El modelo sanitario de nuestra sociedad se basa en un marco de salud integral, con una historia clínica compartida por los diferentes actores sanitarios y accesible por el ciudadano. Esto implica que los sistemas y tecnologías necesarios en la asistencia sanitaria estén conectados, pero con un riesgo inherente de la propia conectividad que podría traicionar la seguridad de los pacientes, sometiéndolos a riesgos innecesarios y obligándolos a pagar costes personales inaceptables.
La actual pandemia Covid-19 ha creado una nueva realidad para el sector de la salud a nivel mundial poniendo a prueba sus límites. Además de la abrumadora situación a la que se enfrenta actualmente, el sector se ha convertido en un objetivo directo o en una víctima colateral de los ataques de ciberseguridad.
Los agentes malintencionados que se aprovechan de la pandemia de Covid-19 ya han puesto en marcha una serie de campañas de phishing y ataques con rescates. Los hospitales han desplazado su atención y sus recursos a su función principal, gestionando esta extraordinaria emergencia, que los ha colocado en una situación vulnerable. Los hospitales, y todo el sector sanitario, ahora tienen que estar preparados.
Debemos velar por asegurar y proteger los sistemas de información de los incidentes de ciberseguridad, ya sean intencionados o no. Los casos reales de robo de identidad, rescate y piratería informática dirigida al sector sanitario demuestran que nuestros datos de atención médica son vulnerables. Los datos pueden utilizarse para fines malintencionados como el fraude, el robo de identidad, las interrupciones en la cadena de suministros, el robo de investigación, la manipulación de existencias o la extorsión, llegando a veces a interrumpir la atención al paciente.
Los recientes incidentes de ransomware han comprometido a los Sistemas de Información interrumpiendo la atención sanitaria a los pacientes, demostrando así lo vulnerables que son. Sin embargo, existe una baja percepción de riesgos por parte de los profesionales sanitarios y de los propios proveedores de los sistemas, que creen que las infraestructuras, los dispositivos y los sistemas de información funcionan eficientemente y con escasos riesgos.
Algunos incidentes recientes de gravedad han demostrado que esta suposición de seguridad es falsa y han brindado una oportunidad para aumentar la educación y la concienciación sobre los beneficios de la ciberseguridad en el sector sanitario. Es necesario, por tanto, demostrar la importancia de las protecciones en ciberseguridad para la supervivencia del sector sanitario, incluyendo cómo la mitigación de riesgos puede ahorrar dinero y proteger contra el daño a la reputación a largo plazo.
Factores que facilitan los ciberataques
Existen múltiples circunstancias que facilitan la ocurrencia de ciberataques, que pueden ser debidos a numerosas causas. En primer lugar, la mayoría de hospitales y servicios de salud no disponen de personal especializado en seguridad de la información a tiempo completo. Asimismo, gran parte de los sistemas de información se basan en plataformas antiguas, no están soportadas y sus sistemas operativos son vulnerables. En la misma línea, los sistemas de información están diseñados para dar respuesta a problemas locales, con un diseño e implementación poco seguro, lo que impide que respondan adecuadamente a los modelos integrados e hiperconectados que se demandan.
En consecuencia, las vulnerabilidades de los sistemas informáticos afectan directamente a la asistencia sanitaria, bloqueando su funcionamiento o ralentizando hospitales completos. Igualmente, provocan una incapacidad de la tecnología médica de estar actualizada y, con ello, los equipos y los programas se quedan sin mantenimiento o no pueden actualizarse por falta de compatibilidad con los nuevos sistemas operativos.
Esto ocurre en el sector de la salud, que es complejo e incluye sistemas de salud muy grandes, hospitales privados, servicios diagnósticos, aseguradoras, instituciones de investigación, desarrolladores de dispositivos médicos y compañías de software sanitario. Estos deben adaptarse continuamente a nuevas demandas sociales, a la limitación de los recursos disponibles para su consecución y a un marco normativo complejo y con nuevos requerimientos en la protección de los datos y privacidad. Todo ello obliga a una mayor responsabilidad para asegurar sus sistemas de información, dispositivos médicos y datos de los pacientes.
