El sector sanitario actualmente se enfrenta a un reto importante en cuanto a la digitalización de sus sistemas, ya que disponen de una gran dependencia de sistemas específicos del sector como de la disponibilidad de datos de pacientes, historiales y tratamientos, ya que en el día a día dependen de estos recursos para progresar eficientemente y con la agilidad requerida en la sociedad actual. Esta dependencia genera directamente una exposición a amenazas en el plano cibernético, que no se relacionan con el sector sanitario, planteando nuevos escenarios de riesgos hasta ahora desconocidos.
El reto principal es aceptar la nueva realidad y fijarse en sectores que se enfrentaron a esto en condiciones semejantes, sistemas muy caros y específicos, requisitos de seguridad de la información no contemplados en el diseño, personal muy cualificado en la manipulación de los equipos pero centrados en la seguridad medica del paciente y la operativa, que en ocasiones prioriza la comodidad (uso de terminales médicos/corporativos para asuntos no médicos/personales) frente a la seguridad electrónica, longevidad de los equipos médicos debido a su alto coste y la rentabilidad a largo plazo, y así un listado de características que complican la incorporación de mecanismos de ciberseguridad en los procesos y equipamiento sanitario.
Actualmente debido a las características comentadas, hacer frente a esta realidad resulta complicada, ya que requiere mucha inversión no solo en personal cualificado en la materia de ciberseguridad con conocimientos en sistemas médicos o industriales, sino también en reemplazo de equipamiento obsoleto en cuanto a requisitos de seguridad en el plano cibernético y adquisición de mecanismos o equipamiento específico para hacer frente a las amenazas presentes hoy en día.
Es fundamental abordar dicho reto en dos niveles, uno a nivel humano, donde la prioridad es la educación y concienciación de los usuarios de los sistemas, y otro a nivel técnico, con tecnología bien aplicada.
Factor humano: el eslabón más débil en la cadena de ciberseguridad
A nivel humano hay que considerar que los usuarios son la primera barrera ante los ciberataques y el eslabón más débil en la defensa contra ellos, ya sean físicos: por ejemplo mediante la conexión de dispositivos no autorizados (pendrives personales o encontrados como en el caso Stuxnet https://es.wikipedia.org/wiki/Stuxnet) a sistemas que están aislados; o lógicos: no reconociendo detectando correos de phishing, o abriendo archivos adjuntos de orígenes desconocidos, o conocidos pero de dudoso contenido (https://www.eleconomista.com.mx/tecnologia/El-WannaCry-y-las-48-horas-que-el-mundo-miro-a-Telefonica-20170603-0008.html )
A nivel técnico ante esta situación lo fácil seria desconectar los sistemas y equipamiento médico de la red, sin posibilidad de que desde fuera lleguen a ellos y puedan manipular o acceder, pero hoy en día: en una sociedad hiperconectada esto imposibilitaría la ejecución de procesos médicos con agilidad, o incluso de mantenimiento, gestión y revisión. En este asunto hay que trabajar de manera semejante a otros sectores, iniciando un plan director de seguridad de la información con planes de acción y medidas concretas para la protección preventiva de los entornos productivos de hospitales, centros sanitarios, industria farmacéutica y una larga lista de lugares parte del sector, además de establecer las directrices de medidas reactivas ante la situación de verse afectado por un ataque. Todo esto requiere de presupuestos, esfuerzos y profesionales experimentados en diversos escenarios complejos, así aseguraremos al menos un mínimo de capacidades ante el crecimiento de actividades maliciosas en la Red.
De estas medidas complejas, una en particular que se debe impulsar, es la de incluir junto con los fabricantes y desarrolladores de equipamiento médico requisitos de seguridad de la información en los productos y su revisión periódica, al igual que otras normas médico-sanitarias obligan a ello por distintos motivos, asegurando los requisitos impuestos en el sector a lo largo del tiempo. No tratando de considerar estos productos como sistemas básicos de uso comercial y consumo personal, ya que su uso no es ese, siendo sistemas y productos altamente complejos y críticos y así es como deben ser los requisitos o normativas en materia de seguridad de la información que les apliquen.
Ciberseguridad en el sector sanitario
Por tanto, una organización perteneciente al sector sanitario, lo primero que debe hacer para abordar esta nueva realidad es ser consciente de la misma, y así contar con la ayuda necesaria entre los profesionales para conseguir las capacidades necesarias para ser ciberresiliente y garantizar la continuidad de negocios y actividades.
Para llegar a ello hay muchos caminos, distintos en cada organización y no válidos para todos. Y es por esto que es tan crítico contar con expertos en la materia, asesorando las decisiones a tomar y así construir el propio camino a seguir por cada organización.
No hay una política maestra para seguir, normativas y directrices en materias de ciberseguridad pueden servir de ayuda y como punto de partida, pero el desarrollo de estas y la madurez sobre ellas es muy diferente en las organizaciones. Entre ellas hablamos de la ISO27k, NIST, ENS, RGPD, NIS… Cumpliendo tanto unas como otras, al final es entender la prioridad de los servicios que se disponen, manteniendo la seguridad de los datos como principal elemento a asegurar, sin abandonar la disponibilidad e integridad de ellos, considerando que la sensibilidad de los datos y de la información en estas organizaciones es muy sensible.
Referencias:
https://www.hhs.gov/sites/default/files/2021-retrospective-and-2022-look-ahead-tlpwhite.pdf
https://www.hipaajournal.com/june-2022-healthcare-data-breach-report/
https://www.hipaajournal.com/december-2021-healthcare-data-breach-report/
https://www.hipaajournal.com/2020-healthcare-data-breach-report-us/
https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
https://as.com/meristation/2020/05/14/betech/1589448446_243242.html
AUTOR: Rafael Tenorio Fuentes
Linkedin: https://www.linkedin.com/in/rafa-tenorio/
Cybersecurity and Intelligence Serrvice Manager
AUTOR: Luis Sainz Nieto
Linkedin:https://www.linkedin.com/in/luis-e-sainz-nieto-a76b9b31/
Analista de ciberseguridad