Cuando se trata de la atención sanitaria, la ciberseguridad puede ser literalmente la diferencia entre la vida y la muerte. Para coordinar la atención al paciente, entregar los historiales médicos electrónicos correctos al personal médico adecuado o proteger la información confidencial, los hospitales, laboratorios y otros proveedores sanitarios deben permanecer en línea, conectados y protegidos.
Por eso, el nuevo sistema de salud del Servicio Nacional de Salud (SNS) requisito que todas las entidades apliquen autenticación multifactor (AMF) es un hito tan importante. No lo digo sólo en nombre de la RSA: es algo personal. Soy del Reino Unido y aún tengo familia allí. Con la implantación de la AMF, el NHS seguirá manteniendo a salvo la información sanitaria altamente sensible de sus pacientes (incluida la de mi familia).
Una política AMF describe las normas y requisitos para implantar la autenticación multifactor en una organización o sistema. El objetivo es garantizar que sólo los usuarios autorizados puedan acceder a los sistemas o datos, reduciendo el riesgo de accesos no autorizados, filtraciones de datos y ciberataques. Una política de AMF bien definida especifica qué usuarios deben autenticarse mediante múltiples factores, los métodos de autenticación que deben utilizarse y las circunstancias en las que se exigirá la AMF, como para acceder a datos confidenciales o realizar acciones de alto riesgo. La política también suele incluir directrices sobre cumplimiento, aplicación y actualizaciones periódicas para adaptarse a las nuevas amenazas a la seguridad.
Y aunque esta política es particular del NHS, también forma parte de una tendencia mundial más amplia. El nuevo requisito del NHS sigue a los mandatos de EE.UU. de mejorar la ciberseguridad de la nación. Asimismo, el NIS2 de la Unión Europea pretende establecer un "alto nivel común de ciberseguridad" entre todos los Estados miembros. Incidentes como Log4j, la guerra en Ucrania, y ciberataques patrocinados por el estado han puesto la ciberseguridad en el punto de mira de todo el mundo: nunca ha sido tan importante como ahora que todas las organizaciones se centren en reforzar sus defensas. Esto es especialmente cierto en el caso de la sanidad, y por eso me anima tanto que el NHS se esté tomando en serio la ciberseguridad.
Pero para un sistema tan grande y complejo como el NHS, llevará mucho trabajo implantar la autenticación multifactor a tiempo para cumplir el plazo de febrero de 2024 para demostrar los planes de implantación, o el plazo de junio de 2024 para el cumplimiento total. Por lo tanto, veamos por qué la AMF es importante en ciberseguridad, revisemos los requisitos de la política de AMF del NHS y analicemos las capacidades que los fideicomisos del NHS, las juntas de atención integrada, los organismos independientes del Departamento de Salud y Atención Social y otros proveedores de atención médica deben priorizar.
La autenticación multifactor proporciona una capa adicional de seguridad que ayuda a garantizar que un usuario es quien dice ser. En lugar de exigir únicamente una dirección de correo electrónico y una contraseña, la autenticación multifactor requiere que los usuarios proporcionen un factor adicional -como introducir un código de verificación, responder a una notificación push, utilizar una clave de seguridad o proporcionar información biométrica- para iniciar sesión.
Añadir una capa adicional de seguridad puede tener un impacto tremendo. Proporcionar una contraseña y un correo electrónico simplemente no es suficiente para detener la mayoría de las violaciones de datos: la Informe de Verizon sobre investigaciones de filtraciones de datos 2023 descubrió que 74% de todas las filtraciones implican "error, uso indebido de privilegios, uso de credenciales robadas o ingeniería social". El informe también descubrió que las credenciales robadas se convirtieron en el punto de entrada más popular para las brechas" en los últimos cinco años.
Y no se trata sólo de que el mayor número de filtraciones comience con contraseñas comprometidas, sino de que esas filtraciones también tienden a tener un mayor impacto. En Informe de IBM sobre el coste de la filtración de datos en 2023 descubrió que las brechas que comenzaron con credenciales robadas o comprometidas tardaron 308 días de media en detectarse y contenerse, lo que las convierte en uno de los vectores de ataque iniciales más frecuentes, duraderos y costosos.
