Desde hace muchos años, los servicios de salud son una pieza clave en nuestras vidas. Nos sentimos muy seguros porque sabemos que contamos con un sistema con los medios necesarios para recibir la atención requerida tanto en nuestros exámenes de salud rutinarios como cuando llega una situación en la que tenemos que acudir a los servicios de urgencias. Además, la sanidad española continúa teniendo uno de los mejores sistemas asistenciales del planeta, ya que se encuentra en el top 5 a nivel mundial, según Radar Healthcare.
Pero ¿qué está pasando actualmente? ¿Se han convertido los servicios de salud en los nuevos pacientes? Cada día hay más ciberataques que ponen en peligro a todos los sectores, entre los que se encuentra el de la sanidad. El 78 por ciento de las instituciones sanitarias fue víctima de un ataque en 2022 y un 30 por ciento de los encuestados reconoce que se han visto afectados datos sensibles e información sanitaria protegida.
El 78 por ciento de las instituciones sanitarias fue víctima de un ataque en 2022
Además, el 47 por ciento cita al menos un incidente que afectó a sistemas ciberfísicos como dispositivos médicos y sistemas de gestión de edificios. Y una de cada cuatro instituciones sanitarias que ha sido víctima de ataques de ransomware se ha visto obligada a pagar un rescate (datos recogidos en el informe Global Healthcare Cybersecurity Study 2023).
Medidas urgentes de ciberseguridad
Esto significa que hay que tomar medidas urgentes y dejar que los expertos en ciberseguridad unamos fuerzas para trabajar en las acciones que permitan dotar de seguridad a los puntos críticos de nuestros servicios de salud.
Para ello hay que definir un plan que no dista mucho del proceso de un paciente:
- Pedir cita con el «médico». Hay que analizar la situación actual (ciberseguridad). Para ello se recomienda “pedir cita” con los especialistas en ciberseguridad aplicada a entornos hospitalarios.
- Primera consulta. Valorar los síntomas y ver las necesidades del servicio de salud (paciente). Este paso es muy importante, ya que es la base para tomar las decisiones acertadas en el futuro.
- Especialistas. Una vez analizada la situación actual, hay que acudir a los especialistas para tomar medidas concretas. En un entorno como el de los servicios de salud es primordial garantizar el servicio al paciente. Para ello se necesita un plan de ciberseguridad.
- Diagnóstico/acciones. Es el momento de tomar las decisiones fundamentales para nuestro plan de ciberseguridad. Para ello necesitamos soluciones o herramientas que nos ayuden a clasificar los riesgos según su criticidad y la posibilidad de que ocurran.
- Seguimiento. Analizar la evolución del paciente (con capacidades de tracking de cambios). Hemos de contar con soluciones que puedan integrarse entre sí para que la información se muestre en tiempo real, colaborando entre fabricantes.
- Alta cíber. Hemos resuelto las situaciones más críticas, pero hay que seguir alerta. Ahora tenemos que conseguir resolver la mayor parte de las situaciones no deseadas que se hayan encontrado.
Necesitamos unir fuerzas. Hemos de cubrir todas estas necesidades proporcionando visibilidad de activos, integración con PACS (Picture Archiving and Communication System) e información sobre equipamiento médico y sobre su uso, mostrando vulnerabilidades y riesgos en IoMT, OT, IT y XIoT e integrando la solución con el ecosistema de ciberseguridad y comunicaciones existente.
Otros desafíos
Y ¿qué más retos tienen los servicios de salud y qué tienen que buscar en el mercado de la ciberseguridad? Por un lado, hay una serie de normativas de obligado cumplimiento como la NIS 2, que es la directiva que estipula que los Estados miembros deberán asegurar que las entidades esenciales e importantes notifiquen a su CSIRT de referencia, o a la autoridad competente, cualquier incidente que tenga un impacto significativo en la prestación de sus servicios.
En ésta se reflejan una serie de requisitos y se define a quién va a afectar esta normativa. De hecho, existen sanciones muy cuantiosas para las compañías que no la cumplan a partir de octubre de 2024. Además, hay grandes novedades en esta nueva Directiva NIS 2 que hacen que muchas más compañías estén bajo su alcance.
Por otro lado, también es importante tener soluciones de ciberseguridad que analicen el uso de los dispositivos de electromedicina y que permitan optimizar la utilización de los mismos. Son los recursos más valiosos de un entorno hospitalario sin los que no se podría dar un buen servicio a los pacientes. Los CISO y las personas responsables de los departamentos de electromedicina ya están manteniendo conversaciones sobre cómo trabajar en conjunto para conseguir tener la visibilidad detallada de lo que está pasando con este equipamiento.
Es importante tener soluciones de ciberseguridad que analicen el uso de los dispositivos de electromedicina
Un ejemplo claro, y que debería ser requisito indispensable para cualquier servicio de salud, sería contar con soluciones de ciberseguridad para entornos hospitalarios que puedan ver la cantidad de radiación que reciben los pacientes y la cantidad de exámenes médicos que se hacen con imagen, así como analizar si los protocolos implicados en estas actividades se están usando correctamente. Esto es algo necesario por la normativa Euratom que tienen que cumplir los servicios de salud al trabajar con equipos que trabajan con radiación.
Por último mencionar que hay otros retos de los servicios de salud como la segmentación, la gestión de amenazas, la adecuación del uso de su equipamiento a la MDS2 (Manufacturer Disclosure Statement for Medical Device Security), etcétera.
En definitiva, hay que ponerse manos a la obra de inmediato. Estamos hablando de un servicio que nos afecta a todos como potenciales usuarios o pacientes. Así que tenemos que acompañar a nuestro sistema de salud de la misma manera que lo hacen sus profesionales durante todo el proceso cuando utilizamos sus servicios.
Desde Medigate by Claroty, junto con nuestros integradores, acompañamos a nuestros clientes desde el inicio del proyecto y durante todas sus fases. De esta manera nos asegurarnos de que el cliente está contento y se siente como un paciente a quien dieron el alta pero que siempre cuenta con el seguimiento adecuado para evitar problemas futuros.