Más de 600 profesionales se inscribieron para conocer el estado de la sanidad en general y de los hospitales en particular ante los nuevos desafíos de ciberseguridad. Consejerías de sanidad, Administración Pública, proveedores de ciberseguridad y grandes hospitales analizaron de qué peligros se debe proteger el sector y el momento en el que se encuentra al respecto.
Los picos de 400 conectados a la Jornada de Seguridad en Hospitales 5.0, celebrada en formato TV Experience, corroboraron el éxito de este evento organizado por Red Seguridad y la Fundación Borredá y el ávido interés del sector por la materia.
La primera mesa del encuentro tuvo como protagonista a los ciberejercicios llevados a cabo por la Agencia Europea de Ciberseguridad (ENISA) el pasado junio que examinaron el funcionamiento de la ciberseguridad del sector sanitario europeo. En concreto, Adrián Belmonte, experto de ciberseguridad de la propia ENISA, expuso algunas de las conclusiones a las que llegaron desde el organismo comunitario a raíz de dicha celebración. Entre ellas, la falta de inversión, de medios técnicos y operacionales y de concienciación en ciberseguridad. «Los pequeños operadores de servicios son los más afectados por las ciberamenazas porque no tienen capacidades operacionales y técnicas para responder, ni tampoco los medios necesarios», completó.
Por su parte, Andrés Ruiz, consejero de Ciberseguridad del Departamento de Seguridad Nacional (DSN) y oficial de Enlace de España con ENISA, habló sobre el papel de nuestro país en los ciberejercicios: «España está presente en estos ciberjercicios desde su primera edición, en 2010, y se celebran cada dos años. Fuimos uno de los más representados y con mayor número de roles», explicó.
A continuación, Pablo López, jefe del Área de Normativa y Servicios del Centro Criptológico Nacional, habló sobre el Esquema Nacional de Seguridad (ENS) y su vinculación con el sector sanitario. «El ENS es un faro que guía para determinar y priorizar qué tenemos que hacer en cada momento. Es un instrumento que da criterio y orden para adaptarse a una situación que se nos puede dar», afirmó.
Los grandes desafíos de la ciberseguridad en los hospitales
La siguiente mesa redonda de la jornada trató de dar respuesta a una pregunta nada sencilla de contestar: ¿Están preparados el sector sanitario y los hospitales para hacer frente a los nuevos desafíos de ciberseguridad? A esta cuestión trataron de arrojar luz el propio Andrés Ruiz (DSN); Antonio Grimaltos, técnico de la Oficina de Seguridad de la Información de la Conselleria de Sanitat de la Generalitat Valenciana; Francisco Javier Ripoll, coordinador del Área de Informática del Instituto de Investigación Sanitaria de La Fe; e Iván Sánchez, CISO de Sanitas & CISO de Bupa ELA. Bajo la moderación de Rosa Díaz, directora del Observatorio Nacional de Tecnología y Sociedad (ONTSI), estos profesionales mostraron su opinión sobre los retos a los que se enfrentan los hospitales en materia de ciberseguridad.
Para Grimaltos (Conselleria de Sanitat), la pandemia marcó un antes y un después en este sentido. «Antes era una situación de ‘bueno-menos’; y después, con todo lo aprendido, nos hemos situado en ‘bueno-más», opinó.
Una situación en la que la digitalización ha avanzado a pasos agigantados. De hecho, ese fue el principal desafío que destacó Sánchez, de Sanitas, debido al consecuente crecimiento de la superficie de ataque. «Todo esto es un reto si se combina con la concienciación. Al final, los gestores son médicos, gente preparada y experta en muchos ámbitos. Pero muchas veces, para ellos la tecnología es una comodity«, completó. Y esto afecta, como no podría ser de otra manera, a la ciberseguridad.
Por su parte, Ripoll (Instituto de Investigación Sanitaria de La Fe) puso el foco en los ciberataques y sus consecuencias en un organismo de investigación como el suyo. Para ello se hizo una pregunta muy clarividente: «¿Qué pasaría si el atacante modificara el resultado de una investigación y nadie se percatase?»
