aunque los unidos El Departamento de Asuntos de Veteranos del Estado ejecuta algunos programas tecnológicos interesantes, no es conocido por ser una organización ágil y flexible. Y cuando se trata de la gestión de registros médicos electrónicos, el VA ha tenido un drama lento pero de alto riesgo durante años.
La plataforma de registros del departamento, VistA, instituida por primera vez a fines de la década de 1970, es elogiada como efectiva, confiable e incluso innovadora, pero décadas de inversión insuficiente han erosionado la plataforma. Varias veces a lo largo de la década de 2010, VA ha dicho que reemplazará VistA (abreviatura de Arquitectura de tecnología y sistemas de información para veteranos) con un producto comercial, y la última iteración de este esfuerzo está actualmente en curso. Sin embargo, mientras tanto, los investigadores de seguridad están encontrando problemas reales de seguridad en VistA que podrían afectar la atención al paciente. Quieren revelarlos al VA y solucionar los problemas, pero no han encontrado la manera de hacerlo porque VistA está en el corredor de la muerte.
En la conferencia de seguridad DefCon en Las Vegas el sábado, Zachary Minneker, investigador de seguridad con experiencia en TI de atención médica, presenta hallazgos sobre una debilidad preocupante en la forma en que VistA encripta las credenciales internas. Sin una capa adicional de encriptación de red (como TLS, que ahora es omnipresente en la web), Minneker descubrió que la encriptación casera desarrollada para VistA en la década de 1990 para proteger la conexión entre el servidor de red y las computadoras individuales se puede anular fácilmente. En la práctica, esto podría permitir que un atacante en la red de un hospital se haga pasar por un proveedor de atención médica dentro de VistA y posiblemente modifique los registros de los pacientes, envíe diagnósticos o incluso teóricamente prescriba medicamentos.
“Si estuviera adyacente en la red sin TLS, podría descifrar contraseñas, reemplazar paquetes, realizar modificaciones en la base de datos. En el peor de los casos, básicamente podrías hacerte pasar por médico”, dice Minneker a WIRED. «Este no es un buen mecanismo de control de acceso para un sistema de registro médico electrónico en la era moderna».
Minneker, que es ingeniero de seguridad en la empresa Security Innovation centrada en el software, solo discutió brevemente los hallazgos durante su charla de DefCon, que se centró principalmente en una evaluación de seguridad más amplia de VistA y el lenguaje de programación de base de datos MUMPS que lo sustenta. Ha estado intentando compartir el hallazgo con VA desde enero a través del programa de divulgación de vulnerabilidades del departamento y la opción de divulgación de terceros de Bugcrowd. Pero VistA está fuera del alcance de ambos programas.
Esto puede deberse a que el VA actualmente está tratando de hacer que VistA sea gradual utilizando un nuevo sistema de registros médicos diseñado por Cerner Corporation. En junio, el VA anunció que retrasaría la implementación general del sistema Cerner de $ 10 mil millones hasta 2023 porque las implementaciones piloto han estado plagadas de interrupciones y potencialmente han provocado casi 150 casos de daños a pacientes.
El VA no respondió a las múltiples solicitudes de comentarios de WIRED sobre los hallazgos de Minneker o la situación más amplia con la divulgación de vulnerabilidades en VistA. Sin embargo, mientras tanto, VistA no solo se implementa en todo el sistema de atención médica de VA, sino que también se usa en otros lugares.