Qué pueden aprender los fabricantes de IoMT de los dispositivos IoT hogareños

Muchos de nosotros estamos inquietos acerca de la forma en que diversos dispositivos conectados a Internet que instalamos en el hogar nos escuchan, pero mucho menos preocupados acerca de qué información los dispositivos médicos pueden estar compartiendo con terceros. Información médica personal se vende actualmente por cientos o miles de dólares en el mercado negro. En comparación, los datos de tarjetas de crédito o números de documentos se venden por 25 centavos y 10 centavos, respectivamente. Y el compromiso de información de un paciente no solamente pone en riesgo la privacidad y los datos personales, sino la seguridad individual. El hackeo de las bombas de infusión de medicamentos puede ser utilizado para administrar dosis letales y la vulnerabilidad de los marcapasos puede terminar en un shock cardíaco. Adicionalmente, la crisis generada por la pandemia del COVID 19 ha impactado severamente en los sistemas de salud y ha atraído a los cibercriminales, generando un incremento dramático del vector de ataques.

Un primer paso para asegurar información médica sensible es brindar confidencialidad a los dispositivos médicos conectados a Internet (IoMT), como bombas de infusión, marcapasos y otros dispositivos de monitoreo. Muchos de estos dispositivos tienen software totalmente desactualizado y el constante flujo de nuevos dispositivos que se conectan genera que su administración sea extremadamente dificultosa. Existen alrededor de 10 mil millones de dispositivos médicos conectados a Internet en la actualidad, pero se espera que este número se quintuplique para el 2028, aproximándose a los 50 mil millones.

Los certificados digitales pueden cifrar la información y autenticar a los usuarios legítimos.

Los certificados digitales pueden ayudar a asegurar los dispositivos a través del cifrado de información sensible, la autenticación de las conexiones hacia los dispositivos antes de permitir su acceso y asegurar la integridad de los datos que están siendo transmitidos. Por ejemplo, DigiCert recibió recientemente la solicitud de un cliente, para ayudarlo a distribuir en forma segura y rápida un análisis que detecte anticuerpos de COVID 19 y compartirlo con proveedores de servicios de salud de todo el mundo. Este cliente ha desarrollado equipamiento de laboratorios que están distribuidos mundialmente y que pueden desarrollar estas pruebas de anticuerpos, pero los dispositivos necesitan ser actualizados para poder realizar estas nuevas pruebas.

Debido a la urgencia de contar con esta capacidad de testeo en los diferentes proveedores de servicios de salud, esta actualización de los dispositivos debió ser desarrollada a distancia, en lugar de tener que enviar a ingenieros a cada ubicación física para actualizarlos. DigiCert trabajó con este cliente para desarrollar una solución que permitiera efectuar la actualización en forma remota, utilizando certificados de firma de código, de modo de asegurar que dicha actualización llegara de manera íntegra y sin modificaciones durante el proceso de transmisión. Ese análisis de anticuerpos fue distribuido de manera segura en muy pocos días después del contacto con DigiCert y es usado en la actualidad en pacientes de todo el mundo.

Este es un ejemplo relativamente simple de una solución que se desarrolló en tan solo unos días. Pero en la medida en que más y más dispositivos se conecten, nos enfrentamos con problemas debido a que los fabricantes desarrollan dispositivos con estándares diferentes que no necesariamente funcionan de manera coordinada. En los próximos 2 a 5 años no nos preocuparemos solamente por la conectividad de los dispositivos de los diferentes proveedores, sino con la totalidad del ecosistema.

Cómo los fabricantes de dispositivos inteligentes hogareños lograron interoperabilidad y seguridad al mismo tiempo.

Cuando los fabricantes de dispositivos inteligentes para el hogar se enfrentaron con problemas similares, se juntaron para crear un estándar de interoperabilidad que también pusiera el énfasis en la seguridad. Los consumidores hoy demandan conectividad; pretenden luces inteligentes, televisores y termostatos que se conecten a asistentes de voz, independientemente de quién los haya fabricado. Cuando Amazon, Google y Apple empezaron a recibir quejas de los consumidores porque sus concentradores de IoT (Alexa, GoogleHome y HomeKit) no se conectaban con muchos de sus dispositivos inteligentes, se dieron cuenta que todos tenían el mismo problema y que tenían la necesidad de hacer algo en conjunto para resolverlo. También advirtieron que los consumidores empezaron a analizar y encarar sus compras basándose en la seguridad de los dispositivos. Por lo tanto, se unieron bajo la Alianza Zigbee y conformaron el proyecto CHIP (Connected Home over IP) cuyo objetivo es desarrollar un estándar que permita a cualquier dispositivo inteligente para el hogar que cumpla con dicho estándar funcionar en forma segura y sin la necesidad de pago alguno de regalías. Desde la concreción del proyecto, docenas y docenas de fabricantes líderes de dispositivos inteligentes para el hogar, proveedores de chips y expertos en seguridad se han unido al mismo. El objetivo del grupo es contar con borradores del estándar y las primeras implementaciones bajo código abierto hacia fin de este año.

