¿Cómo es la ciberseguridad en los sistemas PACS?

Descubre cuáles son los retos y soluciones respecto de la ciberseguridad y protección de datos cuando se elige un sistema PACS para mejorar la gestión de servicios de radiología e imagenología.

En el mundo moderno el  uso de la tecnología de la información (TI) tiene un amplio desarrollo en el sector de la medicina. Quizá uno de los mayores avances respecto de la gestión hospitalaria se vivió en la década de los 70, con la introducción de los sistemas de información hospitalaria (HIS).

Asimismo, comenzó el uso extendido de modalidades diagnósticas por imagen como la tomografía computarizada (TC) y la resonancia magnética (MRI) en las décadas de los 70 y 80. Por su parte, los sistemas de comunicación y archivo de imágenes (PACS) y la lectura de copia digital se popularizaron entre los años 80 y 90. Todo ello contribuyó al intercambio electrónico de información clínica entre instituciones, médicos, regiones, o incluso a nivel internacional, como es algo común en la actualidad.

Internet se ha convertido en una fuente indispensable de información y un medio de comunicación eficiente, veloz y económico. Sin embargo, el uso generalizado de las tecnologías de la información e Internet también ha creado nuevos desafíos. Un tema que se ha vuelto cada vez más importante para los hospitales es la ciberseguridad, Un término que el Oxford English Dictionary  define como "el estado de estar protegido contra el uso delictivo o no autorizado de datos electrónicos, o las medidas tomadas para lograrlo”.

Tipos de ataques que pueden afectar la ciberseguridad de los hospitales

Existe un tipo de malware (o software malicioso) particularmente dañino que afecta a organizaciones y usuarios de computadoras en todo el mundo es el ransomware. Se trata de un software que, una vez descargado e iniciado, se decida a cifrar tantos archivos como sea posible y luego exige el pago de un rescate (normalmente utilizando una criptomoneda como Bitcoin), con el compromiso de que después del pago se proporcionará la clave de descifrado de los archivos, lo que no siempre sucede.

Un documento publicado por el Departamento de Justicia de los Estados Unidos afirma que en 2016 se informaron 4 mil ataques de ransomware por día, un aumento de cuatro veces en comparación con 2015. Además, el sector salud se encuentra entre los más afectados, con un 15% del total de los casos. Además, señala que el 50% de todos los incidentes de ciberseguridad en hospitales en 2017 estuvieron relacionados con ransomware.

Por otra parte, las instituciones gubernamentales de todo el mundo han aceptado que las instituciones sanitarias forman parte de la infraestructura crítica de una sociedad, de modo que requieren total protección, especialmente contra las amenazas cibernéticas. 

Por ejemplo, los gobiernos de los Estados Unidos y de la Unión Europea han diseñado planes específicos para la protección de la seguridad cibernética en el sector salud. Mientras que en Alemania los hospitales con más de 30 mil pacientes anuales adoptaron las medidas de una ley de seguridad cibernética para protegerse.

¿Qué amenazas pueden afectar la ciberseguridad de los hospitales?

Actualmente, las amenazas de ciberseguridad a las que se enfrentan los hospitales han alcanzado un nuevo nivel de alerta. Si bien en el pasado los ataques eran a menudo generalizados y aleatorios, ahora se han dirigido cada vez más al sector salud, que aparentemente es visto como un objetivo atractivo por los grupos detrás de estas amenazas.

Por ejemplo, son comunes las prácticas de phishing (correo en el que el remitente se hace pasar por otro), o de spam (correo electrónico no solicitado), en los que por lo general se les pide a los usuarios que abran un archivo adjunto. 

Sin embargo, es cada vez más común la técnica de spear phishing. Un usuario, por ejemplo, un empleado del departamento de recursos humanos, recibirá un correo electrónico de apariencia convincente con un documento adjunto o vinculado, que, cuando se abre, resulta ser un malware que infecta la computadora.

En la última década, las imágenes médicas han pasado de la copia impresa en gran mayoría a formato digital, por ejemplo con los sistemas PACS. Estas son más fáciles de compartir, lo que acelera el tiempo de diagnóstico. Asimismo, se pueden cargar, almacenar y compartir en dispositivos de todo tipo, lo que también las convierte en un objetivo para los ciberdelincuentes.

A su vez, ellos se ven muy interesados en adquirir otro tipo de información médica que puede resultar muy valiosa, como registros médicos electrónicos, registros regulatorios, sistemas de información hospitalaria e incluso información con gobiernos, archivos académicos y comerciales. Lo que conlleva a que los servicios de salud se vean susceptibles ante posibles brechas de seguridad y a que los ciberdelincuentes acechen y roben estos datos importantes.

Desafíos comunes de ciberseguridad en los sistemas PACS

Es por ello que al momento de elegir un sistema PACS, una buena práctica es verificar que el proveedor pueda asegurar que se toman distintas medidas de seguridad electrónica y protección de datos. 

El proveedor de sistema PACS debe ofrecer al menos las siguientes garantías respecto de la ciberseguridad:

• Monitorear y controlar las cuentas de usuarios internos.
• Identificar valores atípicos en el comportamiento (por ejemplo, una gran cantidad de descargas en un periodo corto de tiempo).
• Tener control y seguimiento del acceso de todo usuario externo.
• Se debe garantizar la integridad de los datos de las imágenes.
• Supervisar de manera constante las conexiones al sistema.
• Total aseguramiento y monitoreo de conexiones hacia y desde sistemas que no formen parte del sistema interno.
• Se debe proporcionar seguridad, protección de datos y administración de acceso sin afectar la productividad y el rendimiento del sistema.

Al momento de elegir un sistema PACS, es importante verificar que el proveedor cumple con estándares internacionales de ciberseguridad y protección de datos, como el cumplimiento HIPAA.

Arquitectura de seguridad de los sistemas PACS

Utilizando productos disponibles comercialmente, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) creó una arquitectura de red de referencia. Proporciona un ejemplo para que los proveedores de atención médica separen sus redes en zonas para disminuir el acceso y, por lo tanto, el riesgo.

Para minimizar los riesgos, la arquitectura de referencia de la guía práctica del NIST presenta distintos controles técnicos y de procesos para implementar. Ellos son:

• Una solución de defensa profunda, incluida la zonificación de la red que permite un control más granular de los flujos de tráfico de la red y limita las capacidades de comunicación.

• Un mecanismo de control de acceso que incluye autenticación multifactor para proveedores de atención, autenticación basada en certificados para dispositivos de imágenes y sistemas clínicos, y mecanismos que limitan el soporte remoto del proveedor a los componentes de imágenes médicas.

• También un enfoque holístico de gestión de riesgos que incluye la gestión de activos de dispositivos médicos, el aumento de los controles de seguridad empresarial y el aprovechamiento de las herramientas de análisis de comportamiento para la gestión de amenazas.

Referencias

• Challenges and methods for PACS Systems. 24 by 7 Security.
• PACS: flaws that put data at risk. Data Breach Today.
• Cybersecurity in PACS and Medical Imaging. Springer.
• “Sistemas para archivo y comunicación de imágenes (PACS)”. Guía tecnológica no. 41. Secretaría de Salud, México, 2009.