Seguridad informática: peligros del acceso a internet de los trabajadores en el ámbito sanitario
Autor principal: Víctor Pelegrín Hernando
Vol. XV; nº 23; 1176
Computer security: hazards of internet access to workers in the sanitary field
Fecha de recepción: 26/10/2020
Fecha de aceptación: 09/12/2020
Incluido en Revista Electrónica de PortalesMedicos.com Volumen XV. Número 23 – Primera quincena de Diciembre de 2020 – Página inicial: Vol. XV; nº 23; 1176
Autores:
VÍCTOR PELEGRÍN HERNANDO. Ingeniero Técnico en Informática de Sistemas. Hospital Universitario Miguel Servet, Zaragoza, España.
WAMBA DANIEL GALINDO ASURMENDI. Graduado en Ciencia y Tecnología de los Alimentos, Experto Universitario en normativa de protección de datos en el ámbito sanitario. Hospital Universitario Miguel Servet, Zaragoza, España.
EVA PELEGRÍN HERNANDO. Graduada en Enfermería. Hospital Universitario Miguel Servet, Zaragoza, España
Resumen:
Introducción: Breve reseña sobre el impacto que tiene dar acceso a Internet al personal de los servicios sanitarios en sus centros de trabajo.
Objetivo: Conocer las necesidades que llevan a permitir ese acceso a la red exterior a los trabajadores, así como sus riesgos y posibles mitigaciones.
Metodología: Búsqueda bibliográfica e investigación de las vulnerabilidades más frecuentes. La búsqueda se ha realizado a través de estándares, catálogos, bases de datos y organizaciones de referencia en seguridad informática.
Conclusiones: No es posible eliminar los riesgos que implica ofrecer acceso a la red exterior a los trabajadores en el sector sanitario, pero sí mitigarlos, principalmente con guías de buenas prácticas y formación de todo el personal sanitario y no sanitario.
Palabras clave: informática, seguridad, prevención, internet.
Abstract:
Introduction: Brief review of the impact that giving Internet access to health service personnel in their work centers can have. Objective: To know the needs that lead to giving workers access to the external network, as well as its risks and possible mitigations. Methodology: Bibliographic search and investigation of the most frequent vulnerabilities. The search was carried out through standards, catalogs, databases and reference organizations in computer security. Conclusions: It is not possible to eliminate the risks involved in giving workers access to the external network in the health sector, but it is possible to mitigate them, mainly with good practice guides and training for all health and non-health personnel.
Keywords: computing, security, prevention, internet.
Introducción:
Desde los años 60 hasta hoy hemos vivido grandes avances en el ámbito de las nuevas tecnologías que no solo han mejorado nuestras vidas sino también campos como el sanitario.
La informática ha sido uno de los mayores impulsores de esta revolución, ha ayudado en gran medida a mejorar la gestión y las comunicaciones de las organizaciones.
Desde sus comienzos el avance ha sido imparable y vertiginoso en todas las organizaciones.
Centrándonos en el sector sanitario, que es al que nos referimos, ha mejorado la atención a los pacientes, los tratamientos, diagnósticos y la gestión de los hospitales.
En este artículo nos vamos a centrar en los trabajadores respecto a su uso.
Cualquiera que trabaje en un centro sanitario puede observar que prácticamente desde todos los ordenadores del centro, cada trabajador, además de consultar información de la propia intranet tiene acceso a consultar información del exterior.
Esto, a priori, es beneficioso puesto que los trabajadores con frecuencia necesitan consultar, recordar o adquirir conocimientos relacionados con su rama específica ya sea para tratar a un paciente, tareas de gestión, investigación y un largo etcétera.
El problema viene cuando nos planteamos las siguientes preguntas:
¿Es segura esta práctica?
¿Existen riesgos asociados? ¿Cuáles?
¿Tenemos a nuestro personal formado en un uso responsable de las nuevas tecnologías?
Objetivo:
Conocer los peligros de dar acceso libre a internet a los trabajadores del ámbito sanitario.
Metodología:
Para responder a nuestro objetivo, se ha realizado una búsqueda bibliográfica de vulnerabilidades recurrentes en varios estándares, catálogos, bases de datos y organizaciones de referencia internacional dedicadas a la seguridad informática y que se encuentran en constante actualización.
- Common Vulnerabilities and Exposures (CVE):
Catálogo o lista de información registrada pública sobre vulnerabilidades conocidas.
Administrado por The MITRE Corporation, organización sin ánimo de lucro y de carácter público.
Se encarga de normalizar las vulnerabilidades mediante su descripción.
- Common Vulnerability Scoring System (CVSS):
Estándar gratuito y abierto de la industria que escalona la severidad de las vulnerabilidades mediante fórmulas, comunicando las características y el impacto de cada vulnerabilidad identificada con su código CVE.
- Common Vulnerability Reporting Framework (CVRF):
Estándar en formato XML que permite compartir información sobre problemas de seguridad entre las organizaciones en un marco común.
