La despiden por transferir datos privados de clínica a su correo

agosto 17, 2013 § Deja un comentario

Una empleada de la Clínica Rocky Mountain Spine, en Colorado, fue despedida por enviar a su correo electrónico personal Información de Salud Protegida (PHI, por sus siglas en inglés) de los pacientes, en un acto que hizo que la mujer perdiera su trabajo la semana pasada.

De acuerdo con The Denver Post, la responsable argumentó que tomó el documento; que incluye el nombre, la información de compañías de seguro y datos sobre las cirugías realizadas a 532 pacientes, porque consideró que podría trabajar desde casa.

En respuesta a su acción se presentó un informe ante el Departamento de Policía de la ciudad de Lone Tree y se enviaron cartas a los pacientes afectados para explicar lo sucedido. Asimismo, la clínica contrató a un especialista forense para que examinase el equipo usado por la exempleada, así como la cuenta de correo.

“En realidad no creo que tuviera intención de hacer mal uso del mail, solo fue una mala decisión”, dijo una colaboradora de Rocky Mountain Spine, Joanna Smith, quien añadió que probablemente “ella pensó que podía trabajar desde casa”.

El informe del caso indica que la acusada, que laboraba en el Departamento de Facturación, creó un compendio de información antes de mandar los datos a su cuenta. Posteriormente, el área de TI de la clínica identificó el envío y procedió con la investigación.

Finalmente se llegó a la conclusión de que ni el equipo ni el correo electrónico contenían datos que pudieran poner en riesgo la privacidad tanto del hospital como de las personas involucradas, por lo que no se presentaron cargos.

Fuente: bSecure

Anuncios

Seguridad en dispositivos médicos: un asunto pendiente

junio 17, 2013 § Deja un comentario

No podemos negar que los avances médicos experimentados en las últimas décadas han tenido una conexión directa con el, cada vez más extendido, uso de la tecnología en los tratamientos y prevención de enfermedades. Desde hace años venimos usando todo tipo de dispositivos como marcapasos, órganos artificiales y prótesis de todo tipo, algo que ha mejorado notablemente nuestra calidad de vida y que abre todo un mundo de posibilidades según avanza la tecnología.

Hoy en día no es extraño ver prótesis que reaccionan a los estímulos nerviosos del paciente y que incluso permiten controlar dispositivos mecánicos con la mente o recuperar parcialmente la visión a personas ciegas. Este es un campo donde cada año vemos avances importantes y que seguro que nos depara aún muchas sorpresas.

No obstante, si no se tienen en cuenta algunos factores, este uso de la tecnología en el sector médico puede incluir una serie de riesgos que hasta ahora no habrían sido contemplados. Es por ello que la Administración de Alimentos y Medicamentos (FDA) de los Estados Unidos ha lanzado un aviso donde indica que muchos de los dispositivos médicos usados a diario como desfibriladores, pantallas de monitorización de pacientes y dispositivos de anestesia contienen vulnerabilidades a la hora de acceder a ellos que podrían ser aprovechados por un atacante.

Este tipo de vulnerabilidades afectan a unos 300 dispositivos médicos de aproximadamente 40 fabricantes según dos informes que han sido publicados simultáneamente tanto por la FDA como por el Equipo de Respuesta de los Sistemas de Control Industrial (ICS-CERT).

Las agencias estadounidenses FDA (que regula productos farmacéuticos y alimenticios, entre otros) e ICS-CERT (relacionada con la seguridad de sistemas de control industriales y respuesta a incidentes) emitieron comunicados que afirman la presencia de una vulnerabilidad en alrededor de 300 dispositivos médicos, y cerca de 40 fabricantes distintos. La vulnerabilidad, causa principal del alerta ICS-ALERT-13-164-01, consiste en que gran parte de los dispositivos analizados poseen contraseñas por defecto embebidas en el código del controlador del dispositivo. Esto implica que, si bien puede establecerse una nueva contraseña que solamente sea conocida por personal autorizado, un tercero con conocimiento de las contraseñas por defecto podría lograr acceso privilegiado al dispositivo y poner en riesgo su funcionamiento y la integridad física del paciente. Si a esto se le suma otros puntos débiles como la comunicación en texto plano, la falta de autenticación, firmwares sin firma digital y una programación demasiado sencilla, se entiende la necesidad de emitir un alerta para instar a los fabricantes a mejorar estas características cuanto antes.

