a les necessitats actuals. Als centres sanitaris, la recopilació de dades es fa normalment mitjançant formularis. Antigament, aquests es gestionaven amb Excel o programes poc sofisticats en termes de seguretat informàtica. La actualització d’aquests programes i la forma d’emmagatzemar dades va començar a canviar fa anys a les institucions més grans; no obstant això, a les més petites sovint no es compleixen els protocols de seguretat requerits ni s’utilitzen eines d’última generació, que són les que garanteixen una major seguretat de la informació.
Falta de mesures antiphishing
El phishing és un dels mètodes més utilitzats pels ciberdelinqüents i amb més probabilitats d’èxit per infectar un sistema informàtic. El problema d’aquest tipus d’atac és que normalment s’activa per un error humà, és a dir, per un descuit d’algun membre de l’empresa. Clicar en un enllaç maliciós o descarregar un fitxer infectat són accions que permeten l’entrada de malware de phishing en un ordinador, propagant-se ràpidament a altres dispositius de la institució.
Quan això passa, l’activitat de l’hospital o centre sanitari es veu afectada, paralitzant consultes o fent ajornar operacions i visites. Es tracta d’un problema que pot posar en risc la vida i la salut de les persones, i que es podria evitar amb la implementació de solucions antiphishing que filtrin els correus electrònics.
No realitzar un monitoratge periòdic dels sistemes
Una de les principals tasques del departament IT de qualsevol empresa, sigui del sector sanitari o un altre, és fer un monitoratge periòdic dels sistemes informàtics per garantir el seu correcte funcionament i rendiment. Es tracta d’una tasca tècnica que requereix temps i, de vegades, per manca d’aquest, no es realitza.
No comptar amb un tècnic IT especialista en ciberseguretat
Disposar d’un tècnic informàtic no significa que hagi de conèixer la seguretat informàtica. Pot tenir nocions, però són dues especialitzacions totalment diferents dins de l’enginyeria informàtica. Per això, comptar amb un especialista en ciberseguretat garanteix que la infraestructura informàtica del centre sanitari estarà controlada i es podran minimitzar els riscos de ciberatacs. Els experts en ciberseguretat són professionals especialitzats en trobar vulnerabilitats, punts febles i falles en un sistema per implementar la millor solució. No totes les solucions de seguretat són aptes per a tots els sistemes ni protegeixen de la mateixa manera. Cada infraestructura és diferent i, per això, les mesures a implementar seran úniques per a cada una.
Falta de conscienciació i formació dels empleats
Els usuaris no tècnics o poc acostumats a treballar amb noves tecnologies, més enllà de correu electrònic o eines de Microsoft, poden no ser conscients dels perills i amenaces actuals en termes de seguretat informàtica. Aquesta manca de coneixement pot provocar desastres, ja que és més fàcil que caiguin en les trampes dels ciberdelinqüents, com les suplantacions d’identitat.
La formació en ciberseguretat és clau per prevenir errors humans, fent que el personal sanitari pugui detectar amenaces a temps.
Absència de còpies de seguretat en diferents formats
Per garantir la seguretat de la informació i permetre la seva recuperació ràpida en cas de pèrdua, es recomana disposar de més d’una còpia de seguretat i realitzar-les amb regularitat. La manca de còpies de seguretat actualitzades augmenta la probabilitat de pèrdua de dades importants.
Necessites ajuda per minimitzar el risc de ciberatac? A ESED, com a especialistes en ciberseguretat que hem col·laborat amb diverses empreses del sector sanitari, sabem la importància de la seguretat dins de la sanitat. Per això, treballem amb una estratègia d’hacking ètic que consta de dues pràctiques: ESED Attack, que consisteix en llançar atacs controlats a un sistema per conèixer el seu nivell de ciberseguretat.
ESED s’uneix a Catalonia Health per reforçar la seguretat en salut
Tendències en ciberseguretat per al sector logístic
.png?width=262&height=150&name=accio-10-negre%20(1).png)
