Proteja los dispositivos médicos de los ataques cibernéticos, insta a la FDA

La FDA está instando a los fabricantes de dispositivos médicos y las instalaciones de atención médica a que se aseguren de que existen medidas de seguridad adecuadas para proteger sus dispositivos médicos de las amenazas cibernéticas.
La FDA (Food and Drug Administration) dijo el jueves que su advertencia está dirigida específicamente a ingenieros biomédicos, personal de TI y compras de atención médica, instalaciones para usuarios de dispositivos médicos, hospitales y fabricantes de dispositivos médicos.
Un ciberataque puede ser causado cuando * se introduce malware en el equipo médico, así como personas no autorizadas que obtienen acceso a configuraciones de configuración en redes y equipos de hospitales.
* Malware es un software creado para desactivar o dañar computadoras y sistemas informáticos, es decir, software malicioso.
La mayoría de los dispositivos médicos de hoy en día contienen sistemas informáticos integrados que son configurables, lo que significa que pueden ser alterados o modificados. haciéndolos vulnerables a las infracciones de ciberseguridad.

La amenaza se ha vuelto más grave en los últimos quince años a medida que un número creciente de dispositivos médicos están interconectados a través de redes hospitalarias, Internet, teléfonos inteligentes y otros dispositivos médicos. Cada nuevo tipo de conexión aumenta su vulnerabilidad a los ataques maliciosos.
La FDA dice que ha tomado conocimiento de las siguientes vulnerabilidades e incidentes de seguridad cibernética relacionados con las operaciones de redes hospitalarias y los dispositivos médicos:

• Dispositivos médicos que están configurados y / o conectados a una red que está siendo deshabilitada por malware


• Software malicioso que penetra en los teléfonos inteligentes del hospital, tabletas y otros dispositivos móviles que usan tecnología Wi-Fi para acceder a la información del paciente, dispositivos de pacientes implantados y computadoras del hospital


• Falta de seguridad adecuada con respecto a las contraseñas, contraseñas inhabilitadas y contraseñas codificadas para software destinado a personal seleccionado, como personal de mantenimiento, técnico o administrativo


• No actualizar regularmente el dispositivo médico y el software de red


• No aborda vulnerabilidades en dispositivos heredados (dispositivos médicos antiguos)


• Debilidades de seguridad en el software comercial que se supone que previene el acceso no autorizado de la red o del dispositivo, como contraseñas codificadas, texto plano o sin autenticación, codificación deficiente / infección de SQL y cuentas de servicio documentadas en los manuales de servicio

Hasta el momento, la FDA no ha recibido informes sobre el uso deliberado de sistemas o dispositivos específicos en uso clínico, ni tiene conocimiento de ninguna lesión o muerte del paciente causada por estos incidentes.
Según la FDA, las autoridades de salud y otras de Estados Unidos, las compañías de dispositivos médicos y software se han estado manteniendo en contacto de cerca para minimizar el riesgo de ciberataques.

¿Qué acciones recomienda la FDA?

Un alto porcentaje de dispositivos médicos contiene sistemas informáticos integrados configurables que son objetivos potenciales para las amenazas cibernéticas. Recomendaciones para fabricantes de dispositivos
Es responsabilidad de los fabricantes de dispositivos médicos estar atentos a los posibles riesgos y peligros relacionados con sus productos, incluidos los riesgos de ciberseguridad. También son responsables de asegurarse de que se implementen mitigaciones adecuadas para garantizar la seguridad del paciente y para garantizar que el dispositivo funcione correctamente.

Los fabricantes de dispositivos médicos deben asegurarse de que no sea posible el acceso no autorizado a sus productos.. La FDA escribió en un comunicado en línea "Específicamente, recomendamos que los fabricantes revisen sus prácticas y políticas de seguridad cibernética para garantizar que existan salvaguardas apropiadas para evitar el acceso no autorizado o la modificación de sus dispositivos médicos o el compromiso de la seguridad de la red del hospital que El alcance de los controles de seguridad dependerá del dispositivo médico, su entorno de uso, el tipo y la probabilidad de los riesgos a los que está expuesto, y los riesgos probables para los pacientes de una violación de seguridad. "
Cuando se evalúa el dispositivo, se debe considerar lo siguiente:

• Se deben tomar medidas para garantizar que solo los usuarios de confianza tengan acceso al dispositivo y a nadie más, especialmente los dispositivos que mantienen vivos a los pacientes o pueden conectarse directamente a las redes hospitalarias.


• Tome medidas para proteger cada componente de la explotación. Desarrolle estrategias para la protección de seguridad activa que sean adecuadas y factibles para el entorno de uso del dispositivo. Estas estrategias deben incluir el despliegue oportuno de parches de seguridad validados y de rutina, y los sistemas que requieren un código autenticado para las actualizaciones de software y firmware.


