La ciberseguridad en la salud es cada vez un tema más crítico, y su importancia crece a medida que el sector se digitaliza a un ritmo acelerado.
Tampoco podemos olvidar que el COVID-19 incrementó esta tendencia, obligando a proveedores de salud a prestar especial atención a la ciberseguridad, ya que tuvieron que proporcionar atención y mantenimiento remotos y gestionar datos sensibles. Esto ha hecho que aumente la superficie de ataque para los cibercriminales.
Sector salud, un objetivo muy atractivo para los atacantes
El sector salud es un objetivo atractivo para los atacantes debido a la naturaleza crítica y sensible de la información que maneja. Los registros médicos electrónicos, los sistemas de información hospitalaria y otros sistemas críticos contienen gran cantidad de datos personales, financieros y de salud valiosos para los delincuentes. Pero además de estos datos sensibles, se deben considerar también las tecnologías conocidas tradicionalmente como OT (Tecnologías de Operación) que abundan en los entornos hospitalarios y que, a menudo, no están protegidas en este sector frente a ciberataques de forma adecuada.
Por tanto, no podemos contemplar únicamente los escenarios IT, sino que debemos gestionar el riesgo también de activos como: sistemas de esterilización y control de infecciones; sistemas de control de laboratorios; sistemas de gestión de edificios, especialmente la climatización; sistemas de distribución de energía; dispositivos médicos conectados (por ejemplo, bombas de infusión, monitores de constantes vitales, máquinas de diálisis, ventiladores…) y sistemas de gestión de fluidos y gases médicos.
Además, se deben incluir también sistemas relacionados con la seguridad y la vigilancia y el transporte automatizado (principalmente en grandes hospitales).
Tipología de ciberataques en el sector salud y sus consecuencias
Los ataques de ransomware son, quizás, los más conocidos y devastadores, incluso para este sector. Un ejemplo destacado es el ataque de WannaCry, en 2017, que afectó a múltiples hospitales alrededor del mundo, forzando la cancelación de citas y cirugías.
El phishing continúa siendo una técnica común utilizada para obtener acceso a los sistemas de salud. Los correos electrónicos fraudulentos que parecen provenir de fuentes confiables engañan a los empleados, a menudo, solicitando que descarguen archivos que contienen malware.
Por otro lado, los datos de salud son extremadamente valiosos para el robo de identidad, ya que contienen información valiosa para abrir cuentas bancarias, obtener tarjetas de crédito y cometer fraudes.
Los ataques a dispositivos médicos conectados, como marcapasos o bombas de insulina, también son vulnerables a ciberataques. Un acceso no autorizado a estos dispositivos puede poner en peligro la vida de los pacientes. Ejemplo de ello fue la explotación de una vulnerabilidad en las bombas de insulina Medtronic que permitió acceder a estos dispositivos.
Una de las consecuencias más temidas de todos estos ciberataques, además del daño económico, es, sin duda, la pérdida de confianza por parte de los pacientes y público en general. Estamos hablando de un sector que se dedica a salvar o mejorar la vida de las personas, y la interrupción de servicios sanitarios puede tener consecuencias directas e irreversibles en algunos casos para los pacientes.
Por otro lado, hablamos de consecuencias legales y regulatorias graves para las instituciones sanitarias. En este sentido, para no perder el tren de la ciberseguridad, desde la Unión Europea, y gracias a la Directiva NIS2, los centros de salud/hospitales tendrán que cumplir con unos mínimos en materia de ciberseguridad, entre otras regulaciones ya existentes para este sector.
Algunas medidas esenciales de ciberseguridad en el sector salud
Son muchos los aspectos que debemos tener en cuenta, pero si no queremos quedarnos atrás y sufrir las consecuencias antes mencionadas, tenemos que contemplar ciertas medidas esenciales:
- Concienciar y formar a los empleados de toda la organización en los centros de salud. Los trabajadores han de recibir formación continua para estar al tanto de las diferentes amenazas con las que se pueden encontrar. Lo mismo que se hacen formaciones de controles de infección u otros, también deben realizarse de las campañas de phishing, por ejemplo.
- Asignar un responsable de la ciberseguridad o departamento que gestione todos los actores involucrados en la ciberseguridad. Por ejemplo, el personal de mantenimiento de los activos mencionados anteriormente u otros existentes en hospitales, clínicas, laboratorios…
- Para la protección de datos deben implementarse medidas robustas como el cifrado de los datos en reposo y en tránsito. Soluciones de copia de seguridad y recuperación que son esenciales después de sufrir un ransomware.
- Gestionar los accesos y las políticas de acceso basados en roles para limitar la entrada a datos sensibles de pacientes o personal sanitario y administrativo. La autenticación multifactor también ayuda a proteger las cuentas de los usuarios.
- Mantener los sistemas también es un aspecto muy importante. Actualizar los sistemas y software puede reducir las vulnerabilidades conocidas para evitar algunos ataques ya conocidos en este sector.
- Monitorizar y responder a incidentes. La implantación de sistemas de detección y respuesta de intrusiones y monitorización continua de la red puede ayudarnos a detectar y dar una respuesta temprana a los incidentes, minimizando paradas operativas. Los equipos encargados de esta labor deben estar preparados para actuar de manera eficiente y rápida en caso de una brecha de ciberseguridad.
El futuro de la ciberseguridad en el sector salud
La inteligencia artificial y el machine learning están abriendo un mundo de posibilidades para la ciberseguridad en el sector salud. Sobre todo, si las usamos para analizar grandes volúmenes de datos, patrones de comportamiento no conocidos y que podrían suponer una ciberamenaza.
También ha aumentado la tendencia a la implementación de soluciones de ciberseguridad para dispositivos médicos y el Internet of Medical Things para mejorar significativamente la seguridad de estos dispositivos contra accesos no autorizados o contra manipulaciones maliciosas.
Con todo ello, y el crecimiento de la automatización en el sector salud, las regulaciones juegan un papel clave en la ciberseguridad sanitaria. Estar al tanto para cumplir con ellas no solo ayuda a proteger a las organizaciones de sanciones legales, sino que también promueven la adopción de medidas de ciberseguridad necesarias para proteger a la ciudadanía.
Desde el Centro de Ciberseguridad Industrial seguimos trabajando en documentación y formación para facilitar el cumplimiento de las legislaciones y responsabilidades asignadas a los diferentes actores de la industria, incluidos aquellos del sector salud. Pero también continuamos escuchando a los profesionales para comprender sus necesidades y obstáculos a la hora de implementar la ciberseguridad en sus procesos y su personal.
En conclusión, la ciberseguridad en el sector salud es una responsabilidad crítica para el bienestar de todos, especialmente en un entorno de digitalización y de avances tecnológicos continuos y cada vez más complejos. No obstante, las organizaciones sanitarias aún están a tiempo de invertir en tecnologías de ciberseguridad, en formación continua y en estrategias de gestión de riesgos para cumplir con la regulación y estar mejor preparadas para proteger a sus pacientes.