La seguridad y la salud
"In the Future, Wearables Will Meld with Your Skin. Yes, eventually, you'll basically have an electronic tattoo" .
Brent Rose, Feb-2016[i]
La seguridad y el buen servicio [al paciente] ¿están reñidos?
Según un informe publicado por Raytheon-Websense -ahora Forcepoint- en septiembre de 2015, y del cual da cuenta DarkReading[ii], los centros de salud tienen dos veces más probabilidades de sufrir un robo de datos que otros sectores.
Y en el mismo artículo se puede leer que los profesionales de la salud tienen una tendencia cada vez mayor a tratar de saltarse las normas de seguridad con el fin, según ellos, de dar un mejor servicio a sus pacientes.
Según Mike Orcutt en un artículo[ii] del 18 de febrero pasado, los hospitales están siendo [ciber]atacados más frecuentemente por varias razones.
La primera, la creciente digitalización de estas organizaciones, y con ello, la de los datos de sus pacientes, que incluyen información personal que puede alcanzar un alto precio en el mercado negro.
La segunda, la seguridad de los datos en estas organizaciones no se prioriza al mismo nivel que el propio cuidado de la salud. Como consecuencia, frecuentemente los sistemas están desactualizados o carecen del mantenimiento apropiado. Además, la urgencia del acceso a los datos en situaciones críticas para la salud del paciente favorece el incumplimiento de las medidas de seguridad.
Pero la falta de seguridad ¿no irá en contra del objetivo de dar un mejor servicio al cliente o de un acceso inmediato a los datos? ¿Acaso la seguridad de la información no busca precisamente proteger los datos de miradas no autorizadas, asegurando su disponibilidad y salvaguardando su integridad? ¿No garantizaría eso un mejor servicio?
El que no se respete estrictamente una política de seguridad, resulta, cuanto menos, llamativo, habida cuenta de la información sensible que albergan los servidores informáticos de los centros sanitarios. Información relativa al estado de salud de los pacientes, a sus tratamientos y pruebas médicas; e incluso a su ADN (enfermedades hereditarias, etc.).
Yendo a casos concretos, en julio de 2014 la empresa Community Health Systems, Inc., -que gestiona 207 hospitales en 29 estados de los EEUU-, informaba[iv] de que en abril y junio de ese año había sufrido el robo de registros de sus bases de datos, con información de carácter personal -nombre, fecha de nacimiento, número de teléfono y seguridad social- relativos a 4,5 millones de pacientes que habían pasado por los centros sanitarios del grupo en los últimos 5 años.
Sin duda, cabe pensar que ese grave compromiso de la seguridad de la compañía -particularmente, y como mínimo en su vertiente de la confidencialidad- ha podido verse afectado seriamente.
Un caso más reciente es el del Hollywood Presbyterian Medical Center de Los Angeles (EEUU)[v] que, a principios del pasado mes de febrero sufrió una pérdida de disponibilidad al ver cómo sus recursos de información quedaban inaccesibles como consecuencia de un ataque de ransomware.
El ransomware un tipo de ataque informático mediante el cual los delincuentes "secuestran" los equipos de la víctima, cifrando la información que contienen, que de ese modo, deja de estar disponible.
La información "secuestrada" sólo es liberada tras el pago de un rescate ("ransom", en inglés), que en el caso del centro médico mencionado ascendió a varios miles de dólares.
Aparte de la pérdida económica directa, las consecuencias de estos actos de chantaje van más allá. En este caso se produjo un "atasco" en el funcionamiento ordinario del hospital; hubo que proceder al traslado de algunos pacientes a otros hospitales; no se pudo acceder a los historiales médicos de los usuarios del centro; el servicio de correo-e quedó igualmente inutilizado, por lo que hubieron de recurrir a medios más convencionales (y anticuados, de la era pre-internet) como el papel y los faxes. Por otro lado, de la misma manera que los atacantes fueron capaces de infectar con un tipo de código dañino los servidores de la institución, cabe la sospecha de que podrían haber introducido otro tipo de código para hacerse con información del hospital y con claves de acceso y credenciales de los usuarios de sus sistemas.
