Conceptos como Smart Cities e IoT están tomando protagonismo de forma creciente en infraestructuras que habían gozado de una exposición discreta en materia de ciberseguridad en los últimos años.
Estas infraestructuras, en muchos casos, son especialmente críticas debido al alto grado de perjuicio que podría suponer el hecho de que un ciberataque tuviera éxito sobre ellas.
La mayoría de esos servicios esenciales se prestan por un conjunto de infraestructuras de gestión pública y privada, que son consideradas críticas porque la interrupción o perturbación severa de su funcionamiento ocasionaría graves efectos sobre el normal desarrollo de las actividades básicas de la sociedad.
Estas infraestructuras críticas necesitan de una protección especial que garantice su buen funcionamiento y que suele estar recogida en los planes Planes de Seguridad Nacional de los distintos países.
En España, este plan se basa en 7 puntos que detallan las actuaciones a seguir para garantizar el buen funcionamiento de las mismas a través de una coordinación de las instituciones públicas y privadas. Todas esas pautas se recogen en los Planes Estratégicos Sectoriales (PES) que abogan por el robustecimiento de la seguridad y la resiliencia de las infraestructuras críticas relacionadas con las TIC, tanto en el ámbito de las Administraciones Públicas como en el sector privado, así como por la gestión y respuesta ante incidentes de seguridad.
Dentro de estas infraestructuras críticas se encuentra el sector sanitario, que en los últimos tiempos está experimentando un aumento de este , si bien no son tan mediáticos y conocidos como los dirigidos a grandes redes sociales, pero claramente son bastante más preocupantes.
A todos se nos viene a la cabeza cuando en mayo del año pasado nos despertamos con WannaCry afectando a una gran teleco española y a 16 hospitales y centros de salud del Reino Unido (entre otros muchos afectados), donde tuvieron que volver al lápiz y papel durante un tiempo y se cancelaron todas las actividades que no fueran catalogadas como urgentes hasta que consiguieron solucionar el problema.
Desde luego no fue éste el primer ataque contra instituciones sanitarias. Ya en el año 2000 publicamos una noticia sobre un robo de información clínica que afectó a más de 5.000 pacientes del hospital más grande de Seatle, el Washington Medical Center. Esto nos daba pistas para aventurar que la cosa no había hecho más que empezar.
Si ya es preocupante que se comercialice sin consentimiento con nuestra información personal (gustos, hábitos, orientaciones políticas o sexuales, etc) recabada principalmente de redes sociales y páginas web en general, no es difícil imaginar lo que los ciberdelincuentes podrían hacer con información tan sensible como nuestros historiales clínicos o datos biométricos.
Y la cosa se complica aún más si, además de robar nuestra información más íntima, un ciberataque puede producir efectos negativos sobre nuestra salud, e incluso la muerte. Si miramos atrás, recordamos todavía el caso de la bomba de insulina de Johnson & Johnson que no cifraba la información desde el mando hasta la bomba lo que podría haber posibilitado a un atacante modificar las dosis de insulina a inyectar en el paciente.
También nos acordamos del marcapasos que podía ser hackeado mediante radiofrecuencia y que podría haber permitido el apagado remoto o la modificación del funcionamiento del dispositivo sin control médico. Y por supuesto, recordar la misteriosa muerte del famoso hacker Barnaby Jack, quien murió repentinamente unos días antes de presentar en Las Vegas unas técnicas que permitían explotar vulnerabilidades en dispositivos implantados en el corazón.
En resumen, esto no ha hecho más que empezar.
Por este motivo la Unión Europea, a través del programa Europa 2020, ha lanzado el Proyecto “Arquitecturas de detección integradas y herramientas para el cuidado de la salud”, CyberCare, en el cual participará Hispasec.
En este proyecto se tratarán de identificar los riesgos en seguridad informática dentro del ámbito sanitario y sus posibles soluciones, partiendo desde el diseño de las arquitecturas de los sistemas hasta la forma en la que se prestan los servicios a los usuarios finales.
Miguel Manteca
mmanteca@hispasec.com
Más información:
Integrated Sensing Architectures and Tools for Health Care (CyberCare) :
Bomba de inculina hackeanle
Noticia sobre ransomware en hospitales:
Definición de infraestructura crítica por el gobierno de España:
Informe Forbes:
Deja un comentario