Y Andrés Ruiz (DSN) fue más allá: «El ransomware y las ciberamenazas se han convertido en una cuestión de vida o muerte», afirmó tajantemente.
Seguridad integral y protección de datos
La seguridad integral también fue uno de los temas abordados durante el evento. En este caso, Ignacio Paños, director de Seguridad del Hospital Universitario 12 de Octubre, expuso el caso de su institución, la cual está construyendo un nuevo edificio que sustituirá al actual.
Por otro lado, la protección de unos datos tan sensibles como los sanitarios fue el protagonista de la ponencia del abogado Pedro Fernández-Villamea, quien también ofreció un punto de vista jurídico. Y Agustín Llorente, jefe de Servicio de la Oficina de Coordinación de Ciberseguridad, destacó los ataques de denegación de servicio y el incremento del ransomware como principales ciberamenazas al sector sanitario en general y a los hospitales en particular.
Protección de entornos críticos sanitarios
La Jornada de Seguridad en Hospitales 5.0 también contó con la participación de una serie de proveedores y empresas que mostraron cómo ayudar a las organizaciones sanitarias en materia de ciberseguridad. Fue el caso de Trend Micro, cuyo sales engineer, Jesús Gayoso, habló sobre la protección de entornos críticos sanitarios.
Durante su exposición, este profesional dejó claro que este tipo de organizaciones están expuestas a una serie de problemáticas también presentes en otros ámbitos. Entre ellas, la necesidad de visibilidad, los numerosos ataques recibidos por errores humanos, la dificultad de muchas configuraciones de red y los insiders.
Para cubrir estas necesidades, desde Trend Micro creen que lo primero es la visibilidad. Por ello, a nivel de red crean operaciones de ciberseguridad y controlan qué se va a permitir y qué no. A esto Gayoso le añadió el parcheado virtual que implementa su compañía para proteger aplicaciones y protocolos industriales o electromédicos, entre otras cosas.
Ciberseguridad en hospitales: Problemática de los dispositivos IoMT
«El problema de cualquier organización son los dispositivos ocultos. Debido a esta falta de visibilidad y control tenemos en nuestra organización sistemas operativos vulnerables o antiguos, configuraciones mal realizadas o por defecto, etc. Y esto se convierte en una puerta de entrada para ciberataques. Ataques que cada vez sufrimos más en este sector». De esta forma comenzó su ponencia Carlos Trinidad, BDM Cybersecurity de Ingecom.
Para dar solución a todo esto, este profesional dio a conocer la plataforma de Medigate. Una solución que da una visibilidad absoluta de todos los dispositivos conectados a la red para analizarlos posteriormente. Incluso cuando el usuario tiene a su disposición el mapa de vulnerabilidades y riesgos, Medigate le muestra una serie de recomendaciones para mitigarlos.
No en vano, tal y como comentó Trinidad durante su intervención, «no se puede controlar ni proteger lo que no se puede ver».
Federico Beltrán (Hospital Intermutual de Levante): «El hospital seguro no existe por mucho dinero que pongamos encima de la mesa y por muchos recursos con los que contemos»
El sector salud, objetivo muy lucrativo
Mildrey Carbonell, responsable del Equipo de Pentesting y Red Teaming de S21sec, estableció el estado de situación del sector salud en lo que a cibercriminalidad se refiere: «Se trata de un ámbito con mucho riesgo. Los datos son de los de mayor confidencialidad, de los que mayor temor tenemos si desaparecen. De hecho, son muy codiciosos para robar, vender y extorsionar. Pero también está la seguridad de los pacientes. Es un entorno, en definitiva, complejo de asegurar», contextualizó.
Además, la panelista afirmó que este sector, con anterioridad, no era de los primeros en ser atacado. Ahora, por el contrario, se encuentra entre los cinco primeros. «Uno de los ciberataques más comunes es el ransomware, aunque también está el phishing,» completó. A ello, la representante de S21sec le añadió que «la salud es un sector muy lucrativo para los ciberatacantes que buscan como objetivo principal obtener dinero».
