Informe destacado sobre la asistencia sanitaria en 2019

La investigación de Vectra destaca los precarios riesgos de seguridad en el sector sanitario debido a las infraestructuras heredadas y los dispositivos no gestionados.

Vectra ha anunciado hoy que la proliferación de dispositivos de Internet de las cosas (IoT) en el ámbito sanitario, junto con redes sin particionar, controles de acceso insuficientes y la dependencia de sistemas heredados, ha dejado al descubierto una superficie de ataque vulnerable que puede ser explotada por ciberdelincuentes decididos a robar información de identificación personal (PII) e información sanitaria protegida (PHI), además de interrumpir los procesos de prestación de asistencia sanitaria.

Publicados en el informe Vectra 2019 Spotlight Report on Healthcare, estos hallazgos subrayan la importancia de utilizar el aprendizaje automático y la inteligencia artificial (IA) para detectar comportamientos amenazantes ocultos en las redes informáticas empresariales antes de que los ciberdelincuentes tengan la oportunidad de espiar, propagarse y robar.

«El aprendizaje automático y la inteligencia artificial pueden ayudar a las organizaciones sanitarias a proteger mejor sus redes, cargas de trabajo y dispositivos, y proporcionar seguridad de los datos mediante el análisis de comportamientos en todos los sistemas», afirma Jon Oltsik, analista principal sénior de Enterprise Strategy Group. Según un estudio de ESG, «el 12 % de las organizaciones empresariales ya han implementado ampliamente análisis de seguridad basados en inteligencia artificial, y el 27 % los han implementado de forma limitada. Esperamos que estas tendencias de implementación sigan ganando terreno».

Las deficiencias en las políticas y los procedimientos pueden dar lugar a errores por parte del personal sanitario. Entre los ejemplos de estos errores se incluyen la manipulación y el almacenamiento inadecuados de los expedientes de los pacientes, lo que supone un punto débil para los ciberdelincuentes cuando atacan a organizaciones e industrias globales en busca de vulnerabilidades que explotar.

«El aumento del IoT médico es beneficioso para los pacientes, pero dificulta la seguridad de los sistemas sanitarios debido a los limitados controles de seguridad que rodean a estos dispositivos», afirma Brett Walmsley, director tecnológico de Bolton NHS Foundation Trust, que presta servicios sanitarios hospitalarios y ambulatorios a más de 140 000 personas en Bolton y sus alrededores, al noroeste de Mánchester, Inglaterra. «Tener la visibilidad necesaria para detectar de forma rápida y precisa los comportamientos amenazantes en todos los dispositivos y entre ellos es la clave para una buena práctica de seguridad, el cumplimiento normativo y la gestión de riesgos».

El informe Spotlight Report on Healthcare 2019 se basa en observaciones y datos del informe Attacker Behavior Industry Report, edición RSA Conference 2019, que revela comportamientos y tendencias en redes a partir de una muestra de 354 organizaciones empresariales del sector sanitario y otros ocho sectores que han aceptado participar. Los atacantes motivados suelen enmascarar sus acciones maliciosas mezclándolas con los comportamientos del tráfico de red existente.

Entre julio y diciembre de 2018, la plataforma de detección y respuesta ante amenazas Cognito de Vectra supervisó el tráfico de red y recopiló metadatos de más de tres millones de cargas de trabajo y dispositivos de entornos cloud, centros de datos y empresas de clientes. El análisis de estos metadatos proporciona una mejor comprensión de los comportamientos y tendencias de los atacantes, así como de los riesgos empresariales, lo que permite a los clientes de Vectra evitar desastrosas violaciones de datos.

Principales conclusiones del Informe Spotlight sobre la asistencia sanitaria de 2019

• El método más utilizado por los atacantes para ocultar las comunicaciones de comando y control en las redes sanitarias eran los túneles HTTPS ocultos. Este tráfico representa comunicaciones externas que implican múltiples sesiones durante largos periodos de tiempo y que parecen ser tráfico web cifrado normal.
• El método más común que utilizan los atacantes para ocultar comportamientos de exfiltración de datos en redes sanitarias son los túneles ocultos del sistema de nombres de dominio (DNS). Los comportamientos compatibles con la exfiltración también pueden ser causados por herramientas de TI y seguridad que utilizan la comunicación DNS.
• Vectra observó un aumento en los comportamientos propios de atacantes que realizan reconocimientos internos en forma de escaneos internos de la red oscura y escaneos de cuentas SMB (Server Message Block) de Microsoft. Los escaneos internos de la red oscura se producen cuando los dispositivos host internos buscan direcciones IP internas que no existen en la red. Los escaneos de cuentas SMB se producen cuando un dispositivo host utiliza rápidamente varias cuentas a través del protocolo SMB, que se utiliza normalmente para compartir archivos.
• Aunque muchas organizaciones sanitarias han sufrido ataques de ransomware en los últimos años, el informe revela que las amenazas de ransomware no fueron tan frecuentes en la segunda mitad de 2018. Sigue siendo importante detectar los ataques de ransomware a tiempo, antes de que los archivos se cifren y se interrumpan las operaciones clínicas.
• Los ataques de botnets son oportunistas y no se dirigen a organizaciones específicas. Aunque los ataques de botnets persisten en todas partes, su tasa de incidencia en el sector sanitario es menor que en otros sectores.

«A medida que se adoptan nuevas tecnologías médicas emergentes para mejorar la prestación de asistencia sanitaria, cada vez es más importante reforzar la seguridad mediante la comprensión de las tecnologías de las que se dispone, cómo se utilizan dichas tecnologías y la recepción de alertas oportunas cuando se produce un uso no autorizado», afirma Robert Rivera, ingeniero sénior de seguridad en Cooper University Health Care, un sistema sanitario académico líder en Camden, Nueva Jersey.

«Las organizaciones sanitarias tienen dificultades para gestionar los sistemas heredados y los dispositivos médicos, que tradicionalmente cuentan con controles de seguridad deficientes, pero que proporcionan un acceso fundamental a la información sanitaria de los pacientes», afirma Chris Morales, director de análisis de seguridad de Vectra. «Mejorar la visibilidad del comportamiento de la red permite a las organizaciones sanitarias gestionar el riesgo de los sistemas heredados y las nuevas tecnologías que adoptan».

La plataforma Cognito acelera la detección y respuesta ante amenazas de red mediante el uso de inteligencia artificial sofisticada para recopilar, enriquecer y almacenar metadatos de red con el contexto adecuado para detectar, buscar e investigar amenazas ocultas en tiempo real. La plataforma Cognito se adapta de manera eficiente a las redes de las organizaciones más grandes con una arquitectura distribuida que incluye una combinación de cloud físicos, virtuales y cloud para proporcionar una visibilidad de 360 grados en cloud, el centro de datos, los usuarios y las redes de IoT, dejando a los atacantes sin ningún lugar donde esconderse.