miércoles, 12 de septiembre de 2018

Reglamentaciones de los Marcapasos. Mantenerse actualizado para no ser vulnerable.

Semanas atrás participé como speaker en el evento NotPinkCon, en la Universidad de Palermo en la cual tuve la oportunidad de presentar las amenazas que viven, actualmente, las organizaciones de la salud y que ponen en riesgo los datos de los pacientes y del propio personal de un Hospital. 

Una de esas amenazas, se relacionaba con las vulnerabilidades que se hallan dentro de algunos modelos de marcapasos implantables (pequeño dispositivo alojado en el pecho o en el abdomen que ayuda a controlar los ritmos anormales del corazón, utiliza impulsos eléctricos para hacer que el corazón lata con un ritmo normal y mantiene el corazón latiendo y así, la vida del paciente); como así también, dentro del monitor que el paciente se lleva a su hogar y en el equipo programador de uso médico.

De las recomendaciones que ofrecí para evitar posibles ataques a los dispositivos médicos, se relacionaba con la necesidad de generar regulaciones a nivel país en materia de Seguridad, destinadas a proteger la información empleada por los dispositivos y, también, que los fabricantes sean responsables de garantizar que sus equipos cumplan con las pautas establecidas a nivel país.

Siguiendo mi investigación, encontré la publicación de una vulnerabilidad dentro del equipo monitor del paciente marca “Medtronic”, modelo “MyCareLink 24950” en la web del CERT para el control de Sistemas Industriales de USA (https://ics-cert.us-cert.gov/). La misma fue reportada el 7 de agosto de 2018, con el identificador “ICSMA-18-219-01” -CVSS v3 4.9, por los investigadores Billy Rios, Jesse Young y Jonathan Butts, a la NCCIC (National Cybersecurity and Communications Integration Center) de los Estados Unidos.  La explotación exitosa de las vulnerabilidades halladas por estos investigadores, permitiría a un atacante tener acceso a las credenciales del equipo y con ellas, cargar datos inválidos a la red de Medtronic CareLink. Asimismo, el modelo afectado almacena las contraseñas en un formato reversible, permitiendo al atacante usar esas credenciales para la autenticación en la red.

El ANMAT (Administración Nacional de Medicamentos, Alimentos y Tecnología Médica) es el organismo oficial en la Argentina (depende del Ministerio de Salud de la Nación), dedicado a garantizar que los productos para la salud sean eficaces, seguros y de calidad. Así fue como un 26 de noviembre de 2015, el ANMAT publicó, dentro del Boletín Oficial, la disposición N°10281 (http://www.anmat.gov.ar/boletin_anmat/Noviembre_2015/Dispo_10281-15.pdf) para la autorización del producto médico “Medtronic MyCareLink 24950” con vigencia por 5 años, dejando constancia que la evaluación técnica efectuada por la Dirección Nacional de Productos médicos, reunía los requisitos técnicos que contempla la Ley 16463 vigente.

Al momento de escribir el presente texto, no encontré, dentro del Boletín Oficial, una publicación oficial sobre dicha alerta. Considerar la aplicación apropiada de controles de seguridad, utilizando metodologías, normativas y mejores prácticas internacionales permite proteger la información de salud, garantizando la confidencialidad e integridad de los datos y disponibilidad de los sistemas de información de salud críticos. Como resultado podremos esperar la reducción del número y la gravedad de los incidentes de seguridad.

Florencia Vilardel (@flor_vilardel).