Implantar una sólida política de autenticación multifactor (AMF) es fundamental para salvaguardar de forma proactiva la información sensible. Con unas amenazas cibernéticas cada vez más sofisticadas, ya no basta con confiar en las contraseñas para la autenticación. Una política integral de MFA requiere que los usuarios verifiquen su identidad a través de múltiples factores, lo que reduce drásticamente la probabilidad de acceso no autorizado, incluso si las credenciales se ven comprometidas. Al aplicar la AMF en todos los puntos de acceso, las organizaciones no sólo mejoran su postura de seguridad, sino que también se alinean con las mejores prácticas y los requisitos de cumplimiento, lo que garantiza una sólida protección contra las ciberamenazas en evolución y minimiza el impacto de posibles infracciones.
Yo recomendaría que los médicos de cabecera, los hospitales y los laboratorios utilizaran la política de MFA del NHS como una forma de hacer frente a la amenaza real de los ciberataques, y no la consideraran como otra medida de "marcar la casilla" que tienen que completar. Porque los sistemas digitales del NHS ya están siendo atacados:
- En 2023, una empresa de ciberseguridad descubrió que "millones de los dispositivos médicos de los hospitales del NHS Trust están... totalmente expuestos a ataques de ransomware por parte de bandas de ciberdelincuentes".
- También en 2023, el sindicato de ransomware BlackCat / ALPHV supuestamente se hizo con 7 terabytes de datos de pacientesde Barts Health NHS Trust, uno de los mayores grupos hospitalarios del Reino Unido
- En ese mismo plazo, el Universidad de Manchester anunció que "los datos del NHS de más de un millón de pacientes se habían visto comprometidos"
- En 2022, Advanced, el proveedor informático del NHS, anunció que tardaría "entre tres y cuatro semanas en recuperarse por completo" tras verse afectado por un ataque ransomware; ese ataque obligó al personal médico a tomar notas asistenciales "con bolígrafo y papel" durante semanas, lo que a su vez creó "seis meses para procesar e introducir" el retraso manual
- En Centro Nacional de Ciberseguridad (NCSC) señaló que los agentes patrocinados por el Estado "tuvieron como objetivo... el NHS durante el punto álgido de la pandemia"
Podría seguir. Ya sean ataques de ransomware, ataques de compromiso de cuentas, ingeniería social o simple phishing, los ciberdelincuentes intentan hacerse con cuentas de usuario y datos de pacientes, o interrumpir las operaciones hasta el punto de que los hospitales tengan que pagar. Porque la vida de las personas está realmente en juego: en 2020, unos ciberdelincuentes inutilizaron los sistemas del Hospital Universitario de Düsseldorf (Alemania). Durante el ataque, los médicos intentaron trasladar a un paciente a otro hospital para que recibiera atención médica. El paciente murió durante el traslado, marcando "el primer caso conocido de pérdida de una vida" como resultado de un ataque de ransomware.
RSA lleva décadas trabajando con el sector sanitario. Este año hemos lanzado importantes capacidades que ayudarán a mantener la seguridad de los historiales médicos electrónicos, y entendemos que la seguridad de los sistemas médicos requiere que las organizaciones aborden los requisitos de cumplimiento de la normativa y se endurezcan ante los ciberataques.
Creo que la política de MFA del NHS de Inglaterra hace un buen trabajo priorizando un objetivo alcanzable: conseguir la autenticación multifactor en su lugar es una apuesta de mesa en ciberseguridad, y la directiva de la política que MFA debe "aplicarse en todos los accesos de usuarios remotos a todos los sistemas" y "aplicarse en todos los accesos de usuarios privilegiados a sistemas alojados externamente" ayudará a asegurar un número significativo de usuarios de alto riesgo y casos de uso.
