Español 
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Qué significa la marca Cyber Trust de EE. UU. para la seguridad de IoT en la atención médica
Fuente: Getty Images
10 de agosto de 2023: en julio de 2023, la Administración Biden-Harris anunció la creación de US Cyber Trust Mark, un programa de etiquetado de ciberseguridad para dispositivos de Internet de las cosas (IoT) para ayudar a los consumidores a realizar compras informadas teniendo en cuenta la seguridad.
Propuesta por la presidenta de la Comisión Federal de Comunicaciones (FCC), Jessica Rosenworcel, la marca Cyber Trust Mark de EE. UU. tiene como objetivo brindar garantías de ciberseguridad para los dispositivos IoT de consumo, desde refrigeradores inteligentes hasta televisores inteligentes, sistemas de control climático y rastreadores de actividad física.
Aunque el programa aún se encuentra en sus primeras etapas, los expertos en IoT ya tienen predicciones sobre cómo esta marca de confianza podría ampliarse y aplicarse a una variedad de productos, incluidos los dispositivos de Internet de las cosas médicas (IoMT).
"En primer lugar, la marca Cyber Trust Mark de EE. UU. muestra un papel gubernamental más activo en la aplicación de los estándares de ciberseguridad para los dispositivos de IoT", dijo a HealthITSecurity Shankar Somasundaram, director ejecutivo de Asimily. "Eso es importante y ciertamente es un buen augurio para el futuro de la industria".
El tiempo dirá cómo el programa Cyber Trust Mark de EE. UU. afectará las compras de consumidores y empresas, y cómo informará las regulaciones futuras en el espacio de IoT e IoT. Pero a partir de ahora, los expertos de IoT en el ámbito de la atención sanitaria tienen la esperanza de que este sea un paso en la dirección correcta.
“Los dispositivos inteligentes hacen que nuestra vida sea más fácil y más eficiente: desde permitirnos comprobar quién está en la puerta de entrada cuando estamos fuera hasta ayudarnos a controlar nuestra salud, ajustar remotamente el termostato para ahorrar energía, trabajar desde casa de manera más eficiente, y mucho más”, dijo Rosenworcel en un comunicado de prensa que acompaña a la propuesta. "Pero una mayor interconexión también conlleva mayores riesgos de seguridad y privacidad".
Las vulnerabilidades de ciberseguridad no controladas en los dispositivos de IoT pueden proporcionar a los actores de amenazas puntos de entrada fáciles a la red. Las organizaciones de todos los sectores se han enfrentado a un aumento de la exposición a la ciberseguridad a medida que aumenta la interconectividad, lo que las ha llevado a intensificar los programas de gestión de vulnerabilidades para gestionar miles de dispositivos conectados a Internet a la vez.
Del lado del consumidor, los dispositivos inteligentes utilizados en el hogar también pueden estar sujetos a riesgos cibernéticos, sugirió la FCC.
Así como el programa Energy Star ofrece garantías sobre electrodomésticos de bajo consumo, la marca Cyber Trust Mark de EE. UU. aparecería en dispositivos que hayan cumplido estándares de seguridad ampliamente aceptados establecidos por el Instituto Nacional de Estándares y Tecnología (NIST).
Con un vistazo al logotipo de Cyber Trust Mark en un dispositivo, los consumidores estarían capacitados para tomar decisiones de compra sin sacrificar la seguridad. La marca indicará a los consumidores que el dispositivo cumple con determinados criterios de ciberseguridad basados en NIST en torno a contraseñas predeterminadas seguras, actualizaciones de software y capacidades de detección de incidentes.
Es más, la FCC pretende aprovechar los códigos QR para vincularlos a un registro nacional de dispositivos certificados, permitiendo a los consumidores comparar y contrastar la seguridad cibernética de varios dispositivos.
Este desarrollo llega apenas unos meses después de que se promulgara la Ley Ómnibus, que exige que los fabricantes de dispositivos médicos proporcionen cierta información de ciberseguridad a la FDA en sus presentaciones previas a la comercialización de dispositivos. La norma entrará en vigor el 1 de octubre y se considera en gran medida una victoria para quienes abogan por una mayor seguridad de los dispositivos médicos.
Somasundaram expresó su esperanza de que la marca Cyber Trust Mark de EE. UU. contribuya de manera similar a una mayor confianza del mercado en los dispositivos IoT e IoMT a medida que el gobierno federal trabaja para optimizar los procesos de garantía de seguridad para dispositivos inteligentes.
“Para ser claros, el programa Cyber Trust Mark inicialmente estará orientado a etiquetar dispositivos de consumo. Debería cubrir los dispositivos de atención médica domiciliaria, lo que permitiría a los consumidores sentirse más seguros al utilizar dispositivos y equipos médicos conectados a Internet”, señaló Somasundaram.