Se requieren nuevas prestaciones, servicios más eficientes con costes limitados o menguantes y una política restrictiva en los recursos humanos especializados. Muchas organizaciones no pueden permitirse el lujo de retener personal interno de seguridad de la información, encargando los temas de ciberseguridad como secundarios al día a día del personal TIC. Estas organizaciones a menudo carecen de la infraestructura necesaria para identificar y rastrear las amenazas, analizar y de actuar sobre esa información. Ya que carecen de experiencia necesaria para hacer frente a las amenazas actuales y emergentes de la ciberseguridad, es incluso posible que estas organizaciones no sepan que han experimentado un ataque hasta mucho después de que éste haya ocurrido.
Retos del sector sanitario
Nos encontramos frecuentemente con numerosos sistemas de información heredados no soportados y que no se pueden reemplazar fácilmente (hardware, software y sistemas operativos), con un gran número de vulnerabilidades y pocas contramedidas modernas. El sector sanitario tendrá que reducir drásticamente el uso de productos heredados, sin mantenimiento, no respaldados y no actualizables, reduciendo de manera más eficaz el riesgo en los productos futuros mediante estrategias sólidas de diseño y desarrollo.
Priorizar la ciberseguridad dentro de las organizaciones sanitarias requiere cambios culturales y una mayor comunicación hacia y desde el liderazgo, así como cambios en la forma en que los proveedores desempeñan sus funciones en el entorno clínico. Asimismo, es aconsejable cumplir con las buenas prácticas, como las recomendadas por ENISA. En concreto, conviene compartir la información con el personal sanitario de la organización, concienciar sobre la situación actual y, en caso de infección, pedir al personal que se desconecte de la red para contener la propagación. Igualmente, sensibilizar internamente a las organizaciones sanitarias y a los hospitales mediante el lanzamiento de campañas incluso en tiempos de crisis (es decir, informar al personal del hospital para que no abra correos electrónicos sospechosos).
En caso de que los sistemas se vean comprometidos, se debe congelar cualquier actividad en el sistema (desconectar los equipos infectados de los demás y de cualquier unidad externa o dispositivo médico). Es imperativo desconectarse de la red y contactar inmediatamente con el CSIRT nacional.
También es recomendable asegurar la continuidad del negocio a través de procedimientos efectivos de respaldo y restauración. Los planes de continuidad del negocio deben establecerse siempre que el fallo de un sistema pueda interrumpir los servicios básicos del hospital y el papel del proveedor en tales casos debe estar bien definido. En caso de impacto en los dispositivos médicos, la respuesta a los incidentes debe coordinarse con el fabricante del dispositivo. Es decir, es necesario colaborar con los proveedores para la respuesta a incidentes en caso de dispositivos médicos o sistemas de información clínica. Para terminar, una medida de preparación es la segmentación de la red. Con ella, el tráfico de la red puede ser aislado y/o filtrado para limitar y/o prevenir el acceso entre las zonas de la red.
Trabajo conjunto en ciberseguridad
Toda la comunidad de ciberseguridad está trabajando conjuntamente para apoyar al sector sanitario a medida que se desarrolla la pandemia. Las autoridades nacionales de ciberseguridad están emitiendo alertas y directrices sobre posibles ataques cibernéticos. Intercambian continuamente información y emiten informes de situación, junto con las instituciones púbicas y las empresas tecnológicas para apoyar al sector sanitario. La ciberseguridad en los Sistemas Sanitarios es un elemento clave para asegurar la asistencia y, por tanto, requiriere una atención inmediata y continuada de los directivos de la salud.
La aplicación satisfactoria de estas recomendaciones requerirá recursos y coordinación adecuados en los sectores público y privado. Con ello se conseguirá una implementación óptima, que ayudará a aumentar la seguridad de las organizaciones, redes y dispositivos médicos asociados del sector sanitario. Como consecuencia, todo esto repercutirá en una asistencia sanitaria segura y valorada positivamente por los usuarios.