Necesidad de ampliar la aplicación del AM
Dicho esto, creo que el mandato debería ir más allá y extenderse a todos los usuarios. El NHS define "usuario privilegiado" como "un administrador de sistemas o con funciones relacionadas con la seguridad". Supongo que su intención al proteger primero a los administradores es evitar que sus cuentas se vean comprometidas y aplicar cambios de seguridad en todo el sistema.
Si es así, es un primer paso razonable, siempre que no sea el último. Detener a los usuarios con privilegios que acceden a sistemas externos o a usuarios remotos sigue dejando demasiada confianza en el sistema. A los ciberdelincuentes se les da muy bien encontrar las lagunas en un sistema de seguridad y explotarlas al máximo, y dejar MFA fuera de cualquier usuario sin funciones relacionadas con la seguridad o usuarios internos es una laguna muy grande.
Comprender el riesgo de ataques internos
Las organizaciones tienden a poner la mayor parte de sus defensas en torno a las cuentas de mayor valor y se preparan para defenderse de ataques externos; esa forma de pensar no reconoce que muchos ataques progresan internamente después de comprometer una cuenta de nivel inferior. Muy pocos ataques comienzan comprometiendo credenciales administrativas.
En lugar de ello, los agresores "utilizan una serie de herramientas para atravesar el entorno y luego pivotar, como el uso de phishing y credenciales robadas para obtener acceso y la adición de puertas traseras para mantener ese acceso y aprovechar las vulnerabilidades para moverse...".
lateralmente", según el informe de Verizon 2023 Data Breach Investigations Report. Aunque los atacantes intentarán ascender gradualmente y escalar sus privilegios a medida que avanzan, empiezan por comprometer las cuentas de nivel inferior y menos seguras.
Inconvenientes de la política de AMF
Además, aunque la AMF es fundamental, no es una panacea. Las organizaciones necesitan acercarse a confianza cero y hacer de la seguridad un componente crítico de todos los procesos empresariales. Fíjese en el grupo de piratas informáticos BlackCat / ALPHV que penetró en el Barts Health Trust: este otoño, ese mismo grupo consiguió eludir la AMF mediante ingeniería social en el servicio de asistencia informática del Caesars Entertainment Group de Las Vegas, lo que supuestamente condujo a un robo de datos. $15 millones pago del rescate.
No me malinterpretes: la política de autenticación multifactor del NHS England tiene muchos aspectos positivos. Por ejemplo, su uso de los estándares del sector: si las oficinas del NHS deciden implantar la autenticación biométrica, la política recomienda revisar NIST SP 800-63B s5.2.3 y NCSC "Sistemas biométricos de reconocimiento y autenticación".. Se trata de documentos muy útiles, ya que al consultarlos, el personal del NHS puede incorporar las mejores prácticas a la implantación de la AMF.
En Guía de la política de AMF del NHS England también da prioridad al pragmatismo y la flexibilidad, señalando que "actualmente se permiten todos los enfoques técnicos de la AMF" y que las organizaciones no deben tratar de encontrar una solución "ideal": "En su lugar, deben aplicar lo que sea factible y mejorarlo con el tiempo". El NHS dice que las organizaciones "deben elegir un factor -o más probablemente varios factores- en función de las circunstancias de sus organizaciones y usuarios."
Este enfoque -no dejar que lo perfecto sea enemigo de lo bueno y mejorar la AMF con el tiempo- es excelente. Lo más probable es que las organizaciones del NHS necesiten dar soporte a múltiples grupos de usuarios que trabajen en múltiples entornos. Además, necesitarán una política de AMF que pueda adaptarse a nuevos grupos de usuarios y nuevos entornos a medida que evolucionen las necesidades de la organización.
Para ello, es esencial que el NHS priorice soluciones que admitan una gama de métodos de MFA hoy en día, y que estén construidas para extenderse a través de entornos locales, multi-nube e híbridos. El personal del NHS puede Prueba ID Plus durante 45 días para ver esas capacidades en funcionamiento.
