Asumimos que todos somos objetivo de los ciberatacantes. Tarde o temprano, si no ha ocurrido ya, de un modo u otro pasaremos a ser sus víctimas. De ahí que formar a usuarios y a profesionales IT sea fundamental para reducir las probabilidades de éxito del ciberataque y, especialmente, para minimizar su impacto. La concienciación del usuario, el diseño de red y los procedimientos operativos y de copia de seguridad, entre otros, son elementos básicos y que no implican grandes inversiones económicas. Claro ejemplo de ello sería una adecuada utilización de la electrónica de red ya disponible.
Atendiendo a nuestra experiencia en los ciberincidentes asociados al sector salud, la tendencia generalizada es la interoperabilidad o fácil interconexión entre todos los elementos del sistema. Esta circunstancia incrementa sensiblemente el porcentaje de éxito del ataque. En estos escenarios, la base de exposición es muy superior, y si no se focalizan los esfuerzos en la securización de aquellos elementos que pueden ser objetivos críticos –sin olvidar por ello el resto de los que componen la infraestructura–, el incremento de materialización de las amenazas es muy considerable.
Debemos entender, en definitiva, que cualquier elemento expuesto es un posible objetivo. Por tanto, reducir la base de exposición es una necesidad. La segmentación o microsegmentación tanto de manera interna como externa de la infraestructura de red y de los elementos o sistemas que la componen es un mecanismo fundamental para minimizar el riesgo y las posibilidades de éxito del ciberataque.
Estándares
Existen estándares en el ámbito de la salud, como pueden ser HL7 V2, HL7 V3 o HL7 FHIR, que mantienen la interoperabilidad y facilitan la integración de los sistemas y las diferentes aplicaciones médicas. Estos estándares son de uso generalizado en el sector.
Desafortunadamente, los estándares HL7 se implementan con frecuencia de manera no segura, generando riesgos como pueden ser la transmisión de datos confidenciales no autenticados y no validados adecuadamente a través de las redes. Esto podría provocar intromisiones en la privacidad de la información, como pueden ser los historiales clínicos, haciendo uso para ello de técnicas como man-in-the-middle o viéndose afectados por exfiltraciones de datos para un uso delictivo.
Es por ello que se deben utilizar políticas de seguridad en el uso de medios electrónicos tales como el Esquema Nacional de Seguridad, donde se aborda la necesidad de proteger los sistemas atendiendo a los principios fundamentales de la seguridad de la información: confidencialidad, integridad, disponibilidad y autenticidad.
Como ya venimos mencionando, la segmentación es una de las medidas más asequible y efectiva para reducir tanto la base de exposición como los movimientos laterales, con la consiguiente reducción del riesgo y el incremento de la protección frente a amenazas, así como el fortalecimiento de la resiliencia una vez que los sistemas han sido atacados.
La segmentación o microsegmentación debe atender al principio de mínimo privilegio requerido, que en este caso se centra en las comunicaciones entre elementos y/o sistemas.
Recomendaciones ante un ciberataque
Para crear ecosistemas seguros de transferencia de información podemos considerar, en este sentido, las siguientes recomendaciones:
- Implementar una arquitectura en la infraestructura de comunicaciones a través de un diseño de elementos perimetrales capaces de detectar y prevenir intrusiones de actores maliciosos.
- Implementar un nivel de seguridad adicional al anterior haciendo uso de elementos como los firewall, que sean capaces de filtrar los flujos de comunicación y establecer la segmentación de las subredes que componen el sistema.
- Configurar las VLAN adecuadamente atendiendo a las características de cada servicio proporcionado en los diferentes segmentos de red y evitando comunicaciones o transferencias de información entre elementos no deseados.
- Utilizar únicamente protocolos con capa de seguridad que ofrezcan privacidad en las comunicaciones a través de algoritmos de cifrado y encriptación.
- Usar elementos que sean capaces de centralizar la recogida y el análisis de eventos para detectar de manera temprana un potenciale ciberataque.
- Establecer segmentos de red en función de la taxonomía de cada servicio que se encuentra en la infraestructura, reduciendo la posibilidad de movimientos laterales por excesiva permisividad en los flujos de comunicación.
- Utilizar la tecnología «Isolated» para que dos o más elementos en un mismo segmento no tengan visibilidad entre sí, como por ejemplo en los dispositivos IoMT (Internet of Medical Things).
- Configurar medidas antispoofing evitando envenenamientos de protocolos de red y posteriores ataques man-in-the-middle para la captura de información sensible.
- Ante la necesidad del uso de elementos hardware y/o software carentes de soporte o ya obsoletos, se deben implementar medidas adicionales basadas en políticas de seguridad restrictivas, como deshabilitar USB, imposibilitar la instalación de programas o el acceso a Internet y otras medidas en función de cada escenario.
- Formación continua a los profesionales IT que administran la infraestructura, teniendo así un personal cualificado capaz de aplicar medidas de seguridad que mitiguen o prevengan las amenazas inherentes a los elementos desplegados.
- Realizar de manera periódica análisis de vulnerabilidades para poder subsanar posibles «agujeros de seguridad», aplicando políticas dirigidas o de efecto envolvente sobre un dispositivo que posee una vulnerabilidad inherente y explotable.
- Realizar análisis de riesgos periódicos, permitiendo así establecer planes de acción que hagan especial foco sobre los peligros detectados.
- Documentar los procedimientos de operación de la infraestructura, así como de los elementos que actúan y participan dentro del sistema TI de la salud. Resulta también altamente beneficioso para los profesionales documentar los casos de uso ocurridos o la generación de planes como disaster recovery, optimizando ante un incidente la subsanación y/o mitigación de efectos negativos gracias a la reducción del tiempo de respuesta.
No te lo pierdas: José Luis Zorita (Sidertia by Izertis): ¡No olvidemos los pequeños gestos que reducen el impacto de un ciberataque!
Es evidente que, en el ámbito sanitario, los sistemas manejan información altamente sensible. Datos personales, historias clínicas o pruebas médicas son claros ejemplos. Es aún más inexcusable, por lo tanto, atender con rigor a los principios fundamentales de la seguridad de la información.
A modo de conclusión, consideramos que la aplicación de las recomendaciones indicadas permite, sin necesidad de inversiones económicas excesivas sino aprovechando de forma adecuada los recursos disponibles, limitar la base de exposición de los sistemas e incrementar considerablemente el nivel de seguridad de las organizaciones sanitarias.
