Embed Size (px)
Citation preview
El valor del Centro
de Ciberseguridad
Industrial para el
Sector Farmacéutico
y Salud
Centro de Ciberseguridad Industrial
www.cci-es.org
EL CCI Y EL SECTOR FARMAÉUTICO 2
INDICE
CENTRO DE CIBERSEGURIDAD INDUSTRIAL ........................................................... 3
SITUACIÓN GENERAL ........................................................................................................... 4
PRINCIPALES RIESGOS CIBERMÁTICOS .................................................................... 5
ALGUNOS DE LOS ATAQUES IDENTIFICADOS AL SECTOR FARMACÉUTICO
........................................................................................................................................................ 7
VALOR DEL CENTRO DE CIBERSEGURIDAD INDUSTRIAL PARA EL SECTOR
........................................................................................................................................................ 8
REFERENCIAS UTILIZADAS ............................................................................................... 9
EL CCI Y EL SECTOR FARMAÉUTICO 3
Centro de Ciberseguridad Industrial
El Centro de
Ciberseguridad Industrial
(CCI) es una organización
independiente sin ánimo
de lucro cuya misión es
impulsar y contribuir a la
mejora de la
Ciberseguridad Industrial
desarrollando actividades
de análisis, desarrollo de
estudios e intercambio de
información sobre el
conjunto de prácticas,
procesos y tecnologías,
diseñadas para gestionar
el riesgo del ciberespacio
derivado del uso,
procesamiento,
almacenamiento y
transmisión de información
utilizada en las
organizaciones e
infraestructuras
industriales y cómo éstas
suponen una de las bases
sobre las que está
construida la sociedad
actual.
El CCI aspira a convertirse
en el punto independiente
de encuentro de los
organismos, privados y
públicos, y profesionales
relacionados con las
prácticas y tecnologías de
la Ciberseguridad
Industrial, así como en la
referencia hispanohablante
para el intercambio de
conocimiento, experiencias
y la dinamización de los
sectores involucrados en
este ámbito.
Centro de
Ciberseguridad Industrial
C/ Maiquez, 18
28009 MADRID
Tel.: +34 910 910 751
e-mail: [email protected]
www.cci-es.org
Blog: blog.cci-es.org
Twitter: @info_cci
EL CCI Y EL SECTOR FARMAÉUTICO 4
Situación General
El sector salud está considerado como sector crítico en la mayoría de los países.
Es un sector en evolución con nuevas preocupaciones hacia el futuro,
procedentes de:
a) Propias exigencias del sector
b) Conocimiento científico
c) Capacidad tecnológica
d) Métodos nuevos de gestión
Este sector genera múltiples actividades necesarias para, según la Agencia
Española del Medicamento “garantizar a la sociedad, desde la perspectiva de servicio
público, la calidad, seguridad, eficacia y correcta información de los medicamentos y
productos sanitarios, desde su investigación hasta su utilización, en interés de la
protección y promoción de la salud de las personas, de la sanidad animal y el medio
ambiente” (Fuente: Presentación de la Agencia Española del Medicamento).
Es además un sector altamente generador de patentes ligados a la investigación.
Además, con la evolución reciente del sector, éste genera y almacena una gran
cantidad de datos confidenciales, desde los propios relacionados con pacientes a
los procedentes de uso de dispositivos médicos.
El mal uso de estos datos puede causar daños a la integridad de las personas,
tanto a la sociedad civil como a los propios responsables y trabajadores de las
instalaciones farmacéuticas, habiendo desarrollado una metodología propia para
la protección e higiene de seguridad en el trabajo.
Es un sector especialmente sensible al impacto de sus procesos en el medio
ambiente, y generador de residuos tóxicos y peligrosos cuyo proceso de
eliminación debe estar especialmente diseñado, acordado, aceptado y listo para
su ejecución cuando sea necesario.
EL CCI Y EL SECTOR FARMAÉUTICO 5
(*) Fuente: Mapfre Seguridad, Segundo Trimestre 1998
Por otra parte, es un sector altamente regulado, precisamente por el riesgo que
supone la alteración de sus procesos para la salud pública.
En él intervienen multitud de proveedores, cuya adecuada gestión es primordial
para garantizar la calidad del producto final.
Principales Riesgos Cibermáticos
El sector farmacéutico es el principal responsable de la producción y distribución
de medicamentos, así como de su recogida y eliminación de residuos con una
clara responsabilidad hacia el medio ambiente.
