Cómo Responder a un Ataque de Ransomware en Radiología

Reading Time: 9 minutes read

Lecciones aprendidas.

Por el Dr. Niall Sheehy, MB, MRCP, FFR RCSI St James’s Hospital – Trinity College de Dublín.

Imagine que su departamento de radiología no tiene acceso a su PACS, su RIS o incluso a su correo electrónico. ¿Cómo crearía y distribuiría los informes? ¿Cómo archivaría las imágenes? Esta es la situación preocupante en la que se encontró nuestro departamento de radiología a raíz de un ciberataque. Siga leyendo para conocer cómo reaccionamos a este ataque de ransomware en radiología y para aprender de nuestra experiencia en el caso de que le ocurra a usted.

En mayo de 2021, el St James’s Hospital de Dublín fue uno de los 54 hospitales públicos afectados cuando el Health Service Executive (HSE) fue víctima de un ciberataque por parte de Conti, una pandilla criminal sofisticada con motivos financieros. Esto se convirtió en el mayor ataque que se conoce contra un sistema informático de un servicio de salud en la historia y ocurrió durante la pandemia de COVID-19 (1).

Afortunadamente, nuestro departamento de radiología fue uno de los pocos que “solo” estuvo sin el sistema PACS seis días. Otros centros irlandeses de cuidado de la salud estuvieron sin PACS durante casi cinco semanas. Además, tuvieron que pasar casi cuatro meses desde el momento del ataque hasta que la mayoría de los sistemas y aplicaciones de HSE se restauraran totalmente.

De la suplantación de identidad al cifrado

El ataque comenzó con un intento de suplantación de identidad (phishing). La suplantación de identidad es un ciberdelito mediante el cual los estafadores ponen en peligro su sistema haciéndose pasar por una fuente de confianza o intentan engañar a alguien para que facilite información personal. En nuestro caso, alguien del sistema hospitalario público irlandés (HSE) abrió un archivo adjunto de Excel de un correo electrónico, con lo que se ejecutó un tipo de malware. Antes de que se detectara, el malware se propagó a muchos otros sistemas de la red de varios hospitales. El 14 de mayo de 2021, el grupo Conti activó el malware. El personal de todo el HSE recibió este siniestro mensaje intermitente en las computadoras: “Todos sus archivos están actualmente cifrados por el ransomware de CONTI. TOME ESTO EN CUENTA: Si trata de ignorarnos. Hemos descargado los datos y estamos listos para publicarlos en el sitio web de noticias si usted no responde”. (sic)

Dos de las nuevas iniciativas para protegerse de futuros ataques son la creación de políticas nacionales de ciberseguridad y de una oficina de seguridad cibernética, así como soluciones de copia de seguridad en los escáneres.

En un instante, el 80 % del entorno de TI del HSE estaba cifrado. La respuesta inmediata de TI fue cerrar todas las conexiones de la red para limitar la propagación del malware. Perdimos casi por completo la comunicación con los departamentos externos. Incluso se cayó nuestra Internet. A pesar de que el PACS nacional no estaba infectado, se desconectó de la red y quedó fuera de servicio. Todas nuestras modalidades estaban desconectadas de su archivo. No podíamos informar sobre los estudios y los médicos no podían ver las imágenes ni los informes. Se produjo una interrupción de servicio grave que tuvo un impacto negativo en los pacientes y en su cuidado de la salud. En términos de magnitud, la disminución de la actividad radiológica fue similar a la del primer aislamiento por COVID.

Nuestra respuesta al ataque de ransomware en radiología

Informes de radiología

Todo lo que teníamos eran modalidades en funcionamiento. Sin PACS/RIS, sin la red, sin acceso al correo electrónico ni a los archivos compartidos. Al principio veíamos las imágenes directamente de las modalidades, un proceso tedioso y lento. Algunos centros fuera de nuestro hospital pudieron configurar redes temporales con un mini PACS. Incluso después de que nuestras redes locales se restauraron, nuestras soluciones de informes domésticos permanecieron fuera de línea durante meses.

Distribución de órdenes e informes

Afortunadamente tenemos teléfonos personales. Los usamos mucho para crear y enviar informes por correo seguro. Seguíamos teniendo acceso a nuestro sistema de dictado en la nube (T-Pro) al que podíamos acceder con nuestros teléfonos inteligentes. En algunos casos, creamos informes utilizando papel y bolígrafo, y con la ayuda de papel carbón creamos copias. Los centros que seguían disponiendo de impresoras de placas las usaban para imprimir y enviar radiografías a centros remotos y a nuestro servicio de urgencias.

Una observación importante es que todos los sistemas de comunicación de HSE, principalmente el correo electrónico, se cayeron . Esto dificultaba en gran medida la comunicación con el personal. Esto también significaba que no podíamos utilizar el sistema de correo electrónico como mecanismo alterno para la distribución de informes.

Archivado temporal

Como se puede imaginar, se trataba de un problema importante, puesto que nuestras modalidades estaban desconectadas de PACS. Por supuesto, nuestro volumen de escaneos se redujo considerablemente debido a las repercusiones que tuvo el ciberataque en todo el hospital. No obstante, el almacenamiento de los escáneres se llenó rápidamente. En nuestro centro, utilizamos el almacenamiento de reserva de una estación de trabajo de IR. De este modo pudimos superar el periodo de 5 días sin acceso a nuestro PACS. Sin embargo, otros centros llenaron rápidamente sus almacenamientos locales y tuvieron que improvisar de otras maneras.

