_!NotPinkConfDISPOSITIVOS HEALTHCARE EN PELIGRO

ATAQUES Y PROTECCIONES//

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_BA-CSIRT | CENTRO DE CIBERSEGURIDADSOBRE NOSOTROS

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_LA SANIDAD - AYER Y HOYMEJORAS CON TIs

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_CIBERSEGURIDAD EN LOS HOSPITALESSITUACIÓN ACTUAL

Las consecuencias de un ciberataque:• Robo o la filtración de información

• Riesgos relacionados con la práctica clínica y operacional

• Graves consecuencias económicas, de reputación e incalculables riesgos en relación con la atención sanitaria y

seguridad de los pacientes.

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_DISPOSITIVOS DE SALUD Y CIBERSEGURIDADNOTICIAS

_MARCAPASOS EN LA MIRARIESGOS Y RECOMENDACIONES

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_CONCEPTOSQUÉ ES, OBJETIVOS Y TIPOS

• Pequeño dispositivo alojado en el pecho o en el abdomen que ayuda a controlar los ritmosanormales del corazón.

• Utiliza impulsos eléctricos para hacer que el corazón lata con un ritmo normal.

• Mantiene el corazón latiendo y así, la vida del paciente.

Tipos:1. Transcutáneos y Transvenosos: no son permanentes y no se implantan.2. Implantables: son los marcapasos para dar estímulos de baja energía.

Partes:1. Generador: contiene pila de litio y la información

para controlar el latido cardíaco2. Electrodos: cables que registran y estimulan el

corazón

Monitor doméstico de marcapasos

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_BENEFICIOSPARA EL PACIENTE

Aumentar o disminuir el ritmo

cardíaco.

Controlar ritmos que son anormales

o demasiados rápidos.

Asegurar que los ventrículos se contraen con normalidad.

Facilitar que la sangre se coagule, para no generar

coagulo y se de un infarto cerebral.

Mejorar la expectativa de

vida del paciente.

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_HACKING EN LOS MARCAPASOSATAQUES

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_RIESGOSPARA EL PACIENTE

Los beneficios sobrepasan los riesgos. Pero, ¿podemos confiar plenamente en ellos?

Ataque “Man In The Middle” debido a:

1. No hay conexión cifrada (HTTPS): veo toda la conexión. Se puede modificar desde el equipo e instalar un malware.

2. El firmware al no estar firmado digitalmente, permite su modificación sin restricciones.

3. Los dispositivos al conectarse a través de conexiones inalámbricas que, de acuerdo a su diseño, son intrínsecamente inseguras (no hace falta acceso físico al medio para poder conectarse al equipo)

4. Manipular el estímulo de naturaleza eléctrica desde el equipo médico al marcapaso, enviando señales equivocadas al corazón.

Fuente: Investigación Billy Ríos y Jonathan Butts, Black Hat 2018, Marcapasos “Medtronic”, Programador “CareLink 2090”

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_NORMASSEGURIDAD DE LA INFORMACIÓN

Gestión de la calidad en dispositivos médicos.

Seguridad de la Información en el sector de salud.

Disposición ANMAT 2318/02 – Reglamento Técnico Mercosur de Registro de Productos Médicos.

ISO/IEC 27799

ISO 14971

Gestión de Riesgos de productos de la salud (determinar la seguridad de un producto sanitario por parte del fabricante durante todo el ciclo de vida del producto).

Ley de Responsabilidad y Transferibilidad de Seguros Médicos (Health InsurancePortability and Accountability Act) para cumplir con la garantía administrativas, técnicas y físicas necesarias para proteger la privacidad de la información de los clientes y mantener la integridad de los datos de los empleados, los clientes y los accionistas

Agencia del gobierno de los EEUU responsable de la regulación de alimentos, medicamentos, cosméticos, aparatos médicos, productos biológicos y derivados sanguíneo.

Disposiciones:• 93/42/ECC Medicos (DDM)• 98/79/EEC Diagnostico In-Vitro (DIV)• 90/385/EEC Implantables Activos (DIA).

_

DISPOSITIVOS HEALTHCARE EN PELIGROATAQUES Y PROTECCIONES

_DESAFÍOS EN LA SALUDPARA QUE NO EXPLOTE EL CORAZÓN

Concientizar en ciberseguridad al personal médico y administrativo de los hospitales.

Generar regulaciones a nivel país en materia de Seguridad, destinadas a proteger la información empleada por los dispositivos médicos.

Los fabricantes son responsables de garantizar que sus equipos cumplan con las pautas establecidas en el punto anterior.

Personal de TI tiene una doble función: investigar y mitigar los incidentes de ciberataque, así como proporcionar servicios generales de TI al hospital.

_Florencia Vilardel

@flor_vilardel