Seguridad en IoT Sanitarios
Los dispositivos IoT se están incorporando muy rápidamente al sector sanitario, hasta el punto de que ya se ha popularizado un acrónimo específico para ellos: IoHT, Internet of Healthcare Things.
Los fabricantes de equipamiento médico se están apuntando masivamente a la tecnología Ethernet, e incorporando conectividad Wi-Fi en la mayoría de sus equipos y dispositivos. Esto aporta claras ventajas operativas y de reducción de costes, al no ser ya necesario disponer de redes propietarias para cada uno de estos sistemas, y compartir todos ellos la red Ethernet. Las ventajas se materializan en ahorros de costes de implementación y mantenimiento, así como economías de escala que proporciona esta integración y convergencia de tecnologías.
Así, en cualquier hospital moderno nos encontramos con equipos de goteo, analizadores de gases, sistemas de telemetría, equipos de rayos X portátiles, dispositivos de diálisis, y medidores de glucosa y muchos otros conectados a la red Wi-Fi y compartiendo medio con multitud de dispositivos, no sólo de uso profesional sino también de pacientes y visitantes.
Y todo esto está yendo a más. Según un informe de Gartner, el número de dispositivos IoT en entornos hospitalarios habría crecido en una tasa del 29% en 2020. Esto incluye dispositivos médicos muy variados, desde equipos de goteo conectados hasta equipos de rayos X móviles o de monitorización para pacientes.
Este fenómeno está generando una serie de problemáticas y desafíos para los departamentos de TI, fundamentalmente relacionados con la gestión de la red y la seguridad. En cuanto a la gestión, la problemática es evidente: muchos departamentos de TI de hospitales se encuentran ahora con que tienen que gestionar una enorme cantidad de dispositivos dentro de la red LAN y carecen de la experiencia o herramientas para hacerlo a escala, dada la dimensión que está adquiriendo el parque de dispositivos conectados.
Por otro lado están los riesgos de seguridad. La introducción de una tecnología nueva en un entorno ya de por sí muy complejo genera numerosos problemas de seguridad, tanto para los recursos de TI de la organización como para el propio paciente. Esto es especialmente problemático con equipamiento médico heredado, que no está preparado para conectarse a Internet, y que genera riesgos adicionales al conectarse a la red. A medida que se incrementa el número de dispositivos IoT desplegados en todo tipo de organizaciones, la “superficie de ataque” para posibles amenazas continúa expandiéndose.
La pandemia de COVID-19 no ha hecho sino exacerbar aún más estos riesgos, ya que hemos visto como se han desplegado de forma rápida y sin todas las garantías de seguridad dispositivos conectados para dar soporte a sistemas de atención remota o servicios de telemedicina.
Finalmente, hay riesgos de seguridad y cumplimiento de normativas. Aplicaciones y dispositivos no controlados pueden poner en peligro los activos de TI del hospital, los datos confidenciales e incluso el funcionamiento de los aparatos clínicos y la salud del paciente.
Estrategias de seguridad para mitigar los riesgos
Para que las organizaciones sanitarias aprovechen los beneficios de IoT al tiempo que mitigan los riesgos, será necesario un enfoque de seguridad de múltiples capas que incluya protocolos más sólidos, análisis de seguridad basados por aprendizaje automático y segmentación de dispositivos. Veamos en detalle cada una de estas estrategias:
• Protocolo de gestión de riesgos IEC 80001: Como hemos mencionado, uno de los principales riesgos de IoT es que los dispositivos médicos carecen de mecanismos de securización de forma nativa, al no estar inicialmente diseñados para conectarse a la red Ethernet. La tarea de proteger estos dispositivos recae entonces en el departamento de TI, que necesita herramientas para lograr esta securización de forma eficaz y optimizada. Un marco de trabajo muy adecuado para esto es el protocolo de gestión de riesgos IEC 80001. El uso de este protocolo permitirá proteger a la organización sanitaria no sólo desde el punto de vista del cumplimiento, sino también en la evaluación y el análisis de riesgos de estos dispositivos conectados. Utilizando IEC 80001 como guía, los hospitales pueden tomar medidas concretas para mitigar los riesgos de seguridad, que comienza con la detección temprana de posibles amenazas.
• Análisis de red y seguridad: Un elemento fundamental en la aplicación de protocolo anterior es la evaluación de riesgos. Para ayudar a identificar las vulnerabilidades, las organizaciones sanitarias deben disponer de análisis de seguridad basados en tecnologías de aprendizaje automático y de monitorización del comportamiento en red de dispositivos. Sólo utilizando herramientas analíticas avanzadas es posible analizar y obtener información práctica y aplicable de las grandes cantidades de datos producidos a partir de los miles de dispositivos conectados. Un conocimiento detallado permite a su ver identificar y responder proactivamente a las brechas de seguridad, incluso para evitar que éstas se produzcan.
La monitorización del comportamiento de dispositivos es también una herramienta de gran utilidad para reforzar la postura de seguridad de la organización sanitaria, ya que permite establecer patrones de comportamiento “normal” de cada dispositivo, y detectar comportamientos anómalos o no habituales, que pueden ser indicio de una amenaza potencial o de un problema en un determinado sistema.
• Segmentación de red. Otro mecanismo de protección es la segmentación de red, creando segmentos de red específicos para conectar allí los dispositivos IoT y aislarlos de la red general. Según Gartner, en 2021, el 60% de los dispositivos IoT conectados lo estarán en redes segmentadas, lo que indica que esto se convertirá en una práctica muy extendida en los entornos sanitarios. El departamento de TI puede utilizar la hipersegmentación para compartimentar diferentes sistemas conectados, y establecer zonas de red seguras para dispositivos críticos y repositorios de datos confidenciales. Esto ayuda a impedir movimientos laterales no autorizados dentro de la red, facilita la identificación de anomalías y permite el aislamiento de brechas de seguridad. Por ejemplo, la agrupación de dispositivos por el sistema al que pertenecen o función que realizan permite colocar puntos de acceso estratégicamente y luego tomar decisiones sobre quién puede acceder a dispositivos específicos en la red.
Conclusión
Lograr una postura de seguridad sólida en entornos IoT requerirá una estrategia de TI diferente. A pesar de los desafíos de seguridad asociados a esta tendencia tecnológica, IoT tiene el potencial de transformar la experiencia del paciente y sentar las bases de lo que será el hospital inteligente del mañana. Las organizaciones de atención médica deben adoptar un enfoque multinivel para mitigar los riesgos de seguridad, utilizando el protocolo IEC 80001 como marco. Con un personal de TI cualificado, con visibilidad completa sobre lo que ocurre en la red, con análisis de comportamiento, ML / AI y con herramientas de análisis, las organizaciones sanitarias dispondrán de todo un arsenal de recursos para reforzar notablemente la seguridad. La vida de los pacientes depende de dispositivos conectados seguros, por lo que las organizaciones sanitarias deben actuar.
Por Javier Jiménez, Country Manager, Extreme Networks
