Escenario de amenazas en la Industria de Salud y Ciencias de la Vida

La industria de la Salud y Ciencias de la Vida (Life Sciences and Health Care) está expuesta a un amplio espectro de riesgos y ciber-amenazas. Los servicios que las organizaciones de Salud y Ciencias de la Vida proveen y los datos que protegen como información confidencial sensible de salud (Protected Health Information), datos de registros electrónicos de datos (Electronic Health Record) y propiedad intelectual farmacéutica o biomédica valiosa, son inherentes a esas amenazas. Esta industria comprende una amplia variedad de servicios que incluye producción de drogas y terapias, dispositivos médicos, distribución, hospitales, clínicas y farmacias, planes de salud, y seguros. Todo lo anterior cuenta con un perfil de riesgo y un escenario de amenazas propiosy únicos. No obstante, la industria de Salud y Ciencias de la Vida no es inmune a amenazas similares que enfrentan otras industrias. Las amenazas inter-industrias del tipo ransomware, malware de punto de venta (PoS), troyanos de acceso remoto y malware de robo de información también suponen una amenaza para las organizaciones de Salud y Ciencias de la Vida.

En este escenario, Deloitte analiza el perfil de riesgos y el escenario de amenazas propios de la industria de Salud y Ciencias de la Vida , y las tácticas y los facilitadores claves para hacerles frente. En particular, examina tres amenazas centrales para esta industria:

Dispositivos y aplicaciones médicas vulnerables: Atacantes que apuntan a dispositivos y aplicaciones médicas que funcionan en sistemas operativos desactualizados y no compatibles de Windows, y que sacan provecho de sus vulnerabilidades. Deloitte observó numerosos informes de vulnerabilidad de dispositivos y aplicaciones médicos, donde el código activo de explotación se publicó en menos de 24 horas de revelada la vulnerabilidad.

Violación de datos de PHI/EHR: Atacantes que apunta a información confidencial de salud (PHI) y registros electrónicos de salud (EHR) de pacientes. Estos datos de alto valor convierten a las organizaciones de Salud y Ciencias de la Vida en un objetivo principal para el robo de información.Los ciber-criminales atacan datos sensibles de PHI y EHR para convertirlos en dinero en los mercados negros, como através de reclamos fraudulentos a aseguradoras, obtención de medicamentos recetados y robo de identidades.

Los grupos de amenazas persistentes avanzadas (APT) respaldados por estados nación pueden dirigir su ataque a PHI/EHR para identificar objetivos para el reclutamiento de espionaje humano. Por ejemplo, estos datos pueden revelar no solo datos biográficos sino indicaciones de vulnerabilidad ante dificultades médicas que incrementen la probabilidad de que una entidad externa pueda explotar a individuos con acceso a información de seguridad nacional.

Robo de propiedad intelectual a partir de APT: Los atacantes, particularmente los grupos APT, suelen dirigir su ataque a propiedad intelectual relacionada con dispositivos médicos, datos farmacéuticos o biomédicos. El robo de procesos comerciales privados, tecnologías innovadoras, datos de clientes y otro tipo de propiedad intelectual de organizaciones de Salud y Ciencias de la Vida beneficia económicamente a un estado nación adversario al reducir o eliminar los costos de investigación y desarrollo para los negocios domésticos. Los competidores externos pueden utilizar los detalles de logística de la cadena de suministro, de procesos de manufactura y de negocios programáticos para replicar estos procesos o identificar fallas.

El informe finaliza con recomendaciones basadas en cada una de estas categorías de amenazas. El actual escenario de amenazas a Salud y Ciencias de la Vida también permitirá que las organizaciones entiendan las amenazas dirigidas a esta industria y ofrezcan la inteligencia necesaria para implementar las medidas que se requieren para gestionar y mitigar los riesgos asociados. Creemos que esta investigación hará que los profesionales de seguridad de la información comprendan aún más, ampliará el conocimiento de los usuarios de negocios generales y ofrecerá una guía práctica para las organizaciones de la industria de Salud y Ciencias de la Vida.