Ciberseguridad vs. recuperación ante desastres: Cómo se preparan los sistemas de salud para lo peor
Todo empezó con una factura falsa.
Durante la pandemia de COVID-19, gran parte del personal no clínico de la Red de Salud de la Universidad de Vermont pasó al teletrabajo. La hija de una empleada recibió un correo electrónico que creía provenía de la asociación de propietarios. Al no poder abrir el archivo adjunto, se lo reenvió a su madre, quien lo abrió en su ordenador del trabajo y posteriormente se conectó a la VPN del sistema de salud.
Así, sin más, la organización quedó expuesta al ransomware .
“No tienes la oportunidad de verlo en todos los sistemas e intentar detenerlo”, dice el CISO Nate Couture. “Simplemente, todos fallan. Tuvimos 1300 servidores fuera de línea en un lapso de 15 minutos”.
Incidentes como el ataque de ransomware de octubre de 2020 contra uno de los sistemas de salud más grandes de Vermont obligan a los líderes de TI a afrontar la diferencia entre la recuperación cibernética y la recuperación ante desastres. Los planes tradicionales de recuperación ante desastres presuponen que las organizaciones pueden restaurar rápidamente los sistemas a partir de las copias de seguridad y reanudar sus operaciones. Sin embargo, los incidentes cibernéticos requieren un enfoque fundamentalmente diferente, ya que las organizaciones sanitarias a veces utilizan sistemas temporales durante semanas mientras reconstruyen sus entornos.
“La recuperación ante desastres tradicional implica volver a la normalidad tras incidentes físicos y ambientales”, afirma Lee Kim, director sénior de ciberseguridad y privacidad en HIMSS . “ La recuperación ante incidentes cibernéticos implica volver a la normalidad tras incidentes de ciberseguridad. Estos son elementos intangibles que normalmente no están a nuestro alcance a menos que los busquemos. Cuando los descubrimos, suele ser en una etapa posterior, después de que se hayan exfiltrado datos o se hayan producido otros daños”.
El ataque a la Red de Salud de la Universidad de Vermont expuso una deficiencia crítica, y extremadamente común, en la estrategia de preparación. Si bien el sistema de salud contaba con procedimientos para tiempos de inactividad por problemas informáticos rutinarios, dichos planes estaban diseñados para adaptarse a interrupciones que duraban solo unas horas, o incluso días. Sin embargo, con el sistema de historiales médicos electrónicos Epic de la organización fuera de servicio durante cuatro semanas, las soluciones alternativas en papel pronto resultaron insuficientes.
“Hay ciertos servicios clínicos donde simplemente no existe un plan de tiempo de inactividad”, dice Couture. “Se pueden registrar los pacientes en papel y se puede brindar gran parte de la atención ambulatoria habitual y la atención en urgencias sin mucha tecnología. Pero no se puede realizar oncología radioterápica sin la tecnología que la respalda”.
En un incidente típico de recuperación ante desastres , la organización simplemente habría suspendido el tratamiento de oncología radioterápica hasta que los sistemas volvieran a estar en línea, posponiendo algunas citas en el proceso. Sin embargo, con sistemas inactivos durante semanas, esto habría representado una interrupción inaceptable en la atención médica. Por ello, Couture y su equipo construyeron un entorno provisional aislado que permitió que los tratamientos oncológicos continuaran, incluso mientras los equipos de TI se apresuraban a completar el análisis forense y la restauración. También implementaron una versión sin conexión del historial clínico electrónico (HCE) del sistema de salud, conectada directamente a algunas computadoras de escritorio e impresoras, y utilizaron la configuración para enviar impresiones de los datos de los pacientes a los médicos.
Además de restaurar los sistemas, el hospital tuvo que reemplazar 5500 endpoints comprometidos e implementar nuevas herramientas de seguridad en medio de la crisis. La respuesta incluyó la implementación de la plataforma Falcon EDR de CrowdStrike , la migración a las copias de seguridad inmutables de Rubrik y la colaboración con Zscaler para obtener visibilidad de seguridad en la nube cuando fallaban las herramientas locales.
Las nuevas soluciones, dice Couture, colocan al sistema de salud en una mejor posición para prevenir un ataque repetido y para recuperarse más rápidamente si ocurre uno.
"Estamos en una pelea donde nunca podrás devolver los golpes", dice. "Tu trabajo es intentar no ser golpeado, ser capaz de aguantar un golpe si te golpean y levantarte de la lona si te derriban".
Desde 2018, Memorial Hermann Health System en Houston ha realizado periódicamente ejercicios de ransomware para evaluar cómo la organización continuaría brindando atención a los pacientes si un ataque dejara los sistemas inactivos durante un período prolongado.
“La primera vez que hicimos esto, reunimos a nuestros equipos de liderazgo ejecutivo y a representantes de operaciones clínicas”, dice el CISO Randy Yates. “Nos preguntamos qué pasaría si sufriéramos un ataque y no pudieran usar ciertos sistemas informáticos: '¿Qué pasaría si esto desapareciera, si no se pudiera imprimir, si no se pudiera escanear?'”
Yates y su equipo sintieron que era necesario desarrollar herramientas y procesos de resiliencia cibernética que ayudaran a los equipos clínicos y operativos a seguir haciendo su trabajo, incluso si la red fallaba durante días o semanas.
La práctica hace al maestro en la ciberresilienciaAdam Lee, director de gestión de emergencias y resiliencia organizacional en Memorial Hermann, lideró un esfuerzo de dos años para mapear procesos críticos en todos los departamentos, identificando lo que cada área necesitaba para mantener las operaciones durante 30 días en lugar de solo unas pocas horas.
El sistema de salud también comenzó a realizar ejercicios técnicos de equipo rojo/equipo azul , donde terceros intentan ataques controlados para probar las capacidades de monitoreo. Estos ejercicios ayudaron a aclarar qué podía hacer la organización para mejorar la ciberresiliencia después de un ataque .
“A veces, se trata de aprovechar mejor las herramientas que tenemos”, dice Yates. “Pero nos dimos cuenta de que, en algunos casos, necesitábamos nuevas capacidades”.
healthtechmagazine
