Presentación donde se demuestra la vulnerabilidad con los dispositivos médicos o cómo una mala configuración de los sistemas o el fallo humano pueden llevar al descontrol en un hospital.

1. (IN)Seguridadinformática en
elsectorBiomédico
Miembros:
BelénFosGuarinos
DanielFerreroMicó
SistemasdeInformaciónyTelemedicinaI
PROFESORES:
VicenteTraverSalcedo
AntonioMocholíSalcedo
Trabajo2
Fecha:17-12-2015

2. índice:
1. Introducción
2. Casosdecontroversia
3. (IN)Seguridadinformáticaenaplicacionesmédicas
4. Problemática
5. Posiblessoluciones
6. Análisispersonal
7. Bibliografía

3. 1. Introducción
¿Quéesunhacker?

4. 1. Introducción

5. 1. Introducción
¿aquésedebenestostitulares?
● Informaciónllamativa
● malainfraestructura
○ Sistemasdesactualizados,noplataformados
○ desconocimientoinformáticopaciente/doctor
● Empresas
○ buscanfuncionamientoóptimoenlugardeFuncionamientoseguro

6. 2.Casosdecontroversia
BOMBADEINSULINA
● ConexióninaláMbrica
JAY RADCLIFFE→ 2011, COMO UNA BOMBA DE
INSULINA PUEDE SER MANIPULADA PARA
DISPENSARUNACANTIDADLETALDE INSULINA

7. 2.Casosdecontroversia
BOMBADEINSULINA

8. 2.Casosdecontroversia
BOMBADEINSULINA
Evoluciónenelhackeo →Barnabyjack

9. 2.Casosdecontroversia
Medtronic’sParadigm512,522,712&722

10. 2.Casosdecontroversia
marcapasos posible → choque de 830 voltios que puede
acabar con la vida del paciente a partir de un
portátil (a 10-15 metros), Apagar el
marcapasos, lectura y escritura en memoria
deldispositivo
software → diseñado, se apodera del control
del dispositivo a través de transmisor
inalámbrico.

11. 2.Casosdecontroversia
"To me, a laptop doesn't look like a device
thatiscapableof killingsomeone"
"We are potentially looking at a worm
withtheabilitytocommit massmurder"
barnabyjack

12. 2.Casosdecontroversia
Lagenteenelpoderprefierequealgunos secretospermanezcan
enterradosymejorquealgunas palabrassedejensindecir.

13. 2.Casosdecontroversia
otrosdispositivos
Unidadesderefrigeración
desangre
sistemaderayosx Escánerdetac

14. 3.(IN)Seguridadinformáticaenaplicacionesmédicas
Nivel de
glucosa
(mg/dL)
Paciente
Belén Daniel Carlos
75.9 103.2 93
73.2 100.2 92
71.2 104.1 94

15. 3.(IN)Seguridadinformáticaenaplicacionesmédicas
Nivel de
glucosa
(mg/dL)
Paciente
Belén Daniel Carlos
95.9 83.2 73
93.2 80.2 72
91.2 84.1 74

16. 4.Problemática
Nosetieneencuentala diferenciaentrehackeryciberdelincuente→Problema
Nosepresta atenciónalaseguridad alahoradediseñardispositivos.talvezdarleimportanciaaestasvulnerabilidades
podríadarunamalaimagendelaempresa
Existen muchísimos dispositivos y aplicaciones que, gracias al Internet de las cosas, están además de mejorando la vida
delpaciente,poniéndolaenpeligro
Como a ingenieros biomédicos este sector es un campo de extrema importancia, donde se tiene que hacer mucho hincapié,
paramejorarlasaluddelaspersonas,nosolounabúsquedahaciaelfuncionamientoóptimo.

17. 5.Posiblessoluciones

18. 6.Análisispersonal.Caso1
Riesgo Identificado Posibilidad de
que ocurra
Impacto Medida Correctora Indicadores u otros
comentarios
Obtención de
contraseñas/identificadores
de IMD no cifradas o por
defecto
Media. Se
requiere acceso a
la base de datos
Medio. Tener la
contraseña no
implica modificación
del firmware.
Cambio de las contraseñas
por defecto
Medidas de Seguridad de
Nivel Alto (RD 1720/2007).
Obtención de datos de salud
de un paciente
Interceptación de
comunicación no cifrada en
IMD
Media. Obtenido
el número de
serie es sencillo
interceptar la
comunicación
Medio. Peligro la
privacidad.
Las transmisiones deben ser
cifradas
Modificación del firmware
debido a ausencia de firma
o autenticación.
Baja. No se ha
dado ningún caso
Alto. Está en juego
la vida del paciente.
Autenticación del usuario.
Actualizaciones de firmware
para verificar el código.
Desarrollo de métodos para
restricciones de software

19. 6.Análisispersonal.Caso2
Riesgo Identificado
Posibilidad de que
ocurra
Impacto Medida Correctora
Indicadores u otros
comentarios
Acceso a la red y a los equipos no
restringido
Medio. PCs no
plataformados.
Bajo. Proliferación de
malware.
Limitar acceso a red.
Plataformar
ordenadores.
N/A
Bajo conocimiento de seguridad
por parte de técnicos y personal
sanitario
Alto. Personal
hospitalario desconoce
los riesgos de Internet.
Medio. Intrusiones de
ciberdelincuentes.
Cursos de formación y
concienciación.
Sistemas no actualizados
Alto. Sistemas
operativos sin soporte.
Medio. Ciberdelincuente
puede saltar entre
ordenadores
Restricción de
permisos. Actualización
de sistemas operativos.
Acceso o modificación de
información confidencial debido a
arquitectura de red mal configurada
Alto. Información para
extorsión o venta
Alto. Una mala
configuración compromete
la red.
Securizar
infraestructura
Medidas de Seguridad
de Nivel Alto (RD
1720/2007). Obtención
de datos de salud de
un paciente

20. 7.Bibliografía
-HACKEODELIBERADOADISPOSITIVOSMÉDICOS.[Fechadeconsulta:03deDiciembrede2015].
-MEDICALDEVICESTHATAREVULNERABLETOLIFE-THREATENINGHACKS.[Fechadeconsulta:03deDiciembrede2015].
-THEDOCTORONAQUESTTOSAVEOURMEDICALDEVICESFROMHACKERS.[Fechadeconsulta:05deDiciembrede2015].
-LASEGURIDADDELOSDISPOSITIVOSEHEALTHENENTREDICHO.[Fechadeconsulta:29deNoviembrede2015].
-CREARNUNMÉTODOPARAEVITARELHACKEODEIMPLANTESMÉDICOS.[Fechadeconsulta:05deDiciembrede2015].

21. 7.Bibliografía
-FU. K, BLUM. J. “Controlling for cybersecurity risks of medical device software”. October 2013. Viewpoints. [Fecha de consulta: 08 de
Diciembrede2015].
-HACKERSBREAKINTONETWORKSOF3BIGMEDICALDEVICESMAKERS.[Fechadeconsulta:29deNoviembrede2015].
-BARNABYJACKCOULDHACKYOURPACEMAKERANDMAKEYOURHEARTEXPLODE.[Fechadeconsulta:08deDiciembrede2015].
-HACKINGIMPLANTABLEMEDICALDEVICES.[Fechadeconsulta:08deDiciembre2015].
-BLACK HAT 2011–HACKING MEDICAL DEVICES FOR FUN AND INSULIN: BREAKING THE HUMAN SCADA SYSTEM. [Fecha de consulta: 08 de Dicimebre
de2015].

22. Graciasporsu
atención.