Además, al igual que otros sectores, muchos de sus procesos están ya
automatizados, pudiendo ser controlados desde los sistemas centrales de gestión
de información y generando multitud de datos que pueden ser manipulados,
alterados y perdidos de una manera intencionada o no.
Los propietarios y gestores de los sistemas de control industrial en el sector
farmacéutico tienen gran experiencia en el establecimiento y desarrollo de
medidas de seguridad física, medio ambiental, de prevención laboral, lo cual,
indudablemente ha salvado muchas vidas y protegido a las instalaciones
industriales de ataques físicos (que requieren presencia física). Sin embargo,
desde un punto de vista lógico, la gran mayoría de los sistemas de control
industriales son vulnerables (malware, botnets, Denegación de Servicio, etc.).
EL CCI Y EL SECTOR FARMAÉUTICO 6
Esto supone un cambio de tendencia importante ya que debido a la integración
de las redes de control con las corporativas, hoy en día, los ataques ya no
requieren presencia física en las instalaciones y pueden ser realizados de manera
remota a través de redes públicas. Esta situación se ve agravada por el hecho de
que las instalaciones ya no deben defenderse sólo de los ataques dirigidos a
ellas, sino que también son vulnerables a ataques casuales o al azar que tan sólo
buscan un objetivo vulnerable.
Desde el Centro de Ciberseguridad Industrial se ha definido un incidente
cibermático a todo aquel suceso surgido del ciberespacio como consecuencia del
uso, procesamiento, almacenamiento y transmisión de información utilizada en
las organizaciones e infraestructuras industriales, utilizando las perspectivas de
personas, procesos y tecnologías.
Según los últimos datos, el sector farmacéutico y de salud en general está
siendo un objetivo deseado por los atacantes, siendo capaces de generar riesgos
económicos, de salud pública y de reputación corporativa.
Hay muchas actividades realizadas por este sector que pueden ser susceptibles a
un ciberataque, tales como:
Uso indebido de las instalaciones de fabricación de medicamentos, de
manera accidental o intencionada.
Ataques a los accesos a datos confidenciales tales como resultados de
investigaciones, datos de pacientes o de los procesos de distribución de
los medicamentos.
En las actividades realizadas por el sector farmacéutico y orientadas a la
protección del medio ambiente puede haber ataques en actividades tales
como la analítica de aguas.
Se puede alterar gravemente el proceso de supervisión y abastecimiento
de los medicamentos.
Se puede alterar gravemente el proceso de liberación de medicamentos,
introduciendo errores que deriven en la disponibilidad de medicamentos
que utilizan sustancias ilegales o no convenientemente probadas.
Se puede atentar contra la propiedad intelectual robando patentes de
medicamentos o liberando información altamente confidencial.
Pueden realizarse ataques internos por empleados o proveedores.
EL CCI Y EL SECTOR FARMAÉUTICO 7
Algunos de los ataques Identificados al Sector
Farmacéutico
El sector farmacéutico, al igual que otros muchos sectores, tiene una alta
dependencia en la automatización de procesos de gestión y muchos de los
industriales.
De acuerdo con el Plan Estratégico General en vigor de la Agencia Española del
Medicamento y en coordinación con la legislación europea, se ha potenciado
durante estos años la utilización de los sistemas de información para algunas
actividades tales como:
a) Implantación del formato electrónico del expediente de autorización
(e-CTD) para todo el ciclo de vida del medicamento haciendo de RAEFAR
el soporte de los datos (Proyecto 1.1.1 correspondiente a la Estrategia 1
de dicho plan).
b) Actualización y mantenimiento del portal de Ensayos Clínicos junto con
el Centro coordinador de CEIC, de forma compatible con la base de datos
europea EudraCT y desarrollo y mantenimiento de la base de datos de
Ensayos Clínicos de la Agencia, compatible con EudraCT (Proyecto
1.1.7, correspondiente a la Estrategia 1).
Los propios procesos de fabricación están igualmente regulados según la
legislación vigente, con un especial apartado dedicado a las características de los
equipos informatizados utilizados para la fabricación de medicamentos
(Eudralex, Volumen 4, Capítulo 11).
