Red Seguridad 095

56 red seguridad cuarto trimestre 2021 opinión Tras la conexión a Internet de las redes TIC en las empresas, en los últimos años hemos visto cómo se han ido interco- nectado las redes de producción. Así, hablamos de OT (Tecnologías de Opera- ción) e IoT (Internet de las Cosas, por sus siglas en inglés). Esta conectividad, además de grandes ventajas en la gestión de las organiza- ciones, trae consigo nuevos riesgos que es necesario gestionar. Hemos visto que las lecciones aprendidas de la seguridad TIC tienen que aplicarse también al mun- do OT, ya que aparecen nuevas superfi- cies de ataque, nuevas vulnerabilidades y riesgos con consecuencias mayores para la sociedad. No en vano, un inci- dente ya no solo afecta al negocio, sino que puede tener consecuencias sobre las vidas humanas. Esta evolución no es ajena al sector sanitario. Actualmente, las redes de un hospital y su conexión a Internet no solo se utilizan para tareas administrativas o informativas, sino que se presta servicio real al paciente, se intercambia informa- ción con otros actores de la sanidad, se actualizan equipos en remoto, etcétera. Esto implica una mayor exposición de datos tan sensibles como los de salud, pero también estamos viendo la posibili- dad real de que un ataque tenga conse- cuencias sobre la vida de los pacientes. Como muestra tenemos el caso del Springhill Medical Center de Alabama (Estados Unidos) en 2019, donde un bebe nació con graves lesiones que provocaron su fallecimiento meses des- pués, ya que un ciberataque inutilizó los monitores y el personal sanitario no pudo detectar el sufrimiento fetal. Obsolescencia Esta vinculación al paciente hace que la OT médica sea un punto crítico en la ci- berseguridad de un hospital. En particu- lar, nos referimos a los equipos médicos, que como define la Organización Mun- dial de la Salud, son aquellos utilizados para diagnóstico y tratamiento y, por tan- to, directamente implicados en la salud de los pacientes. Estos equipos médicos tienen unas características específicas que afectan a la ciberseguridad general de los centros sanitarios. En primer lugar, son equipos con un periodo de utilización muy alto debido a su elevado coste. Y es que, aunque exis- ten diferentes normativas y recomenda- ciones para estimar el tiempo de vida útil de los equipos médicos, en general se puede esperar un periodo de uso de entre cinco y 10 años. Además, el COCIR (Comité Europeo de la Industria de IT, Radiológica y Elec- tromédica) establece una regla general para determinar la obsolescencia de los equipos médicos y el momento de su re- novación. Como se puede ver en la gráfi- ca, la Golde Rule establece unas propor- ciones de 60-30-10 para equipos de más de cinco años, entre cinco y 10 años y más de 10 años. En este último caso, está en obsolescencia y debería susti- tuirse; pero como vemos en la gráfica de la siguiente página, esto se encuentra le- jos de la realidad en nuestro país, ya que cuenta con un parque de equipamiento médico, en general, obsoleto. Si revisamos los criterios que se tienen en cuenta para establecer umbrales de obsolescencia, vemos criterios tecnológi- cos, de seguridad del paciente, mejora de diagnóstico, etcétera; pero la cibersegu- ridad todavía no es criterio a considerar. Normalmente están más alineados con conceptos ligados con el punto de vista médico y de los profesionales de electro- medicina, aunque en pocas ocasiones se involucra el equipo de ciberseguridad. Sin embargo, estos equipos obsoletos, si están conectados a las redes, repre- sentan un serio problema. No solo no tienen medidas de ciberseguridad im- plementadas, sino que su software ya no estará soportado por el proveedor y no se podrá parchear. Dependencia Mientras que los equipos TI pueden ser configurados y actualizados por los ser- OT médica, un elemento clave en la ciberseguridad hospitalaria L aura P rats Cyber Risk Manager de Sham-grupo Relyens