Stormshield muestra cómo hacer del hospital un espacio conectado y seguro

Aunque la fragilidad de las instituciones sanitarias se puso de manifiesto con la pandemia de Covid-19, cuando, sobre todo, en los primeros meses de 2020 los hospitales se vieron afectados y paralizados por reiterados ciberataques, esta situación lleva más de una década preocupando a los profesionales.

La renovación de los equipos informáticos en los entornos sanitarios es una de los primeros retos de este entorno. Mientras que los dispositivos informáticos convencionales se actualizan cada cinco años, los de uso médico pueden alcanzar una vida útil de hasta 15 años, con sistemas operativos para los que, en muchos casos, no existe mantenimiento ni corrección de posibles brechas. A esto se le añade el marcado CE, requisito obligatorio en Europa, y que impone que no pueda hacerse ninguna modificación, como pueda ser la actualización de parches de seguridad.

Desde Stormshield comentan que es transcendental contar con un plan de continuidad de la actividad y un plan de recuperación, pero también es igual de primordial tener flexibilidad.

 Al mismo tiempo, los hospitales llevan más de una década haciendo frente a un obligado proceso de transformación digital que si bien ha supuesto un paso de gigante en cuanto a mejoras tecnológicas y de servicios, también ha amplificado y difuminado el perímetro informático. Las instituciones sanitarias además se han visto debilitadas por la democratización de los productos conectados, y a nivel financiero, por la sucesión de convocatorias de proyectos sin presupuestos asociados para mantenerlos. Como resultado, los hospitales se enfrentan a riesgos que ponen en peligro su seguridad, y a una enorme deuda técnica. Por tanto, es necesario enmarcar estos nuevos usos digitales y añadir una capa de seguridad que permita proteger la infraestructura sin generar dicha deuda técnica.

Las personas igualmente representan un factor de vulnerabilidad en los hospitales. Y es que, ante la carencia de personal, los equipos de TI se centran en proporcionar información con rapidez, lo que, a veces, puede significar ignorar las normas de seguridad más básicas y obvias. En este contexto, los equipos de SSI de los hospitales deben concienciar a su personal y recordarles en todo momento las buenas prácticas en cuanto a ciberseguridad.

Los datos, el verdadero objetivo

Sin embargo, la cuestión vital de la seguridad en los centros sanitarios se refiere, por encima de todo, a los datos de los pacientes y a su tratamiento. Según un estudio estadounidense, en marzo de 2022, los datos sanitarios valían 25 veces más que una tarjeta de crédito, por lo que no es de extrañar que los ciberdelincuentes hayan situado a los pacientes en su punto de mira.

Si los datos de salud son una ganancia financiera para los ciberdelincuentes, los datos del universo sanitario pueden ser un objetivo para los poderes del Estado. Así, por ejemplo, durante la crisis sanitaria, ciberdelincuentes vinculados a países que no disponían de medios de investigación y desarrollo de vacunas lanzaron sucesivos ataques contra empresas farmacéuticas a fin de obtener la preciada información. A destacar que dichas acciones más allá de un fin oportunista perseguían un deseo de desestabilización o de espionaje industrial.

A tenor de todas estas amenazas y vectores de ataque, Borja Pérez, Country Manager de Stormshield Iberia, afirma: “Las razones de la vulnerabilidad de las instituciones sanitarias son, pues, complejas. Son herencia de los problemas estructurales del sector e indudablemente no se resolverán en unos meses. Para saldar las deudas técnicas, solucionar la falta de personal y reducir la superficie de ataque, el sector sanitario debe actuar rápidamente, con el apoyo de empresas privadas e instituciones públicas. Aún quedan muchos puntos por resolver en los hospitales para garantizar una verdadera ciberseguridad de estas infraestructuras vitales”.