Responsabilidades compartidas en la ciberseguridad de los hospitales
«La información sanitaria tiene un valor para los cibercriminales. Pero nos hemos despreocupado de la ciberseguridad, en muchas ocasiones, por dar servicio». De esta manera comenzó la siguiente mesa redonda de la jornada, y que puso el foco en las responsabilidades compartidas de la ciberseguridad en los centros sanitarios. Esta declaración correspondió, en concreto, a Miguel Ángel Benito, Cap del Servei de Protecció de Dades del Servei de Salut de Islas Baleares y coordinador general del Foro de Seguridad y Protección de Datos de SEIS (Sociedad Española de Informática de la Salud). Un profesional que volvió a destacar la «poca concienciación» en muchos profesionales del sector sanitario en materia de ciberseguridad.
De opinión contraria se mostró Federico Beltrán, director de Sistemas de Información del Hospital Intermutual de Levante. Para él, «la concienciación, en general, es alta». Eso sí, aseguró que «hay que tener muy definidos los roles» en ciberseguridad. «Debemos saber quién debe tomar las decisiones, quién las ejecuta y quién las supervisa», completó. No obstante, Beltrán fue tajante sobre el ‘ideal’ de la ciberseguridad en la sanidad: «El hospital seguro no existe por mucho dinero que pongamos encima de la mesa y por muchos recursos con los que contemos», afirmó.
Por otro lado, para José Ángel Hernández, jefe de Ingeniería de Telecomunicaciones y Telemática del Hospital Universitario de Canarias y tesorero de SEEIC (Sociedad Española de Electromedicina e Ingeniería Clínica), uno de los riesgos es asegurar el funcionamiento de los equipos. «Al final se trata de asegurar al paciente», añadió.
Y Javier Alonso, cyber sales manager de Sham-Grupo Relyens, mencionó el reto de la visibilidad. «La red del hospital está en constante evolución. Se ha producido un aumento de la superficie de ataque a raíz del cloud, de la telemedicina, de los puestos a distancia, de la interconectividad, etc. Y todo esto ha traído retos de visibilidad. Por ejemplo, muchas veces no se sabe cuántos dispositivos conectados hay en la red«, denunció.
De ahí que la recopilación de información, saber qué proteger, actualizar la ciberseguridad en los dispositivos conectados, trabajar con los fabricantes y analizar los dispositivos en sí sean algunos elementos claves para Alonso a la hora de gestionar la ciberseguridad de un hospital.
Finalmente, Pedro Mosquera, jefe de Sección de Seguridad Lógica del Centro Nacional de Protección de Infraestructuras Críticas, se pronunció sobre la actualización del Plan Estratégico Sectorial de la Salud: «A raíz de la pandemia, lo hemos centrado en el mundo de la distribución de productos sanitarios y en los instrumentos del Internet of Medical Things, incidiendo en el proceso de diseño seguro», explicó.
¿Qué hacer cuando te han atacado?
A esta pregunta trató de responder Jesús Mandingorra, jefe de la Unidad de Informática del Hospital General de Valencia. Sobre todo a raíz del ciberataque que recibió su institución el pasado verano, y que provocó la paralización de su hospital durante 10 horas. «No improvisar, seguir los procedimientos definidos y probados previamente, notificar el incidente en tiempo y forma y dejar asesorarte por quien más sabe» fueron algunas de las recomendaciones que realizó al respecto.
A continuación, Albert Haro, responsable de Seguridad de la Información del Ámbito Sanitario de la Agencia de Ciberseguridad de Cataluña, se pronunció sobre el ciberataque que afectó recientemente a varios hospitales de dicha comunidad. «Gestionamos incidentes cada semana, aunque no todos tienen impacto. Pero en este caso sí que lo tuvo porque el ‘malo’ consiguió inhabitar las bases de datos. Sin embargo, en conjunto, la actividad asistencial pudo mantenerse», explicó.
Por último, Jorge Chinea, responsable del CERT del Instituto Nacional de Ciberseguridad, se encargó de clausurar la Jornada de Seguridad en Hospitales 5.0 poniendo el foco en las ciberamenazas que más afectan a la sanidad, como el ransomware o las fugas de información.
Archivado en: