Una simulación grupal interactiva en línea para capacitar a los profesionales de la salud en el seguimiento de buenas prácticas de ciberseguridad
P1: ¿Qué es la ciberseguridad?
La ciberseguridad se ocupa de la seguridad del hardware, el software y los datos informáticos. Esto incluye protección contra diversas amenazas: robo de datos, interrupción del servicio, robo de identidad o incluso daños a los dispositivos conectados a la red. Es un gran campo que abarca una amplia variedad de amenazas a los sistemas de tecnología de la información (TI). Muchas de las amenazas son técnicas y difíciles de entender. En muchos casos, sin embargo, las amenazas son tácticas simples.
P2: ¿Por qué los hospitales y las organizaciones de atención médica deben tomarse la ciberseguridad más en serio?
Todos nosotros estamos viendo en los medios que el riesgo de ciberseguridad está aumentando. El cuidado de la salud es una de las industrias más comúnmente atacadas. Los datos de atención médica son extremadamente valiosos para los delincuentes, mucho más valiosos que la información de tarjetas de crédito. Además, los sistemas de tecnología de la información están mucho más interconectados que hace 10 años. Ser capaz de explotar la seguridad de TI de un hospital puede permitir a los perpetradores acceder a muchos otros sistemas de hardware y software: energía, control de infecciones, medicamentos o calefacción.
También están las amenazas personales a la ciberseguridad que todos enfrentamos cada día. Ataques de ingeniería social. Correos electrónicos de phishing. Protegernos del robo de identidad y el robo de datos personales no es algo que podamos dejar que otros hagan por nosotros. Cada uno de nosotros debe tomarse muy en serio nuestra propia seguridad cibernética.
P3: ¿Cómo surgió la idea de un software de simulación para la ciberseguridad de los hospitales?
En Stat59 estudiamos las necesidades de nuestros clientes, y por ello hablamos mucho con los investigadores sobre cómo administran sus datos de estudio. Nos dimos cuenta desde el principio de que muchos investigadores no siguen buenas prácticas de seguridad cibernética, o incluso adoptan prácticas deficientes, como contraseñas compartidas, datos almacenados en discos duros sin cifrar e incluso documentos confidenciales que se envían y reciben por correo electrónico. Al mismo tiempo, nos dimos cuenta de que el número de casos publicados de ataques de ciberseguridad en el cuidado de la salud iba en aumento. Al leer las descripciones de los ataques, descubrimos que, en muchos casos, los perpetradores usaban técnicas simples para eludir la seguridad. A menudo tan simples como adivinar contraseñas e ingeniería social.
La enorme brecha entre las crecientes amenazas y la falta de protección de ciberseguridad en el cuidado de la salud nos preocupaba mucho. En 2019, me invitaron a hablar en la conferencia de la Sociedad Europea de Medicina de Emergencia en Praga sobre ciberseguridad. La sesión fue muy bien recibida y hubo una excelente conversación después. He desarrollado varios paquetes de software de simulación en el pasado. Y, en el camino de regreso a casa desde Praga, comencé a pensar en cómo convertir las enseñanzas de la conferencia que había dado en una simulación interactiva. A partir de ahí, nació HackableHospital.
P4: ¿Cómo funciona la simulación?
HackableHospital es una simulación grupal interactiva online. Los participantes no necesitan estar en la misma habitación y pueden estar en cualquier lugar que tenga acceso a Internet. Esta ha sido una gran ventaja de nuestro software durante la pandemia de COVID, donde se está restringiendo la enseñanza presencial. Preferimos trabajar en el modelo de aula invertida: se pide a los participantes que vean un breve video de YouTube sobre ciberseguridadantes de la simulación.
El escenario de la simulación puede variar según los antecedentes de los participantes. Por ejemplo, hemos utilizado el software de simulación para enseñar a los estudiantes del Máster Europeo en Medicina de Desastres sobre ciberseguridad y ciberterrorismo. En este entorno, los estudiantes se dividen en grupos y desempeñan el papel de expertos en TI que trabajan en medicina de desastres con la tarea de encontrar debilidades en la infraestructura del hospital y desarrollar planes de mitigación y recuperación para las debilidades. Independientemente del escenario, la tarea principal de HackableHospital es eludir la seguridad informática del hospital y provocar el caos en el sistema. La simulación es vulnerable a muchos tipos de ataques, incluidos la suplantación de identidad, la manipulación, la ingeniería social y la adivinación de contraseñas. Cuando los participantes pueden encontrar y usar un exploit, hay un comunicado de prensa que brinda información instantánea de que se ha encontrado el exploit.
Encontramos que la simulación funciona mejor cuando los participantes trabajan en pequeños equipos de 5 a 10 personas. A menudo tenemos varios equipos trabajando en hospitales diferentes (pero idénticos), y esto crea una especie de ambiente divertido/competitivo, ya que los equipos pueden ver los resultados de los ataques al otro hospital en el comunicado de prensa, pero no cómo se hizo. Cada sesión de simulación termina con un debriefing. Por lo general, se le pide a cada equipo que describa un exploit, proporcione el nombre del exploit y luego brinde 1 o 2 estrategias de mitigación. También nos gusta dejar tiempo para que el grupo discuta otros temas de ciberseguridad.
P5: Concluye diciéndonos cuál es, en tu opinión, la singularidad de HackableHospital.
La ciberseguridad no siempre es el tema más interesante. Mantener a los participantes comprometidos durante una conferencia no es fácil. Antes de asistir a nuestra simulación, muchos trabajadores de la salud tienden a percibir la ciberseguridad como «cosas que hace TI para mantener segura la red» en lugar de «cosas que debo hacer para mantenerme seguro». HackableHospital es único en el sentido de que la arquitectura del software y el flujo de las sesiones de enseñanza están optimizados para garantizar que los participantes aprendan consejos útiles tanto en sus carreras en el cuidado de la salud como para la protección de sus propios datos personales e identidad. A menudo hay un elemento de sorpresa cuando los participantes ven lo fácil que puede ser penetrar en un sistema mal protegido y lo simple que puede ser protegerse de estos ataques.
HackableHospital brinda una experiencia interactiva (y divertida) en la que los participantes salen con un conjunto de herramientas útiles para proteger tanto su lugar de trabajo como su vida personal de los ataques cibernéticos.
Más información sobre HackableHospital
