La Consejería de Sanidad Universal y Salud Pública es una consejería o departamento del Consejo de la Generalidad Valenciana con competencias en materia de sanidad, salud pública, farmacia, evaluación, investigación, calidad y atención al paciente que, además, gestiona la red de hospitales y centros públicos de atención médica. Es una entidad con 34 hospitales bajo su cargo, 245 centros de salud y múltiples instituciones dependientes de ella. Con el estado de alarma, se produjo el confinamiento de más de 5.000 empleados −de los más de 50.000 entre Salud pública, atención primaria y atención especializada−, lo que hizo necesario reinventar su funcionamiento. Las nuevas necesidades para las consultas, las visitas remotas de atención primaria y el intercambio de información sensible entre la Conselleria y los centros de formación, además de la obligatoriedad de control de los dispositivos existentes de cada hospital o centro, marcan el reto de la Generalitat en el incremento de la seguridad de sus sistemas más críticos. También, el poder detectar en una fase temprana cualquier incidente de seguridad en su entorno hospitalario.
El reto en seguridad
El objetivo principal del proyecto era disponer de una solución que permitiera a la Conselleria monitorizar en tiempo real la seguridad de un hospital de referencia y ampliarla para proteger dos hospitales remotos de menor tamaño. Esto, como paso previo a la extensión de la solución a todo el servicio de salud.
Recopilando dicho tráfico y criptosegmentando el mismo, la solución planteada debía realizar el modelado, el análisis y la correlación del tráfico para detectar comportamientos anormales y asegurar el cumplimiento de la normativa actual o futura (Esquema Nacional de Seguridad, Ley de Protección de Infraestructuras Críticas, Directiva NIS 2, etcétera).
Al mismo tiempo, debía mejorar la protección de entornos IoMT (Internet of Medical Things) y permitir una respuesta rápida y eficiente en un lenguaje sanitario. Y, todo ello, con soluciones que cumplan el Esquema Nacional de Seguridad para ser desplegadas en un entorno sanitario.
Tecnología
Para conseguir estos objetivos, Nunsys Group ha empleado varias sondas Lunaria de Opscura, que permiten la securización, captura y envío de tráfico remoto con capacidades de segmentación, parcheado, ocultación, firewall, etcétera.
El inventario, monitorización y detección de vulnerabilidades y amenazas en los activos se realiza con tecnología Guardian de Nozomi Networks, que facilita tanto un mapa de red como un inventario y postura de seguridad de cada dispositivo IT, OT (CCTV, sensores, climatización…) o IoMT (con todo tipo de dispositivos y aparatología).
Finalmente, se ha conectado en tiempo real la información de activos con el análisis de riesgos para cumplimiento del Esquema Nacional de Seguridad, añadiendo contexto a cada activo mediante la tecnología Sirena, y las alertas son traducidas al lenguaje sanitario y atendidas por el CyberSOC de Nunsys.
Resultados
Uno de los principales logros fue la realización previa de un inventario íntegro en tiempo real de todos los componentes mediante Nozomi y Sirena, autoetiquetando y caracterizando el 95 por ciento de los activos detectados. Con ello se ofrece una primera versión de riesgos y anomalías muy útiles para realizar un análisis de riesgos que refleja la realidad.Tanto el inventario de activos como las amenazas previstas por el Esquema Nacional de Seguridad y las reales se han configurado en Sirena.
Nozomi analiza protocolos (incluido el de equipos médicos como DICOM) y ha permitido detectar equipos no aislados, comunicaciones indebidas y las de mala calidad, uso de dispositivos, horarios, anomalías en la operación y tráfico sospechoso, entre otras cosas, a través de múltiples reglas preexistentes, reglas YARA (permite incorporar las que comunica el Centro Criptológico Nacional) e indicadores STIX.
Infraestructura de seguridad
Con todo ello, se define una infraestructura que se puede sintetizar de la siguiente forma:
- Implantación de tres sondas de captura y envío remoto del tráfico desde dos sedes remotas a través de la tecnología de Opscura, que complementa la infraestructura reactiva integrada por firewalls, endpoints y otras barreras que impidan la ejecución de ataques sobre la infraestructura.
- El equipamiento de Nozomi permite, además del análisis y el modelado, la detección de anomalías y vulnerabilidades. Por ello, la infraestructura se complementa con una capa adicional de software (tecnología Sirena) para incrementar las funcionalidades de la plataforma anterior, “traduciendo” y añadiendo contexto a activos con un lenguaje natural sanitario.
- La integración se lleva a cabo en la plataforma SIEM centralizada de OSI, en este caso Gloria, para la gestión centralizada de cualquier alerta. Dicha integración permite también investigar las incidencias provenientes de Gloria mediante el sistema especializado de ciberseguridad Nozomi para el estudio y resolución de las incidencias, con todo el contexto extra que proporciona Sirena.
- En último lugar, los equipos de operación de OSI dan el control de toda la infraestructura necesaria para la protección de las infraestructuras bajo el alcance, y Nunsys da apoyo en la administración de las plataformas propias del proyecto, así como el soporte de alto nivel y el servicio mensual de soporte al CISO.
¿Por qué Nunsys?
Nunsys Group participa en el consorcio adjudicatario del reto del Instituto Nacional de Ciberseguridad de crear un CyberSOC para Sanidad, valorado en 1,8 millones de euros, lo que le permite desarrollar tecnología nacional puntera.
Además, dispone de una amplia experiencia en este tipo de tecnologías, dado que ha conseguido adelantarse a las necesidades del sector, creando un bundle único de soluciones que trabajan en común: Opscura más Nozomi más Sirena más ERIS-CERT.
Caso de éxito
La Conselleria de Sanitat ha conseguido ampliar de forma considerable las capacidades de su tecnología existente, aumentando la seguridad para el intercambio de información. La implantación de las sondas y el CyberSOC vertical han dotado de una automatización industrial el sistema anterior, para contar así con una detección y alerta temprana de alto nivel.
Como señala el dicho popular, “no hay más ciego que el que no quiere ver”. Aplicado a este caso, podemos decir que, si no analizas el tráfico IT/OT/IoMT, nunca sabrás lo que pasa en tus sistemas.
