Aunque el NHS ha avanzado a pasos agigantados en términos de seguridad cibernética desde el incidente de WannaCry en 2017, las complejidades de cumplimiento y administración de dispositivos siguen creando brechas de seguridad significativas y potencialmente críticas, según los resultados de una serie de solicitudes de libertad de información (FoI). por Armis, especialista en visibilidad y gestión de activos.
De más de 80 Fideicomisos del NHS en todo el país que respondieron a las preguntas de la empresa, el 14% de los encuestados no pudo demostrar el cumplimiento con el Kit de herramientas de protección y seguridad de datos (DSPT) del servicio de salud, el 46% no cumplió con el National Cyber El esquema Cyber Essentials de Security Centre, y el 62% no cumplió con Cyber Essentials Plus.
Además, el 37% no cumplió con la Directiva de seguridad de la información y redes de la UE (NIS) y más de dos tercios (67%) de los Fideicomisos del NHS no cumplieron con la norma ISO27001.
Aunque la gran mayoría (85%) de los Fideicomisos del NHS pudieron identificar todos los dispositivos, incluidos los médicos, en sus redes, el 41% no tenía un registro de riesgos en tiempo real relacionado con esos activos, y poco menos de un tercio no identificó ni monitoreó Dispositivos médicos utilizados para la gestión remota de pacientes, lo que es motivo de preocupación a la luz de los aumentos de gasto previstos en dispositivos sanitarios conectados.
“NHS Trusts está haciendo todo lo posible ante algunos desafíos extraordinarios, pero desafortunadamente la lista de desafíos sigue aumentando”, dijo Conor Coughlan, gerente general para Europa, Medio Oriente y África (EMEA) en Armis.
“El papel de la tecnología es obviamente crítico, sin embargo, sus vulnerabilidades también han sido expuestas por malos actores sin escrúpulos que, lamentablemente, creen que la focalización en los servicios de salud es aceptable. Desde WannaCry en 2017 hasta los recientes ataques de ransomware en Irlanda, la necesidad de defender los sistemas y dispositivos en los hospitales es evidente.
“Como IoMT [the internet of medical things] prolifera, ganar visibilidad y comprensión de estos dispositivos es primordial porque sin tecnología especializada, la visibilidad de las propiedades de los dispositivos puede ser tan baja como el 60% ”, dijo Coughlan.
Parcheado sin hilos
La serie de solicitudes de FoI realizadas por Armis encontró más brechas de seguridad alrededor de dispositivos médicos críticos que ejecutan software desactualizado o no compatible.
De esos fideicomisos que no retuvieron sus respuestas, solo el 37% pudo decir que ninguno de sus dispositivos médicos se ejecuta en software al final de su vida útil o sin soporte, mientras que el 16% dijo que estaba ejecutando una décima parte de su patrimonio en código antiguo. .
Sin embargo, lo más alentador es que alrededor de un tercio de los encuestados entendió la necesidad de mantener su botiquín médico separado de la red organizativa principal, y un número similar dijo que la mayoría de sus dispositivos médicos estaban separados, aunque esto deja cerca del 30% que no segrega. nada de eso: un riesgo masivo que deja la puerta abierta a un ataque cibernético que podría resultar en muertes.
“La administración de dispositivos puede ser una tarea compleja y, por lo tanto, se convierte en una cuestión de contexto y de la capacidad de aceptar con confianza algunos riesgos. La clave aquí es que los administradores de sistemas tengan toda la información sobre dispositivos, amenazas conocidas y dónde se encuentran en sus ciclos de vida de soporte para poder hacer estos juicios rápidos y remediar problemas rápidamente ”, dijo Sumit Sehgal, director de marketing de productos estratégicos de Armis.
“Tener este nivel de conocimiento, asignado a sus requisitos de cumplimiento, ayudará a que NHS Trusts esté en la mejor posición para defenderse contra un telón de fondo de aumento de dispositivos médicos y atacantes que esperan explotarlos”.
Computer Weekly se puso en contacto con NHS Digital para comentar sobre este artículo, pero la organización no había respondido en el momento de la publicación.