Conciliación tras la restauración del sistema

El trabajo estaba lejos de completarse una vez que se restauró nuestro RIS/PACS. Aún nos enfrentábamos al problema de vincular los informes que habíamos creado con nuestros sistemas temporales al RIS/PACS restaurado. Cada escaneado debía corresponderse con una orden, cada orden con un informe. En total, este proceso tardó unos meses en completarse.

Por otra parte, el efecto de la respuesta de TI del HSE al ataque —aunque necesaria— fue tan significativo como el impacto del propio ataque. El nuevo software de punto final que se instaló en todas las estaciones de trabajo y en los servidores se implementó de la noche a la mañana y sin llevar a cabo pruebas. Esto provocó varios problemas e impidió el acceso de nuestro departamento y de todos los demás departamentos de radiología a PACS durante varias semanas hasta que se pudieron resolver las excepciones pertinentes.

El software ImageView de CARESTREAM ofrece capacidades de seguridad avanzadas para protegerse de los riesgos de seguridad cibernética en constante cambio que amenazan sus estándares de cuidado de la salud para el paciente, cumplimiento normativo, reputación y finanzas.

Al igual que en la crisis de COVID, la respuesta de todo el personal, tanto del departamento como de nuestro equipo de apoyo de TI (tanto interno como de proveedores), fue excelente, y todos trabajaron con ahínco para que el sistema se reanudara en línea.

En conjunto, los costos relacionados con el ataque de ransomware se estiman en más de 100 millones de euros para el HSE, y aún quedan pendientes importantes costos legales. Además, 113 000 pacientes y miembros del personal fueron víctimas del robo de sus datos personales.

Cómo proteger el futuro

Hoy en día, el HSE y nuestros sistemas son mucho más seguros. Estas son las principales mejoras que ha hecho el HSE y que conviene tener en cuenta para su centro médico:

  • Hemos invertido en una significativa mejora de PACS nacional, dotándolo de una arquitectura mucho más segura basada en una nube privada. Esta mejora debería hacerlo más resistente y se puede reanudar en línea más rápido. En el futuro podríamos pasar a una solución totalmente en la nube.
  • Hemos instalado software de punto final y otras mejoras de seguridad en redes locales y nacionales con buenos resultados una vez resueltos los problemas iniciales.
  • Establecimos políticas nacionales y una oficina de seguridad cibernética.
  • Hemos configurado soluciones de copias de seguridad de archivos en nuestros escáneres para que podamos cambiar fácilmente en caso de que el PACS no esté disponible.
  • Muchos hospitales disponen ahora de existencias de equipos de TI y redes que pueden utilizarse en caso de emergencia para reconstruir los sistemas básicos. Han instalado servidores “oscuros” con políticas/infraestructura de TI que pueden utilizarse para reconstruir rápidamente una red rudimentaria en caso de una caída del sistema principal.
  • Estamos adoptando el correo electrónico y otros sistemas de comunicación que no están en el sitio para poder mantener el contacto con el personal durante un ataque.

A nivel internacional, algunos centros están trasladando sus PACS a un sistema en la nube. El sistema en la nube presenta varias ventajas. Por un lado, suele tener más capas de seguridad y más personal especializado. Además, hay varias copias de seguridad en la nube, por lo que la restauración del sistema es más sencilla. Por último, los datos de los clientes suelen estar cifrados, lo que hace más difícil que los piratas informáticos accedan a ellos.

Contáctanos
whatsapp
Fale conosco.

Aparte de tener en cuenta las medidas que tomamos en respuesta, animo  a los departamentos de radiología a ocuparse de otras posibles vulnerabilidades, como un personal de TI insuficiente , varias  versiones de software, múltiples aplicaciones y copias de seguridad poco fiables en los sistemas. Y si se encontrara en esta situación difícil, mi último consejo es que improvise, se adapte y se sobreponga.

Espero que le haya resultado útil nuestra experiencia en la respuesta a un ataque de ransomware en radiología. Gracias por leer el artículo.

Sobre el autor

Dr. Niall Sheehy, MB, MRCP, FFR RCS.

El Dr. Niall Sheehy, MB, MRCP, FFR RCSI, es radiólogo y profesor clínico asociado en el St James’s Hospital – Trinity College de Dublín. Lleva ejerciendo como radiólogo desde 2008. Fue decano de la Facultad de Radiología, RCSI. Fue el radiólogo principal en la adquisición de PACS nacional de Irlanda entre 2008 y 2012. Además, supervisó la transición de PACS cuando fue director clínico en el hospital más grande de Irlanda de 2013 a 2019. El Dr. Sheehy presentó esta información en una sesión de la ECR de 2023. Hizo una presentación sobre este tema en la ECR de 2023.

Más información

Cómo responder a un ataque de ransomware en radiología por el director del Centro Nacional de Cibernética Gallagher.

Referencia

  • 1 https://www.hse.ie/eng/services/publications/conti-cyber-attack-on-the-hse-full-report.pdf

POST A COMMENT

This site uses Akismet to reduce spam. Learn how your comment data is processed.