“Esta vulnerabilidad podría ser aprovechada para cambiar parámetros críticos o modificar el firmware de los dispositivos. ICS-CERT y FDA no tienen consciencia de que esta vulnerabilidad haya sido explotada ni de que algún paciente haya sufrido daños por este tipo de vulnerabilidades”.

Bueno, en la vida real puede que aún no tengamos conocimiento de ataques a ese tipo de dispositivos con la finalidad de causar daño a un paciente, pero las series de ficción ya se han encargado de hacerlos realidad. No tenemos más que echar un ojo a alguna de las series recientes de más éxito como Homeland y veremos cómo alguno de sus guionistas ya ha contemplado la posibilidad de un ataque a distancia y hacer que un marcapasos deje de funcionar (ojo, para quien no haya visto la segunda temporada hay un spoiler de los gordos).

Obviamente, en la práctica no resulta tan sencillo como conocer el número de serie del dispositivo que se desea atacar (y menos realizarlo a través de Internet desde miles de kilómetros de distancia). No obstante, existen precedentes como el que comentamos hace unos meses en este mismo blog, donde un investigador consiguió demostrar cómo podía alterar el funcionamiento de varios marcapasos en un área en concreto.

Tanto FDA como ICS-CERT se encuentran trabajando directamente con los fabricantes de estos dispositivos médicos para mitigar la amenaza. Esta vulnerabilidad afecta a la mayoría de fabricantes de estos dispositivos, según informe de Ars Technica. ICS-CERT sugirió que los hospitales “deberían tomar medidas para limitar el acceso a los dispositivos solamente a usuarios de confianza, especialmente en aquellos dispositivos encargados de mantener con vida a los pacientes o que puedan ser conectados directamente a la red de un hospital”.

Lo que está claro es que los avances tecnológicos aplicados a la medicina deberían contemplar entre sus características básicas la seguridad a la hora de acceder a ellos, evitando así accesos malintencionados que podrían poner en riesgo la vida del paciente.

Fuente: Protegerse

Cuando tu cuerpo sea tu contraseña

junio 5, 2013 § Deja un comentario

Los tatuajes estarán disponibles en todo tipo de formas.

Cada vez es más difícil contar con contraseñas lo suficientemente seguras como para no convertirse en el trofeo de algún pirata informático ávido de nuestros datos personales y, sobre todo, los bancarios.

Por este motivo el mundo de la tecnología persigue una solución que nos permita, entre otras cosas, pagar un café con el nuestro celular de forma segura y con una contraseña difícil de plagiar: nuestro propio cuerpo.

Al menos eso es lo que propuso recientemente la firma estadounidense propiedad de Google, Motorola, que entre otras cosas plantea el uso de un tatuaje identificador y una píldora que utiliza el organismo de quien la toma para transmitir una palabra clave.

La contraseña del futuro

Durante la última conferencia sobre tecnologías D11 que tuvo lugar en California, la compañía estadounidense presentó una serie de sistemas diseñados para una nueva generación de celulares inteligentes.

En ese evento Regina Dugan, quien fue la primera mujer en dirigir la agencia de proyectos avanzados del departamento estadounidense DARPA y hoy es vicepresidenta de proyectos avanzados de Motorola, habló de la necesidad de simplificar los sistemas de autentificación en los aparatos móviles.

Según explicó, el usuario medio debe introducir palabras claves una media de 39 veces al día, por lo que la solución estaría en técnicas más simples.

Una de ellas es un tatuaje electrónico que Dugan enseñó al público adherido a su propio brazo.

El sistema consiste en un sistema inhalámbrico equipado con sensores que según anunció estará a disposición en una gran variedad de diseños.

Los tatuajes fueron desarrollados por la firma con sede en Massachusetts MC10, y consisten en unos circuitos electrónicos flexibles que se adhieren a la piel del usuario gracias a un sello de goma.

De la medicina al consumo masivo


Las píldoras digitales fueron diseñadas para usarse en medicina.
Proponer el uso de este tipo de tatuajes no algo nuevo. En el pasado, la también empresa de telefonía Nokia expermientó con la idea de integrar tatuajes electrónicos con teléfonos móviles.

Otros de los métodos que presentó Dugan es otra tecnología inicialmente diseñada para el mundo de la medicina: la píldora digital.