• La funcionalidad crítica de un dispositivo médico es una prioridad máxima, asegúrese de que los enfoques de diseño lo tengan en cuenta. Incluso si el dispositivo se ha visto comprometido, se deben incluir modos a prueba de fallas para mantener esa funcionalidad crítica.


• Deben existir métodos de retención y recuperación después de un incidente que afecte la seguridad. "Los incidentes de ciberseguridad son cada vez más probables y los fabricantes deben considerar planes de respuesta a incidentes que aborden la posibilidad de una operación degradada y una restauración y recuperación eficientes".

Recomendaciones para hospitales y otras instalaciones de atención médica
Las instalaciones de atención médica deben tomar medidas para evaluar la seguridad de su red y proteger sus sistemas hospitalarios. Se debe considerar lo siguiente al evaluar la seguridad de la red:

• El acceso a redes y dispositivos médicos en red en general debe restringirse al personal autorizado y a nadie más.


• Los cortafuegos y el software antivirus deben actualizarse periódicamente.


• La actividad de la red debe monitorearse constantemente para detectar el uso no autorizado.


• Los componentes de red individuales deben evaluarse periódicamente como una cuestión de rutina. Esto incluye la actualización de los parches de seguridad y la desactivación de todos los puertos y servicios innecesarios.


• Si un hospital o centro de atención médica tiene o sospecha que existe un problema de seguridad cibernética con un dispositivo médico, se debe contactar al fabricante de inmediato.La FDA y el DHA ICS-CERT podrían ayudar a informar y resolver las vulnerabilidades si no es posible determinar quién es el fabricante o si no se puede contactar al fabricante.


• Durante condiciones adversas es importante que el equipo mantenga una funcionalidad crítica. Las instalaciones de atención médica deben desarrollar y evaluar estrategias de contingencia.

La FDA dice que ha publicado un borrador de orientación sobre cómo los fabricantes de dispositivos médicos deben abordar la ciberseguridad al presentar sus productos para su aprobación (premercado). También brinda orientación sobre cómo los fabricantes deben lidiar con los problemas de seguridad cibernética con respecto a los dispositivos que usan software comercial.

La FDA pide a los fabricantes y las instalaciones de atención médica que informen problemas

A fin de comprender mejor el riesgo relacionado con los dispositivos médicos, la FDA insta a los usuarios y fabricantes de dispositivos a informar inmediatamente a la Agencia sobre cualquier evento adverso. "Si sospecha que un evento de seguridad cibernética ha impactado el rendimiento de un dispositivo médico o ha impactado un sistema de red hospitalaria, lo alentamos a que presente un informe voluntario a través de MedWatch, el programa de Información de seguridad y notificación de eventos adversos de la FDA".

El personal de atención médica debe seguir los procedimientos de presentación de informes establecidos por sus instalaciones. Los fabricantes de dispositivos médicos deben cumplir con las reglamentaciones de MDR (informes de dispositivos médicos).
Cuando informa un problema / incidente de seguridad cibernética con un dispositivo específico, la FDA solicita que la siguiente información se incluya en el informe (si está disponible):

• ¿Quién es su punto de contacto si se requieren más detalles sobre el incidente / evento?


• ¿Cuándo se descubrió por primera vez el problema de la ciberseguridad?


• ¿Cómo se descubrió el problema por primera vez?


• ¿Qué números de modelo y versiones de firmware se ven afectados?


• ¿Cuántos dispositivos médicos están / fueron afectados?


• ¿La funcionalidad del dispositivo ha sido comprometida? Si es así, ¿cómo ocurrió esto (fue explotado a través de acceso local o de forma remota)?


• ¿Cuál es el comportamiento anormal observado del dispositivo médico? ¿Cuáles son las posibles consecuencias?

Investigadores de la Universidad de Michigan, Universidad de Carolina del Sur, Instituto Avanzado de Ciencia y Tecnología de Corea, Universidad de Minnesota, Universidad de Massachusetts y la Escuela de Medicina de Harvard informaron en mayo de 2013 que los sensores utilizados en los desfibriladores cardíacos implantados y los marcapasos son vulnerables a la manipulación.
El equipo demostró que podían forjar un latido cardíaco errático con ondas electromagnéticas de radiofrecuencia. En teoría, una señal falsa como la que crearon podría impedir que el marcapasos funcione correctamente y también podría provocar descargas de desfibrilación innecesarias.
El Prof. Wenyuan Xu, de la Universidad de Carolina del Sur, dijo: "La seguridad es a menudo una carrera armamentista con adversarios. Como investigadores, es nuestra responsabilidad siempre desafiar la práctica común y encontrar defensas para las vulnerabilidades que podrían explotarse antes de que ocurran incidentes desafortunados. Esperamos que nuestros hallazgos de investigación puedan ayudar a mejorar la seguridad de los sistemas de detección que surgirán en los años venideros ".
Escrito por Christian Nordqvist