Cyber Madrid y MAD e-Health muestran el rol crítico de la ciberseguridad en el sector Salud

La gran superficie de exposición, y la vulnerabilidad de los datos y de los procesos esenciales para el correcto funcionamiento de las instituciones, tanto públicas como  privadas, como lamentablemente pudimos ver con el ataque llevado a cabo contra el Hospital Clínic de Barcelona, son dos de los elementos clave de la imperiosa necesidad de poner el foco en la ciberseguridad en este sector, teniendo en cuenta, además, que hablamos de datos sumamente sensibles de los pacientes y que, incluso, los ataques pueden llegar a tener efecto más allá de la economía y la reputación, en la vida de las personas.

Por este motivo, el Clúster MAD e-Health y el Clúster de Ciberseguridad de Madrid, CyberMadrid, con el apoyo de Incibe, Comunidad Autónoma de Madrid y Ayuntamiento de Madrid, han organizado la primera edición del Cybersecurity Healthcare & Pharma Congress, con la idea de poner sobre la mesa recomendaciones y buenas prácticas para proteger los datos y las infraestructuras de las empresas del sector, así como el foco sobre algunos datos preocupantes que sitúan al sector sanitario y farmacéutico de nuestro país como uno de los principales puntos de ataque a nivel mundial. El evento contó con la colaboración de IT Digital Security.

 

Nutrida representación institucional y un amplio programa

El congreso contó con la presencia y participación de destacados ponentes de instituciones públicas y privadas, destacando la nutrida representación de cargos en organismos públicos, tales como el director general de Estrategia Digital de la Comunidad de Madrid, la CISO de Salud Digital de la Comunidad de Madrid, el director de la Oficina de Digitalización del Ayuntamiento de Madrid, el responsable del Centro de Ciberseguridad del Ayuntamiento de Madrid o  el responsable de ciberseguridad en INCIBE-CERT de los Sectores estratégicos Sanitario, Alimentario y de Investigación.

Como decíamos, el foro fue un lugar de debate en el que se trataron temas tan necesarios como las principales amenazas en el entorno sanitario y farmacéutico y qué servicios y soluciones existen en la actualidad para implementar medidas robustas que protejan los datos de los pacientes, la continuidad de los servicios de salud y el cumplimiento de las normativas y regulaciones vigentes, así como las buenas prácticas en ciberseguridad.

El programa estuvo compuesto por ponencias y mesas redondas sobre concienciación, programas de sensibilización y formación para los profesionales sanitarios; ámbitos de compliance en el Sector Salud con implicaciones directas en ciberseguridad; la importancia de planes de respuesta ante incidentes; el control de la ciberseguridad en la cadena de suministro, uno de los puntos de ataque utilizados en algunos de los recientes incidentes; el papel de los ciberseguros como un elemento necesario en ciberseguridad; protecciones de elementos IoT en el sector sanitario; las responsabilidades para la alta dirección en materia de ciberseguridad analizando NIS2, la directiva europea 2022/2555, que establece obligaciones de ciberseguridad para los diferentes países de la UE, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros. Además, se expusieron casos de éxito de soluciones de ciberseguridad en el ámbito salud.

 

Un sector en claro riesgo

Una de las primeras ponencias corrió a cargo de María Isabel González, jefa de servicio de Seguridad de los Sistemas de Información (CISO) de la Dirección General de Salud Digital de la Consejería de Digitalización de la Comunidad de Madrid; y Eduardo Sánchez, CISO de Atrys Health, que repasaron algunas de las cifras que sitúan este sector como uno de los más amenazados de nuestro país, que, a su vez, figura como uno de los más atacados en los últimos meses.

Explicaba María Isabel González que “este tipo de congresos es necesario para ayudar a concienciar sobre la securización de un servicio crítico”.

Tal y como recordaba esta responsable, “los atacantes buscan rédito económico, y parar un servicio crítico en un hospital tiene un impacto superior”. Por eso, y con los datos de ENISA en la mano, “los hospitales reciben el triple de ataques que otras instituciones sanitarias”.

Según los análisis de este organismo europeo, por países, desde 2021, España es el segundo que más ataques ha recibido, solo por detrás de Francia. Se trata de incidentes marcados por unos claros vectores de ataque, tales como el phishing, el compromiso de las tecnologías de acceso remoto, el aprovechamiento de vulnerabilidades no descubiertas o no resueltas, las cadenas de suministro, los accesos inalámbricos derivados de la IoT, o las credenciales comprometidas.

Estos datos, unidos a la información de IBM sobre que el coste de una brecha de seguridad en Sanidad duplica al siguiente sector de la lista, la Banca, hace que nos encontremos ante un escenario complejo y peligroso.

De hecho, 277 días es el tiempo medio de identificación y contención de brechas de datos, lo que supone un tiempo demasiado elevado de exposición ante los ataques.

Tampoco se mostró muy optimista Juan Díez, responsable de Ciberseguridad en INCIBE-CERT Sectores estratégicos Sanitario, Alimentario y de Investigación, que recordó a la audiencia que el precio de los datos de salud es superior incluso a los datos obtenidos mediante un ataque a instituciones financieras o bancarias.

De hecho, este responsable destacó que este sector cuenta con tres elementos que lo hacen muy atractivo para los atacantes: alta criticidad de los servicios, alto valor de los datos y un entorno muy heterogéneo.

Con todo, señaló que “la ciberseguridad debe ser estratégica para una institución del sector Salud, con un plan claro y un análisis de riesgos continuo, así como contar con el presupuesto necesario para ello”.