Red Seguridad 102

red seguridad tercer trimestre 2023 43 salud 5.0 monográfico Dentro de este tipo de incidentes en- contramos en 2017 “WannaCry”, ran- somware que provocó la cancelación de cirugías en varios servicios nacionales de salud, o el ataque a un hospital espa- ñol el pasado marzo de 2023, que provo- có la paralización de su actividad y forzó el traslado de pacientes a otros hospita- les de la zona. Este hospital todavía está pagando las consecuencias de aquella intrusión, ya que, a día de hoy, se sigue comerciando con los datos que le roba- ron. Contrasta con el reciente caso del ciberataque en marzo a un hospital de una capital europea, que gracias a que contaba con procesos y procedimientos adecuados, consiguió rechazarlo a las pocas horas de producirse. Otra de las amenazas que destaca en impacto y en incidencia son las vio- laciones de datos, siendo junto con el ransomware los casos más habituales de ataque contra el sector. Hay que tener en cuenta que un solo registro médico puede venderse por cientos de dólares y puede ser utilizado para obtener ganan- cias adicionales a través de otros fraudes posteriores, como el robo de identidad o el chantaje. Además, durante los prime- ros seis meses del año se ha detectado también un incremento de los ataques DDoS contra estas instalaciones, ori- ginados en gran parte por el contexto geopolítico, situándose como amenaza principal del sector en un futuro próximo. La diversidad de sistemas automati- zados en las instalaciones de atención médica, provenientes de diferentes fa- bricantes y abarcando múltiples genera- ciones, contribuye a la complejidad de asegurar estos sistemas. Además, otro de los desafíos continuos a los que se enfrentan es la obsolescencia del soft- ware y de los sistemas usados. Debido a la larga vida útil del equipo médico, algunos sistemas permanecen sin cam- bios durante décadas. Concienciación Las entidades del sector sanitario se es- tán concienciado poco a poco. El sector está cada vez más digitalizado y depen- de de sistemas de información críticos para el correcto funcionamiento de sus actividades y operaciones. Es esencial proteger la privacidad del paciente y garantizar la disponibilidad de todos los servicios médicos, asegurándose de cumplir con las normativas vigentes, además de poder salvaguardar su pro- pia reputación. Una de las principales acciones que las organizaciones del sector deben tener en cuenta para afrontar estos de- safíos es la implantación de una buena cultura de ciberseguridad, algo que no se consigue de manera inmediata, sino progresiva. Además, requiere de la con- cienciación de todos. Por otro lado, es necesario que el sector sanitario apues- te por la implantación de políticas Zero Trust , que aseguren el control de acceso a la información y la gestión de privile- gios sobre los datos, y por la realización de auditorías de seguridad periódicas, que simulen el comportamiento de los adversarios. Todo ello apoyado en un buen servicio de SOC, que ofrezca moni- torización y respuesta 24x7x365 y capa- cidades de ciberinteligencia para preve- nir, detectar y responder ante cualquier riesgo que amenace los sistemas. Los Gobiernos también desempeñan un papel fundamental al garantizar la ciberseguridad. Esto se logra mediante la colaboración entre Administración e instituciones, y a través de la imposición y el cumplimiento de normativas y regu- laciones de seguridad, como la Directiva NIS2. Este tipo de medidas son esencia- les para proteger la privacidad de los pa- cientes y la integridad y confidencialidad de los datos médicos. La prevención es clave y la aplicación de las medidas de seguridad previa- mente mencionadas es un muy buen comienzo para evitar estas amenazas. Proteger la seguridad del paciente, los datos y la integridad de los servicios de salud es un esfuerzo colectivo que invo- lucra a partes interesadas de diversos sectores. Al permanecer vigilantes, infor- mados y preparados, las organizaciones de salud pueden navegar por el siempre cambiante entorno de seguridad y ga- rantizar la protección y el bienestar tanto de los pacientes como del sistema de salud en su conjunto.