Factores que facilitan los ciberataques
Existen múltiples circunstancias que facilitan la ocurrencia de ciberataques, que pueden ser debidos a numerosas causas. En primer lugar, la mayoría de hospitales y servicios de salud no disponen de personal especializado en seguridad de la información a tiempo completo. Asimismo, gran parte de los sistemas de información se basan en plataformas antiguas, no están soportadas y sus sistemas operativos son vulnerables. En la misma línea, los sistemas de información están diseñados para dar respuesta a problemas locales, con un diseño e implementación poco seguro, lo que impide que respondan adecuadamente a los modelos integrados e hiperconectados que se demandan.
En consecuencia, las vulnerabilidades de los sistemas informáticos afectan directamente a la asistencia sanitaria, bloqueando su funcionamiento o ralentizando hospitales completos. Igualmente, provocan una incapacidad de la tecnología médica de estar actualizada y, con ello, los equipos y los programas se quedan sin mantenimiento o no pueden actualizarse por falta de compatibilidad con los nuevos sistemas operativos.
Esto ocurre en el sector de la salud, que es complejo e incluye sistemas de salud muy grandes, hospitales privados, servicios diagnósticos, aseguradoras, instituciones de investigación, desarrolladores de dispositivos médicos y compañías de software sanitario. Estos deben adaptarse continuamente a nuevas demandas sociales, a la limitación de los recursos disponibles para su consecución y a un marco normativo complejo y con nuevos requerimientos en la protección de los datos y privacidad. Todo ello obliga a una mayor responsabilidad para asegurar sus sistemas de información, dispositivos médicos y datos de los pacientes.
Se requieren nuevas prestaciones, servicios más eficientes con costes limitados o menguantes y una política restrictiva en los recursos humanos especializados. Muchas organizaciones no pueden permitirse el lujo de retener personal interno de seguridad de la información, encargando los temas de ciberseguridad como secundarios al día a día del personal TIC. Estas organizaciones a menudo carecen de la infraestructura necesaria para identificar y rastrear las amenazas, analizar y de actuar sobre esa información. Ya que carecen de experiencia necesaria para hacer frente a las amenazas actuales y emergentes de la ciberseguridad, es incluso posible que estas organizaciones no sepan que han experimentado un ataque hasta mucho después de que éste haya ocurrido.