En concreto la píldora Proteus Digital Health, aprobada por la Administración de Alimentos y fármacos de Estados Unidos, así como por las autoridades europeas en 2010.

Esta píldora se activa al entrar en contacto con los fluidos del estómago, iniciando así la emisión de una señal única que será detectada por los aparatos que transporte para verificar su identidad.

Motorola anunció que pretende comercializar en un futuro estas tecnologías, pero que esto no pasará todavía a corto plazo.

Así que por ahora no se ilusione, todavía tendrá que seguir memorizando todas esas constraseñas durante un buen tiempo.

Fuente: BBC

Roban información de 9.988 pacientes de clínica de anestesia

mayo 27, 2013 § Deja un comentario

La clínica Presbyterian Anesthesia Associates (PAA) reveló que un atacante tuvo acceso a información personal de 9.988 personas, por medio de una falla de seguridad en su sitio web, de acuerdo con un informe de Charlotte Observer.

Los datos expuestos incluían nombres, información de contacto, fechas de nacimiento y números de tarjetas de crédito. Sin embargo, de acuerdo con la clínica ningún tipo de información médica fue comprometida.

Presbyterian Anesthesia Associates notificó al FBI, que puso en marcha una investigación. La clínica también contrató a Identity Force, una firma de protección de robo de identidad para proporcionar monitoreo gratuito para los afectados.

Joseph Ducey, presidente de PAA, dijo a Wsoctv que la empresa E-dreamz donde se encontraba hospedado el sitio, le notificó acerca de la violación el 18 de abril y dijo que se había enterado del incidente el 16 de abril.

Según Ducey, la compañía le dijo que tomó medidas inmediatas para cerrar la brecha. Asimismo, aseguró que la información había quedado expuesta desde el 1 de abril. De igual forma, Ducey comentó que ese tipo de datos de tarjetas de crédito no deberían haber sido almacenados allí.

“Esta información normalmente se descarga con cierta frecuencia y no se mantiene en el sitio web”, dijo.

De acuerdo con el Departamento de Justicia de Carolina del Norte, el robo de datos por violaciones a sistemas se ha vuleto cada vez más común a partir de que las transacciones bancarias se hacen en línea. Más de 1,500 casos que involucran a 4.8 millones de personas en Carolina del Norte se han reportado desde 2005, aseguró el organismo.

Fuente: bSecure

94% de los hospitales sufren violaciones de datos

enero 4, 2013 § 1 comentario

¿Se protegen lo suficiente los registros de salud? No tanto.

Esa es el resultado al que llegó un estudio del Instituto Ponemon [PDF], que encuestó a 324 personas en 80 organizaciones de salud en los EE.UU. y encontró que el 75% no aseguraba los dispositivos médicos que contienen datos confidenciales de los pacientes, mientras que el 94% ha filtrado datos en los dos últimos años, sobre todo debido a negligencia del personal.

El estudio encontró que las tres principales causas de fugas de datos son la pérdida o robo de dispositivos, errores de los empleados y las “meteduras de pata” de terceros.

El precio de todas estas violaciones está aumentando. Ponemon calcula que el costo promedio de un incumplimiento llegaría a los U$D 2,4 millones en los pasados dos años.

Más hallazgos del informe:

  • 94% de las organizaciones tuvieron al menos una violación de los datos en los últimos dos años. El número promedio de cada organización participante tenía cuatro incidentes. El 45% tuvo más de cinco incidentes.
  • El número promedio de registros perdidos o robados por violación fue de 2.769. Los tipos de pérdida más frecuentes incluyeron los expedientes médicos y de facturación y los registros de seguros.
  • 52% descubrió la fuga de datos como resultado de una auditoría o evaluación y el 47% descubrió la fuga de datos a través de los empleados.
  • Más de la mitad (54%) de las organizaciones tienen poca o ninguna confianza de que su organización sea capaz de detectar cualquier pérdida de datos de los pacientes.
  • 81% de los empleados y personal médico tenía del permiso para utilizar sus propios dispositivos móviles en las redes de la organización. Sin embargo, el 54% de los encuestados dicen que no están seguros de que estos dispositivos móviles sean seguros.
  • 91% de los hospitales encuestados están utilizando servicios basados ​​en Cloud, y sin embargo el 47% no tienen confianza en la capacidad de mantener los datos seguros en la nube.
  • A pesar de los recientes ataques a dispositivos médicos, el 69% de los encuestados dicen que su organización no incluyen políticas de seguridad aprobadas por la Food and Drug Administration (FDA).

