La seguridad de los dispositivos médicos ya no es un tema "secundario", sino crítico. En este artículo, analizaremos los nuevos problemas de ciberseguridad del sector, las normativas y los pasos importantes que puede dar para proteger y gestionar sus dispositivos médicos frente a las amenazas actuales y futuras.
Según Deloitte, los dispositivos médicos son cada vez más objeto de ciberataques. Dado que estos dispositivos proporcionan servicios críticos, los ciberdelincuentes piensan que las empresas sanitarias pagarán rápidamente un rescate. Este repunte de los ciberincidentes relacionados con dispositivos médicos ha interrumpido las cadenas de suministro, los procesos de fabricación y la investigación, lo que ha provocado cientos de millones en daños y reputación. Al mismo tiempo, la pandemia aceleró la adopción de IoT médica para reducir el contacto en persona. De hecho, el valor de los dispositivos médicosIoT casi se cuadruplicará de aquí a 2027.
¿Qué es la seguridad de los productos sanitarios?
En pocas palabras, la seguridad de los dispositivos médicos requiere que los desarrolladores de dispositivos no sólo integren las mejores prácticas de seguridad en el diseño de sus dispositivos, sino que también garanticen que esos dispositivos puedan supervisarse y actualizarse para mantenerlos seguros durante su ciclo de vida.
La seguridad de los dispositivos médicos es posiblemente el problema de seguridad más urgente al que se enfrenta actualmente el sector sanitario. Los fabricantes de dispositivos médicos deben utilizar herramientas y procesos de seguridad para impedir el acceso no autorizado o el control de esos dispositivos y sus datos asociados. Y deben incorporar la capacidad de enviar remotamente actualizaciones de seguridad del firmware de forma fiable a medida que surjan amenazas.
Por qué la ciberseguridad es importante para los productos sanitarios
Dado que los dispositivos médicos de diagnóstico, como las máquinas de resonancia magnética, los escáneres de tomografía computarizada y las máquinas de rayos X, se conectan cada vez más a las redes, son vulnerables a los mismos ataques de piratería informática, malware y ransomware que otros tipos de hardware en red.
Según algunas estimaciones, en Estados Unidos hay entre 20.000 y 30.000 millones de dispositivos médicos conectados en el creciente panorama de la Internet de las cosas (IoT). Estos dispositivos médicos de IoT incluyen bombas de infusión, bombas de insulina, marcapasos, wearables médicos e incluso respiradores. Según un informe de Moody's, una empresa de seguridad informática informó de un aumento de casi el 10.000% en los intentos de ataques a clientes del sector sanitario entre 2019 y 2020.
En el caso de estos dispositivos médicos, un ataque puede poner en peligro los datos privados de un paciente o incluso su salud. Recientes ataques de ransomware provocaron la muerte de pacientes cuando un hospital de Alabama no pudo utilizar monitores de latidos fetales después de que los dispositivos hubieran sido pirateados. Por eso, la Food and Drug Administration (FDA) ha establecido directrices y requisitos para la seguridad de los dispositivos médicos conectados. El cumplimiento de estas normas incumbe tanto a los fabricantes como a los profesionales sanitarios.
¿Quién es responsable de la seguridad de los productos sanitarios?
En Estados Unidos, la Food and Drug Administration regula los dispositivos médicos y una de las principales prioridades de la FDA en materia de ciberseguridad es la amenaza del ransomware en los dispositivos médicos. Sin embargo, la ciberseguridad de los dispositivos médicos es responsabilidad tanto de los fabricantes y proveedores de dispositivos conectados como de las organizaciones sanitarias que los utilizan, lo que subraya que puede haber brechas de seguridad en cualquier lugar del entorno médico.
¿Cómo se protege un producto sanitario?
Los fabricantes de dispositivos médicos y las organizaciones sanitarias constituyen la primera línea de defensa para reducir los ciberataques a sus dispositivos. Al incorporar algunas medidas defensivas y una supervisión proactiva, los fabricantes de dispositivos médicos y los asociados sanitarios pueden mejorar la seguridad de sus dispositivos y, al mismo tiempo, salvaguardar el bienestar de los pacientes que los utilizan.
Los problemas de ciberseguridad a los que se enfrentan los dispositivos médicos aumentan con el tiempo, lo que hace que estas consideraciones sean imperativas en cada fase de la cadena, desde el desarrollo hasta el uso final. He aquí algunas medidas que pueden tomar los fabricantes de productos sanitarios.
