Una nueva investigación de Armis descubre puntos ciegos en la seguridad de los activos conectados en los centros y hospitales del National Health Service del Reino Unido

Armis, la empresa líder en visibilidad y seguridad de activos, ha publicado hoy los datos de una solicitud de libertad de información (FOI) a los consorcios del Servicio Nacional de Salud del Reino Unido (NHS). Los resultados de la investigación ponen de manifiesto los retos a los que se enfrentan los centros del NHS debido a la falta de visibilidad y supervisión de todos los activos conectados en su entorno, así como el aumento de los requisitos de cumplimiento, que están luchando por cumplir.

"La introducción de activos conectados en la atención sanitaria está impulsando la innovación y, en última instancia, mejorando la prestación de asistencia. Sin embargo, su adopción ha ampliado la superficie de ataque que ahora necesita más supervisión que nunca. Específicamente para los dispositivos médicos conectados (IoMT), que son difíciles de mantener actualizados, poder supervisarlos y comprender su comportamiento y riesgo en tiempo real es clave para garantizar la seguridad y cumplir con las últimas regulaciones", dijo Mohammad Waqas, Arquitecto Principal de Soluciones de Armis. "La información en tiempo real sobre todo lo conectado en el entorno de un fideicomiso, incluso los activos de terceros, es clave para establecer una estrategia de seguridad resistente y reducir proactivamente la superficie de ataque".

Aunque el 35% de los centros del NHS declaran disponer de un sistema automatizado para realizar un seguimiento de todos los activos conectados y el 59% afirman que actualizan la información sobre todos los activos a medida que se producen cambios, siguen existiendo puntos ciegos para reducir eficazmente el riesgo y garantizar el cumplimiento de las directivas y normativas del NHS:

- Dispositivos médicos conectados (IoMT): El quince por ciento de los centros del SNS encuestados reconoce que no realiza un seguimiento de los dispositivos IoMT y uno de cada cinco afirma que utiliza procesos manuales u hojas de cálculo para realizar el seguimiento de estos activos. Otro 19% de los encuestados reconoce que la información sobre dispositivos médicos conectados en su sistema de inventario no se actualiza en absoluto o solo se actualiza anualmente.

- Internet de las cosas (IoT): Un tercio de las fundaciones encuestadas admitió no tener ningún método de seguimiento de los dispositivos IoT y el 10% dijo que utiliza procesos manuales u hojas de cálculo para hacerlo. Otro 18% de los encuestados reconoce que la información sobre dispositivos IoT en su sistema de inventario no se actualiza en absoluto o sólo se actualiza anualmente.

- Tecnología operativa (OT): El 10% de los encuestados reconoce que no realiza un seguimiento de los dispositivos OT en su entorno y el 17% afirma que utiliza procesos manuales u hojas de cálculo para realizar un seguimiento de su inventario OT. Otro nueve por ciento de los encuestados afirmó que no actualiza la información de los dispositivos OT de su inventario en absoluto o que lo hace anualmente.

Estos puntos ciegos no sólo podrían convertirse en el catalizador de un ataque, sino que también añaden dificultades a los retos de cumplimiento de la normativa para los consorcios del NHS. Cumplir las exigencias normativas empieza por saber lo que hay en la red, lo cual, sin una automatización adecuada, puede ser una tarea pesada para un NHS con escasez de recursos.

El 38% de los encuestados admitió que no dispone de personal suficiente para hacer frente a las exigencias que se le plantean, y uno de cada cinco (23%) afirmó que no dispone de recursos suficientes para sustituir los dispositivos médicos heredados o no compatibles.

A la hora de llevar a cabo las evaluaciones del kit de herramientas de protección de la seguridad de los datos (DSPT), los centros señalan que la principal dificultad es la recopilación de pruebas. Y, aunque la mayoría de los centros (82%) pueden responder a las ciberalertas del NHS en el plazo de 48 horas, tienen dificultades para solucionar los problemas en el plazo obligatorio de dos semanas, con problemas para organizar el tiempo de inactividad, el impacto en la actividad habitual y la aplicación de parches.

"Aunque el NHS está trabajando duro, la investigación muestra que todavía hay lagunas cruciales que deben llenarse cuando se trata de abordar la visibilidad, la automatización de procesos y la satisfacción de los requisitos de cumplimiento. Para colmar esas lagunas y mejorar la eficacia operativa de los centros del NHS, permitiendo que el personal se centre en las funciones básicas y facilitando información sobre inteligencia de amenazas y utilización de dispositivos clínicos, es necesario contar con los socios tecnológicos adecuados para resolver múltiples casos de uso y colmar las lagunas tecnológicas", concluye Waqas.

Una investigación reciente de Armis identificó los principales dispositivos médicos conectados que suponían un alto riesgo para los entornos clínicos como los sistemas de llamada a enfermeras, las bombas de infusión y los sistemas de dispensación de medicación. (Armis)