Cómo combatir el ransomware en el sector sanitario con la visibilidad adecuada

En la primera mitad de 2021, el promedio de exigencias de rescate por ransomware se disparó un 518%, mientras que los pagos aumentaron un 82%. Pero, además, hubo un número creciente de ataques en el sector sanitario, donde, según un análisis de PwC, solo en los tres primeros meses de 2021 se produjeron 25 ataques globales de ransomware.

Estos incidentes no sólo suponen millones de euros en recuperación, sino que también han generado retrasos en el tratamiento de los pacientes e incluso en algunos casos, pérdida de vidas. Con el ransomware tan extendido, las organizaciones están empezando a buscar qué otras capas de seguridad pueden ser utilizadas para combatir los ataques y, la mayoría de ellas, han comenzado con la seguridad básica del correo electrónico, desplegando una solución de seguridad específica. Sin embargo, los atacantes siempre encuentran alguna forma para introducir un enlace o un archivo que supere estos controles, por lo que los vectores de ataque deben ser analizados de una forma holística.

Hoy en día, la forma de enfrentarse al ransomware está cambiando según los usuarios están evolucionando. Los dispositivos son BYOD y los datos ya no se encuentran en un servidor físico, en un centro de datos local con acceso presencial, sino que, en su mayor parte, están alojados en otro lugar del mundo, en máquinas gestionadas y mantenidas por terceros. Está situación ha provocado que, curiosamente, muchas personas bajen la guardia y den por hecho que, si su nube pública se cifra, alguien intervendrá y todo estará mágicamente bien.

Sin embargo, nada más lejos de la realidad. Los factores de riesgo del ransomware exigen un enfoque proactivo, tanto para la prevención como para la recuperación. En realidad, todo puede reducirse a que un usuario haga un clic erróneo para que, posteriormente, caiga toda la red.

Para prepararse ante un ataque de ransomware, y dejando a un lado la cuestión de si debe o no pagarse un rescate, hay dos cosas que han de ser tenidas en cuenta:

• Si los datos han sido cifrados (o se pierden o se quedan fuera de alcance debido a una catástrofe), el usuario debe ser capaz de restaurar sus sistemas lo más rápidamente posible.
• No confiar. Incluso después de que las operaciones vuelvan a estar en línea, sigue existiendo la preocupación de que un atacante pueda haber filtrado también datos sensibles o privados.

El proceso de recuperación suele ser lo último en lo que se piensa. La recuperación ante desastres y la continuidad del negocio (DRBC) es probablemente la pieza más difícil de resolver y, a menudo, la más ignorada. Pero si su organización está en el sector de la sanidad o forma parte de una infraestructura crítica como los servicios públicos, las interrupciones del servicio pueden tener consecuencias de vida o muerte. Garantizar la continuidad del negocio puede significar la capacidad de seguir trabajando para salvar vidas, lo que significa que el tiempo de recuperación inmediata va a ser muy importante.

Hoy en día, las soluciones para copias de seguridad alojadas en la nube facilitan mucho las cosas porque toman instantáneas en el momento de los datos. Por esta razón, el almacenamiento en la nube hace que el DRBC sea un proceso mucho más rápido que las soluciones tradicionales, que todavía están atascadas en un marco mental de servidores y dispositivos físicos.

Para mantenerse a la vanguardia del ransomware, las empresas deben dar un paso hacia adelante y adoptar una estrategia de DRBC de nueva generación basada en la nube. Una de las principales razones por las que muchas organizaciones no han dado este paso crítico es porque les preocupa la seguridad de esos entornos en la nube.

Y el hecho es que, en comparación con muchos de los antiguos enfoques de almacenamiento secundario, la nube puede ofrecer mejor visibilidad y control de los datos que los servidores en un centro de datos físico. El tiempo de recuperación puede ser mucho más rápido y el tiempo de actividad, muy superior.

En el ámbito de la sanidad, no se trata necesariamente de recuperar el acceso a los datos, sino de saber qué más ocurrió durante el proceso de cifrado. ¿Resultaron dañados los datos? ¿Se vulneró también la privacidad de los pacientes en el proceso de dicho ataque?

La segunda parte de la preparación ante el ransomware consiste en lograr una visibilidad completa de los datos por medio de su clasificación. Hay que ser capaz de inventariar todos los datos, etiquetándolos según su tipo, sensibilidad y ubicación. Esta visibilidad ayudará a mantener las cosas buenas dentro y las malas fuera.

En el caso del ransomware y dado que las comunicaciones en el trabajo han trascendido el correo electrónico y han evolucionado hacia herramientas de colaboración para trabajar en equipo (Slack, WebEx o Teams), la utilización de estas como vector de ataque es cada vez más común. El atacante sólo tiene que ser capaz de provocar un solo clic en un enlace - a una carpeta de Google Drive o Dropbox donde se encuentra la carga útil- para lanzar su malware e iniciar el proceso de cifrado. Por ello, disponer de una visibilidad transparente y de controles basados en políticas granulares puede ayudar a evitar que esto ocurra.

Con una arquitectura de servicio de acceso seguro en el borde (SASE) y capacidades de prevención de pérdida de datos (DLP), es posible proteger a los usuarios dentro de lo que se conoce: OneDrive o Google Drive, o del canal corporativo de Slack. El problema es que no sabemos lo que no sabemos.

Aquí es también donde la confianza cero pasa a formar parte de la historia, en concreto, la confianza adaptativa continua. Es necesario ampliar la visibilidad de la seguridad total más allá de los datos para tener también una visión completa de los usuarios, los dispositivos y las aplicaciones. Esto genera una mayor capacidad para aplicar controles granulares basados en funciones y reducir las oportunidades de que las amenazas (incluido el ransomware) alcancen nuestras redes.