- Integrar la seguridad en el producto sanitario desde el principio. Cuando los ciberataques se hacen públicos, organismos gubernamentales como la FDA nombran al fabricante y al producto implicados. Este tipo de publicidad puede acabar con la confianza de clientes y usuarios finales. Por eso, elevar la seguridad a característica esencial o derecho de propiedad intrínseco en la fase de diseño de un dispositivo tiene sentido y se convierte en obligatorio.
- Identifique las amenazas y vulnerabilidades potenciales y elabore un plan. Realice una evaluación de riesgos de seguridad de los dispositivos médicos para identificar las amenazas potenciales a las que se enfrentan los dispositivos médicos y elabore un plan de gestión de riesgos para hacer frente a estos riesgos, por supuesto, manteniéndolo actualizado sin descanso.
- Establezca una autenticación sólida. Incorpore mecanismos de autenticación sólidos para limitar el acceso a funciones críticas y datos sensibles.
- Emplear técnicas de cifrado y protección de datos. El cifrado puede proteger los datos sensibles cuando se aplican las mejores prácticas de almacenamiento y transmisión de datos.
- Establezca un proceso de gestión de parches y supervisión de vulnerabilidades. Considere sistemas de gestión remota que ayuden a supervisar y actualizar de forma centralizada y remota los parches de seguridad y el firmware.
Recursos
Nuevas normativas sobre seguridad de los productos sanitarios
A finales de 2020, el sector sector sanitario pagó alrededor de 20.800 millones de dólares en tiempos de inactividad - casi el doble de las cantidades de 2019. De hecho, el número de registros afectados en 2020 aumentó un 470% desde 2019. Peor aún, los proveedores de atención médica pagaron alrededor de 2,1 millones de dólares en rescates por datos de pacientes.
Directrices de ciberseguridad de la FDA
Posteriormente, a principios de 2023, la FDA empezó a exigir que los dispositivos médicos cumplieran unas directrices de ciberseguridad específicas que se convirtieron en ley. Para hacer frente a las crecientes vulnerabilidades de seguridad de los dispositivos médicos derivadas de los ciberataques a hospitales y dispositivos conectados a Internet, todos los nuevos solicitantes de dispositivos médicos deben compartir ahora sus planes de supervisión, identificación y gestión de los problemas de ciberseguridad. Se trata de un cambio importante con respecto a la forma en que los fabricantes de dispositivos médicos deben abordar la seguridad y protección de sus productos desde su concepción, a lo largo de su vida útil, hasta su obsolescencia.
El nuevo requisito de seguridad de los productos sanitarios de la FDA incluye
- Un proceso documentado para garantizar la protección adecuada de los productos sanitarios.
- Implemente actualizaciones y parches de seguridad con regularidad y en situaciones críticas.
- Comparta una lista de materiales de software (SBOM) que incluya todo el software de código abierto y de otros dispositivos, incluidos los paquetes comerciales.
Además, la FDA tiene previsto actualizar sus directrices sobre ciberseguridad de los productos sanitarios cada dos años.
Directrices de la Unión Europea sobre ciberseguridad de los productos sanitarios
En Europa, MDR 2017/745 e IVDR 2017/746 cubren los productos sanitarios más recientes. Los documentos describen nuevos requisitos esenciales de seguridad y protección para todos los productos sanitarios con sistemas programables, así como para los productos sanitarios de software.
El sitio Directiva NIS2 y GDPR incluyen las normas de ciberseguridad para los productos sanitarios y para la gestión de los datos personales de los pacientes. Por último, la Ley de Ciberseguridad de la UE incluye un marco de certificación de ciberseguridad que promete reforzar la protección de los procesos, productos y servicios informáticos.
Documentos de orientación internacionales sobre ciberseguridad de los productos sanitarios
A escala internacional, dos documentos de orientación esbozan los principios básicos de la ciberseguridad durante la vida útil de los productos sanitarios. En primer lugar, el Foro Internacional de Reguladores de Dispositivos Médicos redactó los Principios y prácticas para la ciberseguridad de los productos sanitarios. A continuación, el Grupo de Coordinación de Dispositivos Médicos publicó el Guía de la UE MDCG 2019-16 Rev.1 sobre ciberseguridad para dispositivos médicos.
Nuevas tendencias en la seguridad de los productos sanitarios IoT
Dado que los organismos reguladores responsabilizan de la seguridad a los proveedores de dispositivos médicos, crece el interés por encontrar nuevas formas de reducir las amenazas a la ciberseguridad de los dispositivos médicos. No pierda de vista estas tendencias tecnológicas emergentes:
- Inteligencia artificial (IA) y aprendizaje automático (AM) : la inteligencia artificial puede ayudar a los equipos informáticos sanitarios a analizar los datos y seleccionar las estrategias de seguridad más rentables, en lugar de aplicar un enfoque único a la seguridad de los datos.