- National Vulnerability Database (NVD):
Base de datos del gobierno de los Estados Unidos. Incluye bases de datos de listas de verificación de seguridad, configuraciones vulnerables y su mitigación y métricas de impacto.
- Common Weakness Enumeration (CWE):
Estándar internacional y de libre uso que proporciona un lenguaje común para describir debilidades en la arquitectura, diseño y codificación del software.
- CCN-CERT:
“Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.” (8)
Además, complementamos nuestra investigación buscando documentación de portales especializados en seguridad informática, así como principales portales web de los antivirus más conocidos hasta la fecha.
Desarrollo:
¿Por qué es necesario dar acceso a Internet a nuestros trabajadores?
Existen diversos motivos. Los motivos principales es la búsqueda de información actualizada en la red de fuentes veraces y con rigor científico.
El sistema sanitario español goza de profesionales muy preparados, pero eso no quiere decir que no necesiten consultar información o documentación para diagnosticar, tratar, investigar, gestionar y mejorar la asistencia sanitaria de los pacientes. Esto nos lleva a la necesidad imperiosa de dar acceso a estos profesionales a la red exterior.
La diferencia de utilizar Internet desde un domicilio particular frente a usarlo en una organización como un hospital reside en que en el primer caso una infección afecta solo a la red local de un domicilio. Sin embargo, en el segundo caso la red interna de un hospital es enorme y una infección puede provocar peligros serios como: caída de la red, robo de datos confidenciales especialmente protegidos de los pacientes, robo de contraseñas…
Riesgos más frecuentes:
Virus informático: “Software que tiene como objetivo alterar el funcionamiento normal de cualquier tipo de dispositivo informático, sin el permiso o el conocimiento del usuario principalmente para lograr fines maliciosos sobre el dispositivo.” (6)
Phishing: Técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial.
Vulnerabilidades de la red: Este tipo de riesgo está más enfocado a fallos en los sistemas de seguridad de Internet que son aprovechados por ciberdelincuentes para intentar acceder a nuestros datos. Un ejemplo sería el protocolo HTTP que es inseguro porque manda la información en texto plano.
Gusano: “Infecta los ordenadores ralentizando la red e incluso bloqueando el acceso a las comunicaciones”. (7)
Scam: Intenta engañar a los usuarios con promociones de viajes o lotería y les piden dinero para acceder al supuesto premio.
Keylogger: Programa que, una vez instalado en el ordenador, queda ejecutado en segundo plano y es capaz de recoger, guardar y enviar todas las pulsaciones de teclado realizadas por el usuario. Su principal peligro es que los ciberdelincuentes lo utilizan para robar contraseñas.
Troyano: “Instala varias aplicaciones para que los hackers controlen un equipo, tus archivos y roben tu información confidencial.” (7)
Spyware: Programa cuya función consiste en recopilar información como nombres, cuentas de acceso, claves con el fin de espiar cualquier dato de una organización.
Ransomware: Sin duda, uno de los virus más peligrosos y actuales que están utilizando los ciberdelincuentes. Una vez ejecutado en el ordenador del usuario cifra todos los archivos del disco duro o bases de datos desde los cuales tenga permisos ese terminal y pide un rescate económico para liberarlos. Normalmente ese rescate se pide en criptomonedas porque es una forma de enviar o recibir dinero desde el total anonimato.
Un ataque de este equipo puede dejar a una organización sin poder operar durante semanas o incluso indefinidamente por el secuestro de los datos si no poseía copias de seguridad
Imaginemos que sucediera en un hospital, nadie podría acceder a las historias clínicas de los pacientes ni consultar ni escribir sobre ellas.
Mitigaciones:
- Sistema operativo actualizado.
Mantener el SO actualizado de cada terminal es crucial puesto que a diario aparecen nuevas vulnerabilidades que se corrigen lo antes posible por los desarrolladores de sistemas operativos por medio de parches o actualizaciones.
Este es uno de los principales fallos en el sistema sanitario. Debido a la gran cantidad de dispositivos que existen en funcionamiento en el mismo, no es una tarea sencilla su mantenimiento respecto a estas actualizaciones.
Para ello los técnicos informáticos suelen optar por utilizar sistemas como Windows Server para monitorizar y actualizar remotamente los terminales.
Una política importante a tener en cuenta aquí es que no se debe dar acceso al personal a que pueda modificar las versiones o actualizaciones de Windows. Esto debe hacerlo solo el técnico informático.
En ocasiones se mantienen SO antiguos, por ejemplo, Windows XP porque migrar a los más nuevos supone un sobrecoste para la administración. Esto supone un riesgo mucho más serio del que parece porque tales sistemas operativos dejan de actualizarse por los desarrolladores y quedan expuestos a nuevas vulnerabilidades encontradas.
- Antivirus actualizado.
Al igual que el apartado anterior, es fundamental poseer un antivirus en constante actualización. De nada sirve tener un antivirus desactualizado porque estaríamos sometidos a los nuevos virus.
- Cortafuegos (firewall) bien configurado.