"Sin embargo, a medida que el gobierno ultima los detalles y el programa evoluciona después de su implementación inicial, creo que otros dispositivos críticos como IoMT también recibirían algún tipo de certificación".
Si bien la propuesta inicial de Cyber Trust Mark se centra en dispositivos de consumo en lugar de dispositivos médicos utilizados en hospitales, existe potencial para que esta iniciativa crezca. Además, la creciente popularidad de la telesalud y los dispositivos médicos fabricados para uso doméstico están desdibujando la línea entre los dispositivos comerciales y de consumo.
Jim Hyman, director ejecutivo de Ordr, expresó de manera similar su positividad con respecto a la marca Cyber Trust Mark de EE. UU., especialmente porque la definición de dispositivo médico continúa cambiando.
“Dentro de dos años, nuestras enfermeras y médicos no transcribirán sus notas en un paquete de software. Simplemente los estarán dictando y luego ese mensaje será automáticamente descifrado y enviado a todos los sistemas necesarios. Y si bien eso es algo realmente sorprendente desde la perspectiva de la funcionalidad, usabilidad y experiencia del paciente, abre una categoría completamente nueva de para qué se puede usar esta marca”, compartió Hyman en una entrevista con HealthITSecurity.
"La superficie de ataque crecerá exponencialmente en los próximos años, por lo que creo que eso hace que este tipo de programa sea aún más importante".
Aun así, Hyman expresó que este tipo de estándares tienen sus limitaciones.
"Estas acciones están arrojando luz sobre el problema que existe con respecto a la industria y los dispositivos de la atención médica", dijo Hyman. "Dicho esto, hay mucho que el gobierno por sí solo puede hacer".
La gestión eficaz del riesgo hoy en día requiere que las organizaciones se hagan cargo de la gestión de dispositivos por sí mismas y establezcan procesos internos sólidos para abordar las vulnerabilidades de seguridad que se encuentran en los dispositivos conectados a Internet.
Hyman también enfatizó que la complejidad de los dispositivos de atención médica domiciliaria difiere significativamente de los dispositivos en un hospital. Un rastreador de actividad física puede usarse durante tres o cuatro años, mientras que la vida útil de una máquina de resonancia magnética puede durar 20 años. Teniendo en cuenta estas consideraciones, aplicar un modelo de ciberconfianza similar a la atención sanitaria sería un desafío.
Además, afirmó Hyman, una marca de confianza cibernética en un dispositivo de atención médica no reemplazaría la necesidad de una organización de validar controles, ejecutar evaluaciones de riesgos y comparar los dispositivos con sus programas de cumplimiento.
Desde la perspectiva de Somasundaram, Cyber Trust Mark podría, como mínimo, agilizar estos procesos. Además, las organizaciones podrían utilizar la designación Cyber Trust Mark como una herramienta adicional para recomendar con confianza dispositivos de atención médica domiciliaria seguros a los pacientes.
"Con suerte, en el futuro, los HDO podrán recurrir a la certificación Cyber Trust Mark para identificar y adquirir dispositivos IoT con mayor seguridad y, a su vez, ampliar sus flotas con más velocidad y confianza", añadió Somasundaram.
Si se adopta mediante votación de la FCC, la Cyber Trust Mark de EE. UU. podría estar en funcionamiento a finales de 2024. La Comisión ya ha solicitado el registro de una marca nacional para el logotipo de Cyber Trust Mark de EE. UU. ante la Oficina de Patentes y Marcas de EE. UU.
Aunque el programa será voluntario, varios fabricantes y minoristas importantes ya se han comprometido a ampliarlo, incluidos Google, Best Buy, Amazon, Logitech, LG Electronics USA y Samsung.
Ahora, la FCC está buscando la opinión del público sobre cuestiones clave, como el alcance de los dispositivos que deberían ser elegibles para su inclusión en el programa de etiquetado, quién debería supervisar el programa y cómo establecer y demostrar el cumplimiento de los estándares de seguridad.
“Los fabricantes de dispositivos médicos y [las organizaciones de atención médica] también deberían estar atentos a los detalles específicos de los requisitos de certificación gubernamentales a medida que se desarrollan el programa Cyber Trust Mark de EE. UU. y otros”, sugirió Somasundaram.
“Desde una perspectiva operativa práctica, la certificación en sí misma debe ser un proceso ágil y rápido para que dispositivos de consumo y de grado hospitalario más seguros lleguen rápidamente al mercado. Los fabricantes y [las organizaciones de atención médica] sin duda expresarán sus opiniones a medida que el gobierno encuentre su equilibrio para aplicar una aplicación más estricta de la ciberseguridad al IoMT”.