Normalmente, se cree que la ciberseguridad de los sistemas de control afecta la red eléctrica o los sistemas de energía. Está, sin embargo, es mucho más que solo la red eléctrica. Al leer está nota, uno tiene que pensar no sólo los dispositivos médicos,sino que también en cualquier otra aplicación de los sistemas de control en cualquier industria. Los problemas identificados a continuación (software inapropiado, interacciones imprevistas y falta de formación adecuada) han sido la causa de numerosos incidentes cibernéticos en múltiples industrias.
Recientemente, fui al hospital para hacerme unas radiografías. Mientras hablaba con el técnico de rayos X, mencioné que ciertas máquinas de rayos X mal programadas habían resultado en lesiones graves y muertes. [Entre 1885 y 1987, la máquina Therac 25 para radiografías, a veces daba a sus pacientes dosis de radiación que eran cientos de veces mayor de lo normal, esto debido a numerosos errores de programación y del sistema. La/s causa/s no fueron identificaron por varios años, tiempo durante el cual, el sistema Therac 25 permanecía en uso sobredosificación pacientes. La dosis excesiva de radiación resultó en 3 lesiones graves y 3 muertes.] Lo que me sorprendió no fue que el técnico de rayos X no tuviera conocimiento de este problema de rayos X, pero que estaba al tanto de que máquinas de escaneo de tomografía computarizada, que de similar manera habían causado lesiones graves a ciertos pacientes:
En el marco temporal de 2009, la FDA encontró aproximadamente 400 sobredosis recibidas por pacientes en cinco hospitales en California y uno en Alabama. Las sobredosis eran todas de scanners de tomografía computarizada de GE y Toshiba y parecen haber provenido del uso inapropiado de una característica de seguridad. Los scanners de GE tienen una característica llamada control automático de exposición, que ajusta automáticamente la dosis de radiación, de acuerdo con el tamaño de una persona y la parte del cuerpo que se está escaneando, en lugar de usar un nivel de radiación fijo y predeterminado. Su intención es reducir las dosis de radiación, pero cuando se utiliza en combinación con ciertos ajustes de la máquina que rigen la claridad de la imagen, su efecto fue el contrario, aumentando significativamente la dosis de radiación entregada al paciente. GE afirma que la característica fue diseñada para procedimientos que exploran múltiples partes del cuerpo de espesor variable y que es de utilidad limitada para las exploraciones de perfusión del cerebro, que apuntan sólo al cerebro. Los funcionarios del hospital afirman que los instructores de GE nunca explicaron correctamente su función y que los manuales no advertían sobre su uso limitado para las exploraciones de perfusión del cerebro. Las sobre exposiciones, ya sea debido al control automático de exposición u otras razones, no fueron especialmente difíciles de prevenir. La dosis de radiación que cada paciente estaba recibiendo era visible en la consola del escáner durante la exploración. Un mar entero de números se muestra en pantalla durante una tomografía computarizada, es ciertamente posible que dicha cifra pueda perderse con facilidad en la pantalla. Pero no comprobar la dosis de radiación en pantalla indica una cierta complacencia sobre este número particular. La dosis estaba justo delante de los ojos de los operadores, pero ninguno pensó en mirar. En su lugar, confiaron plenamente en las máquinas. La FDA sugiere que la forma más sencilla de evitar que esto suceda de nuevo es que los fabricantes de escáner incluyan una indicación obvia en la pantalla de una dosis de radiación más alta que la normal, de tal manera que sea difícil de ignorar, como una advertencia emergente o un sonido de alarma. Además, pide a los operadores de scanners que comprueben el panel de visualización tanto antes como durante el escaneo, para asegurarse de que la dosis esperada de radiación es la dosis real que recibe el paciente.
Tal vez el aspecto más inquietante es que después de pasar 18 meses sin ser detectado, las sobredosis fueron descubiertas no a través de controles de seguridad o calibraciones de rutina de escáner, sino por un paciente que luego de un escaneo empezó a perder el cabello y se puso en contacto con el hospital. Si las sobredosis de radiación ocho veces mayores que las normales sólo se detectan debido a que el cabello de un paciente se cae, ¿cuántas sobredosis más pequeñas ocurren rutinariamente durante otras tomografías pero pasan sin ser detectadas?
La FDA reconoció esta posibilidad ya en octubre de 2009: «Esta situación puede reflejar problemas más generalizados con los programas de aseguramiento de la calidad de los scanners de tomografías computarizadas, y no puede aislarse a esta instalación en particular o en este procedimiento de imagen (tomografía computarizada de perfusión cerebral). Si las dosis de los pacientes son más altas que el nivel esperado, pero no lo suficientemente altas como para producir signos evidentes de lesión por radiación, el problema puede pasar desapercibido y no reportado, poniendo a los pacientes en mayor riesgo de efectos de radiación a largo plazo.
Debe de ser evidente que la causa de estas sobredosis de rayos X y en tomografías computarizada no son exclusivas de los dispositivos médicos. Se han producido interacciones de sistemas imprevistas en los sistemas de tuberías, centrales nucleares, redes eléctricas, sistemas de transporte, etc. También debe ser evidente que la seguridad y la protección aún deben coordinarse más efectivamente y que existe la necesidad de proporcionar entrenamiento de ciberseguridad del sistema de control apropiado, y de comprender posibles interacciones del sistema imprevistas o no deseadas.
Fuente: Publicado por Control Engineering AQUI
Get Involved & Participate!
Comments