211service.com
Los virus informáticos son 'rampantes' en los dispositivos médicos en los hospitales
Los equipos hospitalarios computarizados son cada vez más vulnerables a las infecciones de malware, según los participantes en un panel gubernamental reciente. Estas infecciones pueden obstruir el equipo de monitoreo de pacientes y otros sistemas de software, lo que a veces hace que los dispositivos sean temporalmente inoperantes.
Si bien no se han reportado lesiones, el problema de malware en los hospitales está aumentando claramente en todo el país, dice Kevin Fu , destacado experto en seguridad de dispositivos médicos y científico informático de la Universidad de Michigan y la Universidad de Massachusetts, Amherst, que participó en el panel de discusión.
Los equipos médicos controlados por software se han interconectado cada vez más en los últimos años y muchos sistemas se ejecutan en variantes de Windows, un objetivo común para los piratas informáticos en otros lugares. Los dispositivos generalmente están conectados a una red interna que está conectada a Internet, y también son vulnerables a infecciones de computadoras portátiles u otros dispositivos llevados a los hospitales. El problema se ve agravado por el hecho de que los fabricantes a menudo no permiten que se modifiquen sus equipos, ni siquiera para agregar funciones de seguridad.
En un ejemplo típico, en el Beth Israel Deaconess Medical Center en Boston, 664 equipos médicos se ejecutan en sistemas operativos Windows más antiguos que los fabricantes no modificarán ni permitirán que el hospital cambie, ni siquiera para agregar software antivirus, debido a desacuerdos sobre si las modificaciones podría entrar en conflicto con las revisiones regulatorias de la Administración de Drogas y Alimentos de EE. UU., dice Fu.
Como resultado, estas computadoras se infectan con frecuencia con malware, y una o dos deben desconectarse cada semana para su limpieza, dice Mark Olson, director de seguridad de la información de Beth Israel.
Encuentro esto alucinante, dice Fu. El malware convencional está muy extendido en los hospitales debido a que los dispositivos médicos utilizan sistemas operativos sin parches. Los hospitales tienen pocos recursos cuando un fabricante se niega a permitir actualizaciones del sistema operativo o parches de seguridad.
Las preocupaciones sobre las posibles consecuencias para los pacientes se describieron el jueves pasado en una reunión de un panel de dispositivos médicos en el Instituto Nacional de Estándares y Tecnología. Junta Asesora de Privacidad y Seguridad de la Información , de la que Fu es miembro, en Washington, D.C. En la reunión, Olson describió cómo el malware en un momento ralentizó los monitores fetales utilizados en mujeres con embarazos de alto riesgo que estaban siendo tratadas en salas de cuidados intensivos.
No es inusual que esos dispositivos, por razones que no comprendemos completamente, se vean comprometidos hasta el punto en que no puedan registrar y rastrear los datos, dijo Olson durante la reunión, refiriéndose a los monitores de embarazo de alto riesgo. Afortunadamente, tenemos un modelo alternativo porque son [pacientes] de alto riesgo. Están en una unidad de CI; hay alguien físicamente allí para observar. Pero si se están alejando de otro paciente, existe una ventana de tiempo para que las cosas vayan en la dirección equivocada.
Los sistemas informáticos defectuosos en los monitores fueron reemplazados hace varios meses por el fabricante, Philips; los nuevos sistemas, basados en Windows XP, tienen mejores protecciones y el problema se ha resuelto, dijo Olson en una entrevista posterior.
En la reunión, Olson también dijo que problemas similares amenazaban una amplia variedad de dispositivos, que van desde los mezcladores, que preparan medicamentos por vía intravenosa y nutrición intravenosa, hasta sistemas de archivo de imágenes asociados con equipos de diagnóstico, incluidos dispositivos masivos de imágenes por resonancia magnética de $ 500,000.
Olson dijo al panel que las infecciones han afectado a muchos tipos de equipos, lo que genera temores de que algún día un paciente pueda resultar dañado. También nos preocupan las situaciones en las que los analizadores de gases en sangre, los mezcladores, los equipos de radiología, los sistemas de administración médica nuclear, podrían verse comprometidos donde no se pueden usar, o hasta el punto en que sus valores se ajustan sin que el software lo sepa. él dijo. Explicó que cuando una máquina se obstruye con malware, en teoría podría perder un par de lecturas de un sensor [e] informar erróneamente de un valor, que ahora puede causar daño.
A menudo, el malware está asociado con botnets, dijo Olson, y una vez que se aloja dentro de una computadora, intenta comunicarse con los servidores de comando y control para obtener instrucciones. Las redes de bots, o colecciones de computadoras comprometidas, comúnmente envían spam, pero también pueden llevar a cabo ataques a otros sistemas informáticos o realizar otras tareas asignadas por las organizaciones que las controlan (ver Forajidos de Moore).