- Tecnología block chain - La tecnología blockchain puede almacenar un registro ininteligible, ineditable, descentralizado y transparente de todos los datos del paciente y puede ocultar datos sensibles del paciente, como la identidad de una persona. Dado que blockchain está descentralizada, también permite a pacientes y profesionales sanitarios compartir la misma información de forma rápida y segura, sin poner en peligro la custodia de los datos de los pacientes.
- Arquitectura de confianza cero - La idea central de la arquitectura de confianza cero es "nunca confíes, verifica siempre", que trata cada conexión de la red como una amenaza potencial. En lugar del enfoque tradicional de autenticar una vez y confiar durante el resto de la sesión, este enfoque minimiza los riesgos de brechas de seguridad al conceder acceso en función de la necesidad de conocer.
- Microsegmentación : al dividir una red en segmentos o zonas más pequeños, los administradores de red pueden reducir el riesgo de acceso no autorizado. Mediante la microsegmentación, los proveedores sanitarios pueden limitar el movimiento de un atacante en la red y evitar que los ataques de ransomware interfieran con los dispositivos médicos.
Descubra cómo Digi TrustFence permite a los fabricantes de equipos originales integrar funciones de seguridad de dispositivos, identidad de dispositivos y privacidad de datos.
Dé los siguientes pasos para proteger sus productos sanitarios
No cabe duda de que las normas de seguridad de los productos sanitarios son importantes y lo serán cada vez más en los próximos años. Por eso, tanto los proveedores de atención sanitaria como los fabricantes de dispositivos médicos deben dar prioridad a la seguridad a medida que crece el crecimiento y la demanda de dispositivos médicos en IoT .
Para empezar, seleccione un socio de comunicaciones inalámbricas y por cable con experiencia en seguridad de dispositivos IoT que conozca las mejores prácticas de seguridad de dispositivos médicos. Ahí es donde Digi puede ayudarle. Desde 1985, Digi ha sido pionera en comunicaciones inalámbricas y por cable y ofrece soluciones integrales para todos los sectores.
El ecosistemaDigi ConnectCore es un conjunto completo de módulos integrados, software, herramientas y servicios. La plataforma ConnectCore ofrece soluciones conectadas en sectores muy regulados, como el industrial y energético, el médico, el de recarga de vehículos eléctricos y el bancario, donde la seguridad es crucial.
Un componente clave, nuestro sistema en módulos altamente integrado, tiene ventajas únicas, como:
- Fiabilidad industrial: diseñados para durar al menos 10 años, tienen una clasificación de funcionamiento 24/7/365 para uso continuo y vienen con una garantía de producto predeterminada de 3 años.
- Integración profunda: los SOM de Digi se integran a la perfección con el ecosistema XBee® y los protocolos Wi-Fi y Bluetooth. También son compatibles con estándares de IoT como celular LTE, redes malladas y conectividad inalámbrica de largo alcance por debajo de GHz.
- Seguridad líder en el sector : todos los SOM de Digi incorporan el marco de seguridad Digi TrustFence IoT y un Secure Element (SE) de hardware.
- Conectividad flexible : una amplia gama de opciones de conectividad hace que los SOM de Digi sean adecuados para una gran variedad de aplicaciones.
- Cartera escalable : a medida que su aplicación evoluciona, los desarrolladores pueden simplemente incorporar un módulo compatible de mayor rendimiento en Digi ConnectCore .
- Servicios de ingeniería - Digi Wireless Design Services puede aumentar su equipo de desarrolladores en cualquier punto del camino, desde la creación de prototipos hasta el desarrollo, las pruebas, la certificación y los servicios de preparación para la fabricación.
- El mejor soporte de su clase - Desde una completa documentación hasta una serie de herramientas integradas y servicios de asistencia técnica, Digi le garantiza que dispondrá de todo lo necesario para el éxito del desarrollo y la implantación.
- Digi ConnectCore Los servicios de seguridad y los servicios en la nubeDigi ConnectCore proporcionan las capacidades que necesita para analizar y supervisar los dispositivos en busca de amenazas de seguridad nuevas y en evolución, y gestionar de forma remota y segura los dispositivos desplegados sobre el terreno a lo largo de todo su ciclo de vida.
Permítanos ayudarle con la seguridad de su dispositivo médico IoT para que pueda seguir mejorando con confianza la salud de sus pacientes.
Próximos pasos