Un SBOM en sí mismo es impotente e ineficaz si no es examinado constantemente por un proceso proactivo y automatizado con visibilidad y vigilancia instantáneas para mitigar y resolver cualquier debilidad de seguridad a nivel de componente a lo largo del ciclo de vida del dispositivo de hardware/software.

RIEGELSVILLE, Pensilvania (PRWEB) Marzo 27, 2023

Los ataques cibernéticos en el sector de la salud de EE. UU. se han más que duplicado entre 2016 y 2021, lo que compromete el uso de dispositivos médicos y la información de salud protegida de casi 42 millones de personas en todo el país.(1) Los ciberdelincuentes otorgan una gran importancia a la infraestructura de datos de la industria de la salud porque, incluso los proveedores de atención médica pueden proporcionar una ventanilla única para la extracción de datos de cientos de miles de información confidencial de pacientes.(2) Las estadísticas de investigación de HIPAA Journal revelan que la piratería es ahora la causa principal de las filtraciones de datos de atención médica.(3) El 29 de diciembre, 2022, se promulgó la Ley de Asignaciones Ómnibus bipartidista de $ 1.7 billones. Una medida en el nuevo proyecto de ley otorga a la FDA la autoridad para exigir a los fabricantes de dispositivos médicos que tomen medidas adicionales de protección de seguridad cibernética, como la inclusión de una Lista de materiales de software (SBOM) con cada dispositivo lanzado al mercado a través de futuras presentaciones previas a la comercialización. (4) A partir del 22 de marzo de 2023, lo que alguna vez fueron pautas de control de ciberseguridad ahora son requisitos exigibles. Walt Szablowski, Fundador y Presidente Ejecutivo de eracente, que ha brindado una visibilidad completa de las redes de sus grandes clientes empresariales durante más de dos décadas, sugiere: “Estas nuevas regulaciones de seguridad cibernética tienden a tener un efecto cascada que puede sorprender a algunas entidades desprevenidas dentro y alrededor del complejo médico-industrial agregado. La buena noticia es que Eracent puede ayudar a que todos se pongan al día y ofrece acceso gratuito a la aplicación de gestión de riesgos de la cadena de suministro de Eracent (aplicación de gestión SBOM) a hospitales, centros de salud y desarrolladores de software de dispositivos médicos”.

Cada vez es más difícil subestimar el genio maligno del ciberdelincuente moderno. El FBI ha estado haciendo sonar la alarma con respecto a las vulnerabilidades de los dispositivos médicos 'sin parches' u obsoletos que se ejecutan en software heredado y aquellos con características de seguridad deficientes. Los dispositivos médicos, como bombas de insulina, desfibriladores, telemetría cardíaca móvil, marcapasos y bombas de dolor intratecal, pueden ser apropiados por piratas informáticos maliciosos que podrían poner en peligro la salud de un paciente cambiando la lectura de un monitor o administrando una sobredosis de drogas. Un hacker habilidoso puede explotar dispositivos no seguros, interferir con la actividad operativa de un centro médico y comprometer la confidencialidad e integridad de los datos.(5)

Un SBOM esencialmente contiene una lista de elementos que componen los ingredientes de un dispositivo de hardware/software. Entra en juego al rastrear vulnerabilidades de seguridad y actualizaciones para cada componente de software. El SBOM también se utiliza para la verificación y gestión de licencias de software. Szablowski explica: “Un SBOM en sí mismo es impotente e ineficaz si no es examinado constantemente por un proceso proactivo y automatizado con visibilidad y vigilancia instantáneas para mitigar y resolver cualquier debilidad de seguridad a nivel de componente a lo largo del ciclo de vida del dispositivo de hardware/software. El módulo de gestión de riesgos de la cadena de suministro cibernético (C-SCRM) de la Plataforma de Ciberseguridad Inteligente (ICSP)™ de Eracent es único en el sentido de que proporciona un nivel crítico adicional de protección para minimizar los riesgos de seguridad basados ​​en software”.

El ICSP C-SCRM reconoce componentes obsoletos que pueden aumentar los riesgos de seguridad; ofrece protección actualizada al escanear de forma independiente los detalles detallados dentro del SBOM y hacer coincidir cada componente enumerado con los datos de vulnerabilidad más actualizados utilizando la biblioteca de datos de productos de TI IT-Pedia® de Eracent: una fuente única y autorizada para obtener datos esenciales sobre millones de productos de hardware y software de TI. Los desarrolladores de software de dispositivos médicos utilizan con frecuencia software de código abierto (OSS) para producir productos más rápido para acelerar su lanzamiento al mercado. OSS está precodificado, probado en el mundo real y, a menudo, de uso gratuito. Un asombroso 92 % de las aplicaciones contienen software de código abierto.(6) Las herramientas estándar de análisis de vulnerabilidades no analizan los componentes individuales del OSS dentro de las aplicaciones.