Según Orcutt citado anteriormente, la urgencia del acceso a los datos en situaciones críticas para la salud del paciente es tan importante que favorece el incumplimiento de las medidas de seguridad, lo que viene a ser un contrasentido ya que esta falta de seguridad puede provocar, como se ha visto, una ralentización en los servicios y una falta de disponibilidad de esa información a la que tan urgentemente se necesitaba acceder.
Si los sistemas se bloquean y no se tiene acceso, en primer lugar se causará un gran perjuicio al no poder decidir de forma inmediata qué acción tomar para un paciente en particular; o al no disponer de su historial para realizar un adecuado diagnóstico, o no poder aconsejar un tratamiento.
Por otra parte, si personas o procesos no autorizados pueden acceder a la información quizá puedan también modificarla, por error o de manera intencionada para producir un daño, con lo que la integridad de la información quedará comprometida. Si no se cumple el principio de integridad, los datos no son fiables, y no se puede estar seguro de la bondad de un diagnóstico o de un tratamiento a seguir.
Si no se puede asegurar la confidencialidad de la información, con el perjuicio que puede ocasionar; si la disponibilidad de la información se ve comprometida al igual que su integridad, todo ello está totalmente en contra de ofrecer un buen servicio al cliente, como en los dos casos expuestos, en los que los daños o perjuicios al paciente han sido el resultado de los fallos de seguridad.
Los datos asociados a la salud tienen mucha importancia, ya que están intrínsecamente unidos a la persona. Esto tiene, entre otras, estas dos graves consecuencias:
- La primera, cuando se roban datos relacionados con la salud, la persona a la que pertenecen desafortunadamente no los puede cambiar por otros, con el fin de "desactivar" la importancia de ellos y no sufrir perjuicio. Esto se puede conseguir, por ejemplo, con el robo de una contraseña, de las llaves de casa o cualquier otro cosa no intrínsecamente ligada a la persona.
- La segunda, no se sabe, a priori, quién va a disponer de esos datos, ni la forma ni el momento en que pueden hacer uso de ellos, hasta que se materializa; no se puede prever el daño, como con una cuenta bancaria, cuyo fin es el robo de dinero. La seguridad es fundamental ya que puede afectar muy seria y directamente a nuestra vida y para siempre.
Móviles, apps y wearables
Las cosas podrían empeorar previo a una mejora ya que cada vez más los hospitales añaden más dispositivos conectados a sus redes, lo que potencialmente crea más formas en que los hackers puedan entrar.
Un ejemplo de esto son los cada vez más utilizados dispositivos móviles con aplicaciones tanto para los profesionales de los centros de salud, como de los ciudadanos para acceder a sus datos o solicitar servicios de estos. A esto hay que añadir aquellas que tienen como función la monitorización del estado de algunos indicadores de salud, como el pulso o el ritmo cardíaco.
Una aplicación[vi] para móvil desarrollada por una spinoff del MIT, junto con un equipo del Massachusetts General Hospital, recoge de qué humor está la persona que habla, utilizando patrones de voz para detectar emociones. Es una forma de recoger cambios de humor para poder hacer un seguimiento de personas con depresión o con trastornos bipolares.
Los dispositivos que se llevan puestos -wearables- y que están conectados a Internet, pueden dar información acerca de la salud de la persona que lo lleve, y estos datos pueden transmitirse a un centro de salud. Esto simplifica un seguimiento continuo de la evolución de parámetros de salud, facilitando la prevención de algún problema o enfermedad, a la par que favorece una más rápida atención médica a través de consejos sobre lo que hacer en caso de algún problema o mediante la presencia de personal, si fuera necesario.
Parte de la cita del comienzo es el título de un artículo[vii] donde se informa de que la empresa "mc10" ha creado un producto llamado "BioStamp Research Connect". Este es una especie de tirita un poco gruesa que se ajusta perfectamente a cualquier parte del cuerpo y que lleva sensores para monitorizar el músculo dónde se coloque y también el corazón.
Las mediciones y datos médicos se recogen para, por una parte, monitorizar el estado de salud de una persona, como ya se ha indicado, y por otro, con grandes cantidades de datos acumulados de distintos centros y pacientes, servir a la investigación de las enfermedades, y a la creación de sistemas de ayuda para diagnóstico y tratamiento.
Un ejemplo es el programa lanzado por Google el pasado 24 de febrero llamado "DeepMind Health" en colaboración con hospitales como el Royal Free Hospital London, con el que Google ya ha trabajado para crear una app llamada "Streams" para el diagnóstico de daños en el riñón. Señalar que en la página web de este proyecto se hace una mención especial al compromiso de mantener la privacidad y confidencialidad de los datos de los pacientes.
Son evidentes las ventajas que esta tecnología aporta al bienestar de las personas, pero también se incurre en riesgos de seguridad de la información recogida y transmitida. En el caso de violación de la seguridad, afectaría directamente a la vida de dichas personas, pudiendo mermar y en muchos casos anular dichas ventajas.
El futuro: Robótica e IA
Mirando hacia el futuro y uniendo la Robótica con la Inteligencia Artificial, se podrá disponer, entre otras cosas, de asistencia médica remota, sustituir en muchos casos la presencia de un médico por un robot, el cual tendrá acceso al historial del paciente y a una cantidad ingente de datos e información con los que poder hacer un diagnóstico y recomendar un tratamiento. Como la plataforma RP-VITA -Remote Presence Virtual + Independent Telemedicine Assistant-, una colaboración entre iRobot e InTouch Health.
Como contrapunto, el 25 de abril de 2015 Gizmodo se hizo eco de que investigadores de la Universidad de Washington en Seattle acababan de 'hackear' un robot quirúrgico para intervenciones a distancia -'tele-intervenciones"-, demostrando una gran debilidad de la seguridad en máquinas, las cuales, finalmente, reemplazarán a las manos de los cirujanos en los hospitales de todo el mundo.
* *
La seguridad de la información y de las máquinas y dispositivos que recogen, transmiten, manipulan y consultan dicha información relacionada con la salud, y que pueden actuar en base a ella, ya no es una opción, es cuestión de vida o muerte.
* * *
Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril-2016, nº 310, pg.46, Ciberseguridad – "La seguridad y la salud" – María José de la Calle.
---------------------------------
[i] Rose, Brent (February, 8, 2016) "In the Future, Wearables Will Meld with Your Skin". Outside. url [a 28-02-2016] http://www.outsideonline.com/2053326/future-wearables-will-meld-your-skin
[ii] Peters, Sara (September, 23, 2015) "Healthcare Organizations Twice As Likely To Experience Data Theft". DarkReading. url [a 28-02-2016] http://www.darkreading.com/risk/healthcare-organizations-twice-as-likely-to-experience-data-theft/d/d-id/1322312?_mc=sm_dr_editor_kellyjacksonhiggins&hootPostID=94d701cec4475551b0b4e78bdcfda408
[iii] Ocutt, Mike (February, 18, 2016) "Hollywood Hospital’s Run-In with Ransomware Is Part of an Alarming Trend in Cybercrime". MIT Technology Review. url [a 28-02-2016] https://www.technologyreview.com/s/600838/hollywood-hospitals-run-in-with-ransomware-is-part-of-an-alarming-trend-in-cybercrime/
[iv] United States Securities and Exchange Commission (August, 8, 2014). url [a 22-02-2014] http://www.sec.gov/Archives/edgar/data/1108109/000119312514312504/d776541d8k.htm
[v] Simonite, Tom (February, 16, 2016) "Hospital Forced Back to Pre-Computer Era Shows the Power of Ransomware". MIT Technology Review. url [a 22-02-2016] https://www.technologyreview.com/s/600817/hospital-forced-back-to-pre-computer-era-shows-the-power-of-ransomware/#/set/id/600825/
[vi] Monegain, Bernie (February 24, 2016) "Mass General Hospital teams with MIT spinoff Cogito on behavioral health analyzer". HealthcareITNews. url [a 28-02-2016] http://www.healthcareitnews.com/news/mass-general-hospital-teams-mit-spinoff-cogito-behavioral-health-analyzer
[vii] Ver nota [i]
Comments (0)