El cortafuegos es una parte fundamental de un sistema informático que se encarga de bloquear el acceso no autorizado y permitir al mismo tiempo comunicaciones autorizadas.
Es una de las tareas más significativas que deben realizar los técnicos informáticos al realizar la instalación de un terminal.
En primer lugar, deben obligar a que el firewall esté siempre activado. No se debe permitir que el usuario lo desactive bajo ningún concepto.
A continuación, deben declarar una serie de reglas estrictas que permitan o denieguen el acceso tanto hacia el exterior como del exterior a la terminal.
- Aplicaciones de las normativas y políticas Serie ISO 27000.
Esta serie aglomera todas las normativas y estándares en materia de seguridad de la información más importantes publicadas por la Organización Internacional de Normalización. Las más destacables de esta familia son:
ISO 27001: Sistemas de Gestión de la Seguridad de la Información.
ISO 27002: Estándar que proporciona las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables. Se encuentra organizada en 14, dominios, 35 objetivos de control y 114 controles.
Es importante que el personal de informática las implemente en su organización ya que son unas de las más destacables y actualizadas hasta la fecha.
- Formación
Uno de los pilares básicos en seguridad informática es la formación por parte de los usuarios en el buen uso de las tecnologías de la información. Es habitual que el personal no sea consciente de los riesgos que implica para su organización un mal uso de la tecnología.
Por ello, se deben realizar planes y cursos de concienciación sobre las vulnerabilidades existentes más frecuentes y planes de uso seguro del sistema de información al que los usuarios tienen acceso.
De nada sirve tener una fuerte seguridad informática a nivel técnico si después cualquier empleado por ignorancia o equivocación supone un vector de entrada a posibles ataques.
En los últimos estudios se ha demostrado que el eslabón más débil respecto a la seguridad está siendo las personas.
Es muy importante hacer especial hincapié en visitar un listado de páginas seguras y solo aquellas que sean necesarias para el trabajo. No pinchar en enlaces sospechosos, no descargar ningún archivo y mucho menos ejecutarlo, tener mucho cuidado con correos electrónicos de phishing o scam.
Algunos de estos comportamientos pueden ser limitados o restringidos totalmente por los técnicos de informática mediante directivas de grupo restrictivas. Pero, eso no implica que deba dejarse la formación del personal aparte.
- Visión restrictiva
Puesto que trabajamos en centros sanitarios en los cuales existen datos de especial protección es importante tener en mente que a los usuarios no se les debe permitir realizar una serie de acciones.
Haciendo referencia al acceso a Internet, es muy importante que los técnicos configuren un proxy para denegar el acceso a todas las webs y permitirlo solo a aquellas que consideren seguras y útiles para los usuarios. Es decir, deben ir creando una lista blanca de webs consultables que son permitidas y el resto no. Es cierto que utilizar esta política restrictiva al principio puede crear fricciones entre el personal sanitario y el de informática puesto que cuando surja una nueva web que quiera consultar un sanitario debe pasar un proceso de aprobación por el equipo de informática con la consiguiente tardanza en poder visitar esa web. Pero, pasados unos meses se obtiene una lista blanca útil y segura para todos los usuarios que incrementa enormemente la seguridad.
Además, esta lista blanca es una forma de control adicional sobre los empleados ya que así no podrán acceder a ninguna web con fines de ocio.
Conclusiones:
Dar acceso a Internet a los empleados sanitarios y no sanitarios del sistema sanitario es necesario para el buen funcionamiento de los centros, pero a su vez crea riesgos que hay que eliminar.
Algunos de estos riesgos son eliminables por completo pero otros muchos solo se pueden mitigar.
Los técnicos informáticos deben realizar un buen trabajo de mitigación constantemente. Además, deben aportar mucha formación constante y actualizada a los empleados sobre el buen uso de las tecnologías puesto que las personas son el eslabón más débil en la seguridad de las organizaciones.
Por último, la gerencia del centro debe entender y dotar de los recursos necesarios al departamento de informática para que lleve a cabo todas las tareas de mitigación y prevención.
Bibliografía
- Common Vulnerabilities and Exposures (CVE): https://cve.mitre.org/cve/ .Last updated or Reviewed: May 15, 2020.
- Common Vulnerability Scoring System (CVSS): https://www.first.org/cvss/ . Last updated: February 19, 2001.
- Common Vulnerability Reporting Framework (CVRF): https://www.icasi.org/cvrf/ . 2020
- National Vulnerability Database (NVD): https://nvd.nist.gov/ . 2020
- Common Weakness Enumeration (CWE): https://cwe.mitre.org/index.html . Page Last Updated: August 19, 2020
- Virus Informáticowikipedia.org: https://es.wikipedia.org/wiki/Virus_inform%C3%A1tico. Retrieved 25 October, 2020
- Panda Security: https://www.pandasecurity.com/es/security-info/malware/# . 2020
- Centro Criptológico Nacional: CCN-CERT: https://www.ccn-cert.cni.es/ . 2020