¿Deberíamos centrarnos más en la seguridad cibernética de las tecnologías médicas vulnerables, es decir, un marcapasos?

Oh dios mío sí. Los marcapasos deben pasar por una lista de control de calidad. Uno debe ser “¿Se puede tomar el dispositivo y usarlo para extraer Bitcoin?” Si la respuesta es Sí, Quizás o No sé, entonces los fabricantes del dispositivo, no los profesionales de Seguridad Cibernética, tienen que considerar muchas cosas.

Para los asuntos médicos, el mayor problema es el problema de seguridad frente al acceso de los pacientes y la atención de los hospitales. El personal de un hospital desea proteger los registros y la privacidad de los pacientes, pero también desean tener acceso instantáneo a esos registros oa los sistemas que acceden a esos registros. Entonces aparece el tipo de TI del Sr. Smarty-Pants que cambia una política de contraseña para que tengan que cambiar las contraseñas una vez cada dos meses y asegurarse de usar mayúsculas y minúsculas y un número y un símbolo y no tener repeticiones de la última contraseña. Y luego, cuando un paciente necesita ayuda, su contraseña de drdave1972 no funciona porque la cambiaron a [protegida por correo electrónico] _ninehundredand72 y olvidó qué variación de la contraseña estaban usando … y el paciente muere mientras el soporte técnico les envía una contraseña temporal generada aleatoriamente.

Esa clase de cosas. Lo que es seguro para una compañía que se proclama a sí misma “El Uber de las carretillas” es fatal en una sala de emergencias.

Como Security Dorks (cansarse de la palabra Seguridad Cibernética, etc.), le debemos a las personas ver equipos como automóviles, marcapasos, audífonos y extremidades artificiales como un problema de ingeniería y no un “InfoSec” separado o lo que sea la palabra ahora. de evitar que las personas controlen lo que no tienen control empresarial. Si probamos un producto terminado y falla al permitir el acceso no autorizado, será devuelto y parchado.

Lo que tenemos que hacer es lograr que los ingenieros incluyan esa parte básica de la seguridad como diseño o se culpará a Security Wonks por hacer dispositivos de salud torpes.

Si. Hay un par de mitos por ahí que no están ayudando. Una es la idea, sostenida por algunos fabricantes de equipos, de que una vez que tienen la aprobación de la FDA de EE. UU. Para un dispositivo, no pueden hacer ningún cambio y, por lo tanto, se niegan a incluir actualizaciones de seguridad estándar de la industria. Eso lleva a situaciones como las bombas de insulina que aún ejecutan Windows XP. La otra es que la FDA tiene el poder de emitir retiros para dispositivos vulnerables. Ambos, hasta donde recuerdo (2015) son falsos. Los fabricantes solo tienen que buscar una nueva aprobación para nuevos dispositivos, no para la corrección de errores o actualizaciones de seguridad.

Otros problemas se comparten con Internet 0f Things: las dificultades de mantener actualizados los dispositivos pequeños. Si están conectados a Internet público, el riesgo aumenta, pero si están en una red privada aún están expuestos a ataques de otros dispositivos que puede ser inseguro o infectado y ser más difícil de mantener parcheado.

Sin embargo, tengo cierto optimismo. Por lo que sé, no estamos enfrentando el mismo tipo de superficie de ataque uniforme presentada por Windows 95, que permitió que floreciera una gran industria de malware, y la cantidad de personas que podrían verse directamente afectadas por ataques en dispositivos médicos es relativamente pequeño. Creo que tenemos más que ganar que perder adoptando estas tecnologías: el diagnóstico médico erróneo y las confusiones sobre las recetas matan a muchas personas, y creo que la tecnología ayudará en lugar de obstaculizar.

Los ataques a las redes hospitalarias son otro asunto. Espero que la serie actual (2016) de ataques de cryptolocker en hospitales provoque una reevaluación de seguridad en la industria. Nuevamente, creo que tenemos más que ganar que perder adoptando el mantenimiento de registros por computadora en lugar de pasar notas en papel con letra ilegible.