Si la salud ya ganó relevancia en 2020 por la ejemplar labor de sus profesionales, ahora el reto es doble por la lucha en el entorno digital. Desde la pandemia, más de 500 instituciones sanitarias han notificado ataques de alta peligrosidad. De ellos, los casos más comunes son ransomware o secuestro de datos, phishing o suplantación de identidad, intrusión en el cloud y paralización de la cadena de suministro, lo que retrasa diagnósticos, tratamientos e intervenciones.
Esta situación ha hecho que la sanidad sea el tercer sector más ciberatacado de España debido al alto grado de confidencialidad de los datos que manejan (lo que da más facilidad a los delincuentes para conseguir el pago de rescates) y al desconocimiento por parte de los expertos de IT internos sobre cómo diseñar, implantar y mantener un plan de ciberseguridad que proteja la red, la nube, los datos y, sobre todo, los dispositivos médicos.
Todo ello está provocando que las instituciones sanitarias se sientan vulnerables ante el entorno digital (lo que choca con sus objetivos de modernización a futuro), ya que, además de la protección de sus propios sistemas, deben garantizar la privacidad de los datos de terceros y, ante todo, el bienestar de los pacientes. En esta misma línea, cabe considerar que la salud pública se ve aún más desprotegida, pues un ciberataque a un servicio básico imprescindible se considera ciberterrorismo por atentar a la salud humana.
Como se puede concluir solo con esta breve introducción, el problema es crítico y prioritario. Y como realmente los ciberataques no se pueden frenar (ni parecen ir a menos), solo queda estudiar la situación al detalle y poner en marcha soluciones adaptadas para el sector de la salud que garanticen su ciberseguridad y protección.
Instituciones y brechas IT
La tendencia sobre la inversión en digitalización y la transformación tecnológica ha traído consigo grandes beneficios para las empresas. También algunos inconvenientes, pues ha expuesto en mayor grado las carencias de seguridad con las que cuentan las instituciones sanitarias: en general, poca (o nula) visibilidad de los dispositivos inteligentes que se manejan, falta de información sobre las buenas prácticas de ciberseguridad y los peligros propios que residen en un sistema IT tradicional, heredado y difícilmente escalable, pues los dispositivos de fabricante no se pueden modernizar y sí están conectados a ordenadores avanzados.
La ciberseguridad en la sanidad pasa primero por conocer los dispositivos conectados a la red
De estas, la primera es especialmente preocupante debido al volumen de dispositivos conectados (se estima que hay tres o cuatro dispositivos por cama). Aquí, el problema es que no existe ningún sistema profesional para contabilizar y hacer un inventario de los dispositivos, ni tampoco para actualizar el estado de seguridad de cada uno de ellos. Por tanto, no hay visibilidad sobre los accesos e intrusiones (sean o no autorizadas).
Estas debilidades, que ya han sido identificadas por los ciberdelincuentes, se suman a las preocupaciones propias del sector sanitario: las consecuencias administrativas y legales que pueden derivar de la sustracción o publicación de datos confidenciales y la falta de control sobre sus dispositivos IoMT (Internet of Medical Things) y las aplicaciones de ‘eSalud’, que son una de las vías de entrada principales para los ciberataques. Todo ello, obviando la principal, que es el error humano.
Ciberseguridad y sanidad
Estudiados los detalles del problema sobre la «ciberinseguridad» en sanidad, y con el fin de ofrecer una solución eficiente, es imprescindible poner en marcha un servicio específico para las instituciones sanitarias que responda con éxito a sus requerimientos de ciberseguridad: visibilidad sobre los dispositivos inteligentes (inventariado y seguimiento en tiempo real), control de accesos y monitorización con alertas de seguridad en caso de intrusión no autorizada o ciberamenaza.
Así, la solución de ciberseguridad para instituciones del sector sanitario pasa, primero, por realizar un inventario sobre todos los dispositivos conectados a la red. Esta acción es posible gracias a una consola gráfica que ofrece al responsable de seguridad de la información en tiempo real la localización del dispositivo y el estado del mismo.
Desde la pandemia, más de 500 instituciones sanitarias han notificado ataques de alta peligrosidad
Después, se establece un sistema de control de accesos. De este modo, se evitan conexiones no legítimas y, lo que es más importante, se establecen los límites de navegación para todos los usuarios (esto es que si una persona quiere acceder a una base de datos concreta, el sistema le autorice a llegar hasta ahí sin libertad para alcanzar otros archivos).
A partir de esta solución, también se pueden contabilizar y estudiar las ciberamenazas para establecer un plan de acción que minimice los riesgos y mejore la resiliencia cibernética. Además, al ser escalable en la nube y moderna, se puede integrar en todas las herramientas corporativas de gestión y administración para ofrecer una visión 360 grados de la ciberseguridad de la empresa.
La barrera humana
Por supuesto, las soluciones y los requerimientos de ciberseguridad se deben hacer de forma realista y teniendo en cuenta las posibilidades. Esto pasa, en primer lugar, por reconocer que el cien por cien de la ciberseguridad no existe y que, en la mayoría de los casos, evitar los ciberataques es una cuestión de sentido común y conocimientos en materia de seguridad.
Por ello es necesario pararse a hablar de la importancia de la concienciación de las empresas, independientemente de su tamaño o del sector al que pertenezcan. Este factor es especialmente interesante en el sector sanitario, pues, aunque se recomienda que los profesionales estén formados en buenas prácticas de seguridad en el entorno digital, no dejamos de hablar de personas que deberán estar centradas en el objetivo de su labor: salvar vidas y dar lo mejor de sí por cada paciente. Es decir, que, aunque conozcan los peligros y las amenazas cibernéticas que se ciernen, es normal que no estén centrados en tratar de reconocerlos constantemente.
Por eso se debe invertir en innovación y en soluciones de ciberseguridad que se desplieguen junto a partners especializados que comprendan la vulnerabilidad del eslabón humano y que, lejos de considerarse como un hándicap más, se vea como una oportunidad para educar en ciberseguridad y destinar recursos a evaluaciones y simulacros que refuercen la capacidad humana frente a los ciberataques.