Según se desprende del estudio, “probablemente se piensa que la seguridad de la información y de los dispositivos simplemente no es trabajo de los médicos, y ellos creen que es responsabilidad del vendedor proteger esos dispositivos”. Incluso mecanismos tan importantes como bombas de insulina y los desfibriladores.

Fuente: Naked Security

Seguridad Informática para la eSalud

agosto 23, 2010 § Deja un comentario

Uno de los aspectos que más preocupa a organismos profesionales y administraciones sanitarias a la hora de implantar servicios de eSalud es el mantenimiento de la debida privacidad de los pacientes. Los doctores Casado (tanto monta, monta tanto) nos han enseñado que tener una consulta conectada a través de Twitter no tiene por qué causar ningún conflicto de mantenimiento de privacidad. Además para los pacientes puede aportar nuevos beneficios.

¿Qué pasa con los agujeros de seguridad?

Los fallos de seguridad en el sistema tienen en su mayor parte un origen humano. Ya sea en grandes hospitales, en pequeños consultorios o en consultas privadas lo que cuenta es el empeño que pongamos en proteger los datos. La mayor causa de agujeros de seguridad sobre los datos de pacientes es el robo de ordenadores y dispositivos portátiles que contengan datos sanitarios.

Criticar los fallos de seguridad de los sistemas de gestión de HCE o las TIC aplicadas a la Salud es fácil. Sin embargo la mayoría de las veces estos errores vienen dados por nuestra propia despreocupación y el desconocimiento que tenemos en general sobre cómo funcionan estas herramientas.

Prevenirlos, reducirlos y evitarlos parece ser menos costoso de lo que se esperaba; sólo hace falta un poco del menos común de los sentidos. Aplicar la lógica para no tener que derrochar millones en recuperar datos, indemnizar a los pacientes afectados, reparar daños en los sistemas, etc.

Según un análisis de HITRUST que incluyó 108 agujeros de seguridad notificados desde octubre de 2009 el coste asociado a los mismos podría ser de 843,3 millones de USD. Y lo más importante, más de 4 millones de pacientes se vieron afectados. Dato que sin duda aterraría a cualquier gestor sanitario y que además supone un coste añadido que no cualquier sistema sanitario desearía asumir.

Sin embargo un estudio de cada caso por separado mostró que el impacto potencial de cada fallo podría haberse mitigado o eliminado con la aplicación de medidas de seguridad más sencillas. Parece absurdo que cualquiera con una memoria usb pueda conectarse al ordenador de un centro sanitario y descargar información, sin embargo es algo frecuente.

¿Qué se puede hacer?

  • Encriptación de datos: en la mayoría de robos de material informático el problema principal es que estos datos eran de fácil acceso para cualquier persona sin excesivos conocimientos en la materia. Contraseñas poco seguras o datos sin encriptar son fáciles de erradicar a un coste nulo.
  • Control de equipos: un registro continuo de dónde están los equipos informáticos y notificación previa a cualquier movimiento de los mismos (equipos que han de repararse, traslado de consultas…)
  • Evitar duplicación no autorizada: resulta irrisorio comprobar que con una memoria usb podemos duplicar sin mayores problemas gran cantidad de información (Ctrl+C/Ctrl+V) sin que esto quede registrado.
  • Control de acceso: evitar que personas no autorizadas accedan a información que no les compete manteniendo un registro de los usuarios que acceden a la HCE de cada paciente y rastreando los accesos sospechosos.

Estos cuatro sencillos puntos podrían paliar gran parte de las brechas de seguridad informática en los sistemas informáticos de salud. La mayoría de las mismas fueron fortuitas (robo en un coche, asaltos, envío de información por correo electrónico…) aunque también se han reportado algunas acciones dirigidas intencionalmente a obtener la información sanitaria a través de robos y sólo en dos ocasiones mediante técnicas de cracking.

Por lo tanto, a la hora de afrontar mejoras en los sistemas de HCE o de gestión informática de centros sanitarios la revisión de las causas que provocaron cada una de las brechas de seguridad ayudará a implementar soluciones simples y adaptadas a cada entorno.

Fuente: Somos Medicina

¿Dónde estoy?

Actualmente estás explorando la categoría salud en Seguridad Informática.