Para asegurar que los dispositivos son adecuadamente autenticados y las comunicaciones sean confidenciales, DigiCert ha sido invitado a participar del proyecto CHIP. DigiCert está trabajando con los demás participantes del proyecto para asegurar que el diseño y la arquitectura de la Infraestructura de Clave Pública (PKI) y el uso de certificados digitales sea la correcta y cuenta con la jerarquía raíz y los documentos de gobierno de dicha jerarquía adecuados. Una vez que el estándar esté finalizado y distribuido, los fabricantes estarán en condiciones de simplificar sus desarrollos y los consumidores no deberán preocuparse porque sus dispositivos inteligentes se puedan acoplar con los hubs de conexión, debido a que los mismos serán interoperables de manera segura con cualquier otro dispositivo que cumpla con el estándar.

Que puede aprender la industria de la salud de los fabricantes de dispositivos inteligentes hogareños.

La demanda de conectividad es también un problema para la industria de la salud. Necesitamos mirar hacia adelante y planificar hoy un sistema interconectado para contar con estándares que hagan posible una interconexión en el futuro. Y la seguridad debe estar incluida fundamentalmente dentro del diseño desde un principio. En este caso, podemos aprender de lo que hicieron los fabricantes de dispositivos hogareños para resolver el desafío que tenían en común y aplicarlo para la industria de la salud. Si un grupo de fabricantes de dispositivos médicos colaboran para desarrollar en conjunto especificaciones que abarquen a toda la industria, se podrán beneficiar todos de esta estandarización, permitiendo que los dispositivos sean seguros, confiables y puedan estar interconectados.

El problema del cambio en cualquier sector es quién es el que ejecuta el primer paso. ¿Quién es responsable por iniciar el proceso de estandarización y cómo? Hay dos soluciones posibles: o algún ente regulador o los líderes de mercado, o ambos, dan un paso al frente.

1. Primero, un ente regulador puede dar el primer paso y desarrollar reglas que lleven a los fabricantes a adoptar las mejores prácticas en materia de seguridad. O también ese mismo ente regulador en vez de desarrollar reglas, puede instar a los líderes de la industria a que se comprometan en el desarrollo de estándares seguros.
2. Segundo, líderes en el mercado de fabricación de dispositivos médicos pueden seguir el ejemplo de la industria de electrodomésticos y convocar a un grupo similar a lo que ha ocurrido con el proyecto CHIP. Solamente hace falta que unos pocos líderes del segmento acuerden acerca del proyecto y ensamblen la colaboración correcta para desarrollar un estándar para la industria. Una vez que el sector vea a los jugadores importantes sentados en la misma mesa, muchos más los seguirán.

Tanto los entes reguladores como los líderes de la industria tienen un rol que desempeñar. Alguien con el poder para convocar a los jugadores clave y dirija esta colaboración es necesario para avanzar y liderar el proceso. DigiCert apoya la creación de un mundo interconectado y cuenta con la tecnología necesaria para mantener las comunicaciones y las transacciones seguras, a escala. La forma en que se puede crear interoperabilidad a través de una industria es mediante el uso de una Infraestructura de Clave Pública (PKI) y, si su arquitectura es la correcta, permitir el establecimiento de una raíz de confianza dentro de un ecosistema. DigiCert ha apoyado el proyecto CHIP en el desarrollo de estándares de seguridad y está dispuesto a realizar lo mismo para ayudar a crear estándares relativos a la seguridad e interoperabilidad de dispositivos médicos.

Necesitamos tomar seriamente la seguridad y privacidad de nuestra información de salud, de la misma forma que la seguridad y privacidad dentro de nuestros hogares. Una Infraestructura de Clave Pública (PKI) puede ayudar a generar dispositivos seguros y ofrece la tecnología para regular como los dispositivos conectados a Internet pueden comunicarse entre ellos. Los proveedores de equipos médicos pueden seguir el mismo ejemplo que los fabricantes de electrodomésticos en la creación de un proyecto que resuelva esos desafíos.

Estos son simplemente los primeros pasos hacia asegurar la información personal de los pacientes, pero en la industria de la salud todos los pasos hacia la seguridad importan ya que se trata de acciones que permiten salvar vidas humanas.

El autor de este artículo es Mike Nelson, Vicepresidente de Seguridad de IoT (Internet of Things) de DigiCert. Antes de incorporarse a DigiCert, desarrolló su carrera laboral en Informática de la industria de la salud, incluyendo el Departamento de Salud del Gobierno Federal de los Estados Unidos, GE Healthcare y Leavitt Partners. El marcado interés de Mike por este tópico está relacionado con su propia experiencia como paciente, ya que padece una diabetes de tipo 1 y su tratamiento requiere la utilización de tecnología conectada.