Las herramientas simples que permiten la creación y el análisis de SBOM no son suficientes. El sistema ICSP C-SCRM de Eracent adopta un enfoque de gestión consolidado y proactivo: estructura, automatización e informes. La industria de la salud necesita apreciar los riesgos que pueden existir en el software de dispositivos médicos que utilizan, ya sea de código abierto o patentado. Y los fabricantes de dispositivos médicos deben reconocer los riesgos potenciales inherentes a los productos que ofrecen. Las partes interesadas en el cuidado de la salud deben fortalecer rigurosamente su ciberseguridad con el nivel mejorado de protección que ofrece el sistema ICSP C-SCRM de Eracent.

Szablowski afirma: “La base de clientes de Eracent incluye algunas de las redes corporativas y gubernamentales y entornos de TI más grandes del mundo. Estamos felices de lograr que todos los sectores de atención médica afectados por las nuevas regulaciones de seguridad cibernética de dispositivos médicos del gobierno estén encaminados hacia el cumplimiento de los nuevos mandatos SBOM de la FDA. Ahora estamos ofreciendo a los proveedores médicos y fabricantes de dispositivos un acceso gratuito sin precedentes a nuestras soluciones de software de análisis de punto final y descubrimiento de punto final de riesgo de la cadena de suministro SBOM”.

Acerca de Eracent

Walt Szablowski es el fundador y presidente ejecutivo de Eracent y se desempeña como presidente de las subsidiarias de Eracent (Eracent SP ZOO, Varsovia, Polonia; Eracent Private LTD en Bangalore, India; y Eracent Brasil). Eracent ayuda a sus clientes a enfrentar los desafíos de administrar los activos de red de TI, las licencias de software y la ciberseguridad en los entornos de TI complejos y en evolución de la actualidad. Los clientes empresariales de Eracent ahorran significativamente en su gasto anual de software, reducen sus riesgos de auditoría y seguridad y establecen procesos de gestión de activos más eficientes. La base de clientes de Eracent incluye algunas de las redes corporativas y gubernamentales y entornos de TI más grandes del mundo. Docenas de empresas de Fortune 500 confían en las soluciones de Eracent para administrar y proteger sus redes. Visita https://eracent.com/.

Referencias:

1. La mitad de los ataques de ransomware han interrumpido la prestación de atención médica, según un informe de JAMA. Noticias de TI de salud. (2023, 10 de enero). Recuperado el 21 de marzo de 2023, de healthcareitnews.com/news/half-ransomware-attacks-have-disrupted-healthcare-delivery-jama-report-finds
2. Revista HIPAA. (2022, 14 de octubre). Editorial: ¿Por qué los criminales apuntan a los registros médicos? Revista HIPAA. Recuperado el 21 de marzo de 2023, de http://www.hipaajournal.com/why-do-criminals-target-medical-records/#:~:text=Healthcare%20records%20are%20so%20valuable,credit%20cards%20in%20victims’%20names

3. Estadísticas de violación de datos de atención médica. Revista HIPAA. (2023 de marzo de 8). Recuperado el 21 de marzo de 2023, de hipaajournal.com/healthcare-data-breach-statistics/
4. Erica Abshez Moran, ALC (2023 de febrero de 20). La ley general de asignaciones otorga a la FDA autoridad formal para exigir medidas de seguridad cibernética por parte de los fabricantes de dispositivos médicos. Bebedero Faegre en Productos. Consultado el 21 de marzo de 2023 en faegredrinkeronproducts.com/2023/02/the-omnibus-appropriations-act-grants-fda-formal-authority-to-require-cybersecurity-action-by-medical-device-manufacturers/
5. FBI advierte sobre vulnerabilidades en dispositivos médicos luego de varias alertas CISA. (2022, 12 de septiembre). Recuperado el 21 de marzo de 2023, de therecord.media/fbi-warns-of-vulnerability-in-medical-devices-following-several-cisa-alerts/
6. Cibelo. (2022, 11 de mayo). El problema de código abierto de nuestros dispositivos médicos: ¿cuáles son los riesgos? BleepingComputer. Recuperado el 21 de marzo de 2023 de bleepingcomputer.com/news/security/our-medical-devices-open-source-problem-what-are-the-risks/

Compartir artículo sobre medios sociales o correo electrónico: