Contenidos en este artículo
La industria farmacéutica se ve obligada a sortear muchos desafíos y obstáculos nuevos que anteriormente el sector ignoraba como irrelevantes para la industria, con la llegada de la pandemia COVID 19 y el avance de las tecnologías uno de los riesgos que se hizo más recurrente fue el de los ciberataques.
Esto no significa que no se haya presentado antes pues recordemos que la industria farmacéutica es una de las que más datos recibe y maneja, tanta es la importancia de los datos para un procesos que se considera como crítico el mantener unos estándares de seguridad altos tanto en hardware como en software e incluso en relación con la capacitación del personal que tiene relación con ellos.
Un ejemplo de un ciberataque y sus efectos dañinos es el ataque de ransomware contra Merck and Co. Denominado NotPetya, que paralizó 30.000 dispositivos de usuarios finales y 7.500 servidores. El malware causó mil millones de dólares en daños, pérdida de ventas y recursos para recuperarse del incidente. Además, la violación paralizó las instalaciones de producción de Merck para la vacuna líder contra el virus del papiloma humano.
Estos nuevos retos también son contemplados por las entidades reguladoras por esta misma razón se han creado guías para la validación de sistemas computarizados e integridad de datos como ejemplo tenemos la FDA 21 CFR Parte 11 para las reglas sobre el uso de registros electrónicos y firmas electrónicas o contactar con un proveedor externo para la validación de todos los sistemas computarizados.
Otro caso popular relacionado con ciberataques a empresas muy importantes sucedió en europa con fines de espionaje corporativo, Roche y Bayer, confirmaron que experimentaron un ciberataque causado por el malware Winnti, un malware que como muchos otros se distribuye a través de correo electrónico e infecta los demás equipos que estén conectados a la misma red.
Conozca uno de los ciberataques mas sonados para la industria farmacéutica en América latina.
Es por eso que se recomienda a los colaboradores tener mucho cuidado con este tipo de correos electrónicos que pueden parecer inofensivos pero que en el fondo son una amenaza para la compañía.
En la pandemia los ciberdelincuentes utilizaron el malware WellMess y WellMail para cargar y descargar archivos de máquinas infectadas. Otra amenaza recurrente se ha enfocado en la investigación y el desarrollo de vacunas mediante el escaneo de direcciones IP de dispositivos específicos en busca de vulnerabilidades para permitir a los piratas informáticos obtener credenciales de inicio de sesión en sistemas críticos, un elemento que pondría en jaque una producción completa.
Ya que es imposible garantizar la seguridad total por lo que las compañías deben estar preparadas para recuperarse ante posibles desastres tecnológicos. Por ello, es conveniente también confeccionar un Plan de Continuidad de Negocio que contenga las pautas de actuación en caso de que haya un fallo que comprometa la continuidad de la actividad empresarial.
TOP DE CIBERATAQUES EN LA INDUSTRIA FARMACÉUTICA
1.Error o negligencia del empleado
Los empleados son uno de los principales impulsores de las filtraciones de datos en casi todas las industrias. La alta gerencia y el personal de alto nivel no son los únicos empleados que deben ser cautelosos con los ciberataques externos, ya que es más probable que la gerencia y el personal de nivel inferior sean el objetivo.
Los tipos comunes de delitos cibernéticos que aprovechan el comportamiento humano para obtener información confidencial incluyen cebos, pretextos y quid pro quo. Es por eso que la capacitación educativa de los empleados y el conocimiento de los métodos de ataque comunes son cruciales para mantenerse diligentes contra los piratas informáticos.
2.Ataques de phishing
La frecuencia de los ataques de phishing, o el intento fraudulento de acceder a información crítica haciéndose pasar por una fuente o entidad confiable, va en aumento. Una forma común de llevar a cabo ataques de phishing es mediante el uso de cuentas de correo electrónico comprometidas.
Los piratas informáticos utilizan nombres de organizaciones o sustituciones de caracteres para explotar el instinto humano y engañar a las personas para que hagan clic en los correos electrónicos infectados. Por esta razón, se recomiendan más medidas de seguridad, como la autenticación de múltiples factores y el acceso limitado a la red de los empleados para evitar este tipo de ciberataques.
3.Secuestro de datos
En algunos casos, los ataques de ransomware han provocado el cierre permanente de las organizaciones. Desde 2016, la industria farmacéutica y de la salud de EE.UU. experimentó casi 200 incidentes de ransomware que resultaron en un coste estimado de 157 millones de dólares.
Vale la pena señalar que es poco probable que los piratas informáticos de ransomware busquen datos de pacientes; en cambio, buscan interrumpir las operaciones para aprovechar un rescate de las organizaciones a cambio de datos robados y propiedad intelectual.
¿Cómo evitar estos ataques cibernéticos?
Los riesgos de una ciberseguridad deficiente deberían ser una motivación suficiente para que las empresas farmacéuticas protejan su información, pero, sorprendentemente, a menudo no es así.
La mentalidad de las grandes corporaciones frente a la seguridad cibernética es reactiva esperando a caer en una trampa para responder, en lugar de minimizar la probabilidad de que ocurra un ataque en primera instancia. Los sistemas deben revisarse periódicamente de forma proactiva.
- Concientizar al talento sobre el valor de los datos: Los fabricantes de medicamentos deben capacitar a los empleados para que comprendan las amenazas cibernéticas y las mejores prácticas que pueden seguir para proteger la información confidencial y los sistemas críticos.
- Clasificar los datos según su importancia: La comunidad biocientífica debe clasificar los datos confidenciales, como los compuestos y las fórmulas de medicamentos, que constituyen el elemento vital de sus organizaciones. Posteriormente, los equipos de seguridad pueden proporcionar protección por capas en los niveles de aplicación y datos según la clasificación o relevancia de cada uno.
- Implementar controles de acceso de seguridad para evitar la propagación de amenazas: Las empresas deben implementar medidas de seguridad adecuadas, como puertas de enlace de seguridad de correo electrónico, firewalls y redes privadas virtuales, para examinar los paquetes de red y determinar el curso de acción adecuado.
- Respaldo de datos: Los fabricantes de medicamentos deben respaldar los datos con regularidad y separarlos del entorno de producción. En caso de un ataque de ransomware, la víctima puede recuperar información cifrada de una copia de seguridad probada, por eso recomendamos el uso de una arquitectura End to End para monitorear el paso de la información en tiempo real.
En Cercal tenemos experiencia protegiendo a tu empresa frente a estos ciberataques.
Uno de nuestros últimos webinar tuvo como tema central la ciberseguridad en la industria farmacéutica, junto a nuestro invitado especial Jorge Aravena, Gerente de desarrollo y mejora continua en TW trabajamos sobre cuales deben ser los protocolos de seguridad que deberían seguir todas las empresas frente a los ciberataques y la protección de los datos.
En este webinar uno de los puntos centrales que trabajó Jorge es el de como la seguridad no solo comprende un aspecto interno, sino también uno externo pues ahora es necesario que nuestros sistemas se relacionen con un ecosistema cibernético y en el cual pueden existir amenazas que no contemplamos. Otro elemento clave es la comprensión del valor que tienen los datos, esto debe estar plasmado en la mentalidad tanto de la alta gerencia, como de los colaboradores a la hora de cumplir los protocolos de seguridad en pro de cuidar uno de los activos mas valiosos de la industria.
La mejor solución que recomendamos para prevenir estos casos es la validación de sistemas computarizados CSV, esta es una exigencia obligatoria que comprende una evaluación de aspectos como software, hardware, firmware, procedimientos, equipos y personal.
Este proceso garantiza la confiabilidad de la información de tu empresa a corto, mediano y largo plazo, tanto en el entorno de desarrollo, manufactura y producción como de almacenamiento y distribución.
Al no contar con una validación de sistemas computarizados, te expones a varios riesgos. Uno de ellos es enfrentar cargos penales por delitos contra la salud pública, y también tomar decisiones incorrectas por apoyarse en información que no es confiable.
Asimismo, puedes poner en riesgo vidas, perder clientes por falta de confianza e incluso limitar el desarrollo de la Industria por no acatar las buenas prácticas.
Validación de software para la industria farmacéutica.
Auditoría de Diagnóstico con visión GAMP 5 – ALCOA+ Data Integrity o Integridad de Datos. Implementamos y gestionamos protocolos reconocidos mundialmente para mitigar los peligros, y disminuir los riesgos de tu compañía de ser víctima de un ciberataque:
- Levantamiento de información.
- Recopilación de la información necesaria para la verificación del cumplimiento de los parámetros establecidos para el sistema.
- Especificaciones de usuario: Se establecen los requerimientos y análisis de riesgo según las necesidades de la empresa para el cumplimiento regulatorio.
- Calificación de instalación IQ, de operación OQ y de desempeño PQ.
- Reporte final. Un resumen de los resultados de la calificación IQ, OQ, PQ con recomendaciones y correcciones a realizar
Si quieres trabajar con nosotros, solo tienes que dar clic en el botón de contacto o escribirnos a través de nuestra línea de WhatsApp.