Conforme a este documento, cuando se utilicen equipos informatizados para las
actividades del sector farmacéutico, estos deben cumplir una serie de funciones
de tal manera que “ no haya un deterioro de la calidad, el control de los
procesos, o la garantía de calidad; asi mismo, no debe generar riesgos
adicionales”. (Eudralex, Volumen 4, Anexo 11 correspondiente a Computerized
Systems).
A esto se añade la generación de datos críticos por la utilización de las medidas
descritas, que se almacenan, se transmiten, y como tal, se pueden vulnerar.
Aunque no hay mucha información pública, sí se ha detectado una corriente
creciente de ataques a instalaciones farmacéuticas, siendo algunos de los más
recientes:
Ataque a los Registros de Pacientes y Bloqueo de los Sistemas en
algunas instalaciones farmacéuticas australianas (17 de Enero, 2014.
Fuente: Pharmacy Board of Australia).
Reproducción maliciosa de sitios Web de compañías farmacéuticas,
con el objetivo de desviar la atención hacia estas compañías y así captar
información del visitante y contagiar a la red de proveedores y clientes.
Reproducción de sitios oficiales relacionados con la salud tal como el
National Institute for Health en Estados Unidos.
EL CCI Y EL SECTOR FARMAÉUTICO 8
Envio masivo de spams a clientes de laboratorios específicos
(“Hacktivists”).
Estos tres últimos ataques están descritos en el sitio Cyber Squared y publicados
en el Medical Threats Blog, creado en la red ThreatConnect.
El panorama descrito demuestra la necesidad de proteger las instalaciones
farmacéuticas y de fabricación de medicamentos de uso humano y veterinario de
ataques intencionados o accidentales, así como responder a la demanda
creciente de los profesionales del sector de ofrecer procedimientos claros de
respuesta cuando éstos se produzcan.
Valor del Centro de Ciberseguridad Industrial para
el Sector
El Centro de Ciberseguridad Industrial se creo con el objetivo de facilitar el
intercambio de información, la formación y la implantación de buenas prácticas
en el entorno industrial. Su actividad ha tenido un reconocido éxito para los
sectores que actualmente forman parte de él.
El sector farmacéutico se puede beneficiar de la iniciativa participando en las
actividades propuestas y por la interrelación con otros sectores de su interés.
Algunas de las iniciativas organizadas por el Centro que pueden tener un
impacto beneficioso en el sector farmacéutico son:
Participación en los eventos periódicos de “La Voz de la Industria”
organizados por éste.
Asistencia a los cursos sobre Ciberseguridad Industrial y Protección de
Infraestructuras Críticas.
Colaboración en la publicación de documentos del Centro.
Acceso a instituciones públicas con especial relevancia en el Sector.
Colaboración e iniciativas con otros socios pertenecientes a sectores de
necesaria colaboración como son organizaciones medio ambientales (i.e.
gestión de aguas), proveedores de equipos y componentes industriales,
consultoras, etc.
EL CCI Y EL SECTOR FARMAÉUTICO 9
Referencias Utilizadas
Eudralex, http://ec.europa.eu/health/documents/eudralex/
CFATS, Chemical Facility Antiterrorist Standards,
http://www.dhs.gov/critical-infrastructure-chemical-security
FDA Regulation 21 CFR part 11 - Secuirty requirements for computer systems
involved in data collection for drug research and clinical trials.
http://www.21cfrpart11.com/files/library/government/21cfrpart11_final_rule.pdf
National Cyber-Forensics & Training Alliance, Pharmacy Initiative
http://www.ncfta.net/pharmacy.aspx
Presentación de la Agencia Española del Medicamento,
http://www.aemps.gob.es/laAEMPS/presentacion/home.htm
“Mapa de Ruta de la Ciberseguridad Industrial en España, 2013-2018”, Centro de
Ciberseguridad Industrial, Junio 2013
Blogs Especializados
“Cybercrime in the pharmaceutical industry: a booming business”
http://www.pharmaceutical-technology.com/features/featurecybercrime-
pharmaceutical-industry-biotech
Cyber Squared Blog, “Network Health: Advanced CyberThreats to the Medical &
Life Sciences Industry”
http://www.cybersquared.com/2013/03/network-health-advanced-cyber-
threats-to-the-medical-life-sciences-industries/
EL CCI Y EL SECTOR FARMAÉUTICO 10
Patrocinadores del CCI
Platinum
Gold
Silver
Bronze
Centro de Ciberseguridad Industrial
www.cci-es.org
