Los ciberdelincuentes están atacando la atención médica (pero podemos contraatacar)
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
La atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, en el que los delincuentes ataquen las mismas máquinas que diagnostican problemas médicos, brindan tratamientos y mantienen la vida.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
%20(1).avif)
.avif)