En septiembre, la Oficina de Responsabilidad del Gobierno emitió un reporte advirtió que los dispositivos médicos computarizados podrían ser vulnerables a la piratería, lo que representa una amenaza para la seguridad, y solicitó a la FDA que aborde el problema. El informe de la GAO se centró principalmente en la amenaza a dos tipos de dispositivos inalámbricos implantados: desfibriladores implantados y bombas de insulina. La vulnerabilidad de estos dispositivos ha recibido una amplia atención de la prensa (consulte Seguridad personal y Mantener los marcapasos a salvo de los piratas informáticos), pero no se han informado ataques reales contra ellos.
Fu, líder en la investigación de los riesgos descritos en el informe de la GAO, dijo que esas dos clases de dispositivos son una gota en el cubo: miles de otros dispositivos conectados a la red que se utilizan para la atención del paciente también son vulnerables a las infecciones. Estos son dispositivos que salvan vidas. Los pacientes están abrumadoramente más seguros con ellos que sin ellos. Pero se están mostrando grietas, dijo. (Fu era Technology Review's Innovador del año en 2009.)
Los problemas de malware en los dispositivos hospitalarios rara vez se informan a los reguladores estatales o federales, dijeron Olson y Fu. Esto se debe en parte a que los hospitales creen que tienen pocos recursos. A pesar de la FDA Orientación emitida en 2009 para hospitales y fabricantes. — Animándolos a trabajar juntos y haciendo hincapié en que la eliminación de los riesgos de seguridad no siempre requiere una revisión regulatoria — muchos fabricantes interpretan la letra pequeña de otras formas y no ofrecen actualizaciones, dice Fu. Y tal informe no es necesario a menos que un paciente sufra daños. Tal vez eso sea un error de nuestra parte, que no estamos tratando de aumentar la visibilidad de la amenaza, dijo Olson. Pero creo que todos sentimos que la amenaza aumenta cada vez más.
Al hablar en la reunión, Brian Fitzgerald, subdirector de la FDA, dijo que al visitar hospitales de todo el país, descubrió que los problemas de Beth Israel son ampliamente compartidos. Este es un perfil muy común, dijo. La FDA ahora está revisando su postura reguladora sobre software, dijo Fitzgerald al panel. Este tendrá que ser un proceso gradual, porque implica cambiar la cultura, cambiar la tecnología, incorporar nuevo personal y hacer un abordaje sistemático de esto, dijo.
En una entrevista el lunes, Tam Woodrum, ejecutivo de software del fabricante de dispositivos GE Healthcare, dijo que los fabricantes se encuentran en una situación difícil y que los problemas se amplifican a medida que los hospitales esperan cada vez más interconexiones. Añadió que a pesar de la guía de la FDA de 2009, las regulaciones dificultan la realización de cambios en el sistema: para volver atrás y actualizar el sistema operativo, con software actualizado para ejecutar en la próxima versión, es un proceso reglamentario oneroso.
Olson dijo que, en su experiencia, GE Healthcare ofrece parches de software y orientación para mantener los dispositivos seguros, pero que no todos los fabricantes tienen la misma postura. Agregó que los dispositivos menos protegidos se han colocado detrás de firewalls. Pero hacer eso con todo el equipo controlado por software de un hospital requeriría más de 200 cortafuegos, una perspectiva inviable, dijo.
John Halamka , CIO de Beth Israel y profesor de la Escuela de Medicina de Harvard, dijo que comenzó a pedir ayuda a los fabricantes para aislar sus dispositivos de las redes después de que surgieron problemas en 2009: el gusano Conficker causó problemas con una estación de trabajo de atención obstétrica de Philips, una estación de trabajo de radiología de GE y aplicaciones médicas que no se pudieron parchear debido a restricciones [regulatorias]. Dijo: Nadie resultó herido, pero tuvimos que apagar los sistemas, limpiarlos y luego aislarlos de Internet / red local.
Añadió: Muchos CTO no saben cómo proteger sus propios productos con firewalls restrictivos. Todos dijeron que están trabajando para mejorar la seguridad, pero aún no han producido las mejoras necesarias.
Fu dice que los dispositivos médicos deben dejar de usar sistemas operativos inseguros y no compatibles. Más hospitales y fabricantes deben hablar sobre la importancia de la seguridad de los dispositivos médicos, dijo después de la reunión. Los ejecutivos de algunos fabricantes líderes están comenzando a dedicar recursos de ingeniería para lograr la seguridad adecuada, pero existen miles de dispositivos médicos basados en software.