Tres problemas que tienen que resolver los centros hospitalarios para mejorar en ciberseguridad
- Actualidad
Los hospitales tienen una gran superficie de ataque que proteger, una deuda técnica importante y falta de personal, y son cuestiones sobre las que deben actuar. La información sensible que manejan hace que estén en el punto de mira del cibercrimen: los datos sanitarios les reportan elevadas ganancias.
Por lo sensible de los datos que gestionan, los centros hospitalarios reciben frecuentes ciberataques dirigidos y, además, son propensos a pagar los rescates exigidos por los delincuentes para mantener sus sistemas en funcionamiento. Según Stormshield, su fragilidad se puso de manifiesto con la pandemia de Covid-19, cuando, sobre todo, en los primeros meses de 2020 los hospitales se vieron afectados y paralizados por reiterados ataques, pero "esta situación lleva más de una década preocupando a los profesionales".
A pesar de los apoyos de iniciativas públicas y de compañías de ciberseguridad privadas, los hospitales siguen siendo vulnerables y la razón principal es que presentan una superficie de ataque muy extensa. En su análisis, los especialistas de Stormshield citan como primera limitación la renovación de los equipos informáticos en los entornos sanitarios, aparece la primera limitación. Mientras que los dispositivos informáticos convencionales se actualizan cada cinco años, los de uso médico pueden alcanzar una vida útil de hasta 15 años, con sistemas operativos para los que, en muchos casos, no existe mantenimiento ni corrección de posibles brechas. A esto se le añade el marcado CE, requisito obligatorio en Europa, que impone que no pueda hacerse ninguna modificación, como pueda ser la actualización de parches de seguridad.
Para evitar el riesgo de utilizar sistemas operativos sin mantenimiento, las políticas de seguridad informática tienen que poder adaptarse. Es transcendental contar con un plan de continuidad de la actividad y un plan de recuperación, pero también es igual de primordial tener flexibilidad.
Al mismo tiempo, los hospitales llevan más de una década haciendo frente a un obligado proceso de transformación digital que, aunque ha supuesto un gran paso en lo que respecta a mejoras tecnológicas y de servicios, también ha amplificado y difuminado el perímetro informático. organizaciones sanitarias además se han visto debilitadas por la democratización de los productos conectados y, a nivel financiero, por la sucesión de convocatorias de proyectos sin presupuestos asociados para mantenerlos. Como resultado, los hospitales se enfrentan a riesgos que ponen en peligro su seguridad y a una enorme deuda técnica. Por tanto, es necesario enmarcar estos nuevos usos digitales y añadir una capa de seguridad que permita proteger la infraestructura sin generar dicha deuda técnica.
La falta de personal es otro factor de vulnerabilidad. Ante este problema, los equipos de TI se centran en proporcionar información con rapidez y esto, a veces, puede significar ignorar las normas de seguridad más básicas y obvias. Por eso, recuerda Stormshield, se necesita concienciación sobre las buenas prácticas en cuanto a ciberseguridad.
Los datos sanitarios
Sin embargo, la cuestión vital de la seguridad en los centros sanitarios se refiere, por encima de todo, a los datos de los pacientes y a su tratamiento. Según un estudio estadounidense, en marzo de 2022, los datos sanitarios valen 25 veces más que una tarjeta de crédito, por lo que no es de extrañar que los ciberdelincuentes hayan situado a los pacientes en su punto de mira.
Si los datos de salud son una ganancia financiera para los ciberdelincuentes, los datos del universo sanitario pueden ser un objetivo para los poderes del Estado. Así, por ejemplo, durante la crisis sanitaria, ciberdelincuentes vinculados a países que no disponían de medios de investigación y desarrollo de vacunas lanzaron sucesivos ataques contra empresas farmacéuticas para obtener información. "Dichas acciones más allá de un fin oportunista perseguían un deseo de desestabilización o de espionaje industrial", explica la firma.
Su Country Manager en España, Borja Pérez, subraya que "las razones de la vulnerabilidad de las instituciones sanitarias son, pues, complejas. Son herencia de los problemas estructurales del sector e indudablemente no se resolverán en unos meses" pero que, en todo caso, "el sector sanitario debe actuar rápidamente" con el apoyo de empresas privadas e instituciones públicas.
