Claves para garantizar la ciberseguridad en el sector sanitario

En el mercado negro los datos médicos valen ya diez veces más que los económicos. A modo de ejemplo, solo un expediente clínico en la dark web puede costar alrededor de los 1.000 dólares. De hecho, la fuga de datos de salud (datos personales, historiales, etc.) es el atractivo número uno para los ciberdelincuentes, y el ransomware ha evidenciado la debilidad de los sistemas de hospitales en todo el mundo. Sin embargo, es necesario mirar más allá del ámbito digital.

La ciberseguridad industrial (OT) es también una prioridad para el sector. El fallo o intrusión en un sistema digital pondrá al descubierto nuestra información más personal. El fallo en un equipo hospitalario puede provocar problemas irreversibles en la salud física de los pacientes. Se trata de la seguridad de un marcapasos, de un holter, de una bomba de insulina, de máquinas de tomografía, de ecografía, de rayos X, de radioterapia, de robots de cirugía, de desfibriladores y de todo tipo de wearables. “

“Todos estos aparatos industriales se comunican con los sistemas digitales (IT) de un hospital”, subraya Alejandro Villar, Global Director of OT Cybersecurity en Entelgy Innotec Security.

Según este experto, la principal problemática en el ámbito hospitalario es que, por norma general, “no se permite instalar ningún software de terceros en un terminal médico, ni mejorar su sistema operativo (ni siquiera por razones de seguridad), al no estar esta acción certificada por el fabricante”.

Además, hoy gran parte del software médico está fuera de soporte y muchos de los sistemas que se utilizan son anticuados y están profundamente implantados, por lo que puede ser costoso reemplazarlos. “Existe un gran riesgo al exponer la maquinaria y herramientas de un hospital a todas las amenazas de un entorno digital”, añade Villar.

Plan para garantizar la seguridad en hospitales
Asegurar una ciberseguridad completa, desde el ámbito digital hasta el físico, requiere de un plan de seguridad específico que pasa por varias fases: descubrir, evaluar, proteger, monitorizar y optimizar.

- Descubrir: conocer el modelo digital del hospital y de sus activos conectados, hacer un inventario, saber qué máquinas están conectadas, qué conexiones existen entre un dispositivo y otro, dónde se consume su información, etc.

- Evaluar: analizar todos los dispositivos conectados en busca de vulnerabilidades y calcular el riesgo de cada uno de ellos.

- Proteger: organizar los dispositivos para decidir qué máquinas están autorizadas para acceder a la información de otras y establecer accesos controlados y seguros. También es relevante la colaboración entre equipos. Involucrar a profesionales de distintas áreas que sean capaces de identificar dispositivos críticos y que puedan ser atacados.

-Monitorizar: en el ámbito industrial hay que convivir con el riesgo continuamente. “Implementar un marco de detección y respuesta urgente es necesario para descubrir desviaciones de políticas y responder de manera efectiva”, dice Alejandro Villar.

- Optimizar: aprovechar la oportunidad de mejorar el entorno, de optimizar los dispositivos, sus conexiones y seguridad.

Asignar responsabilidades
De acuerdo con el director global de la práctica de Ciberseguridad OT de la compañía, "dada la situación de amenaza real existente, el próximo paso será que las compañías y administraciones públicas asignen responsabilidades y establezcan planes específicos para estos entornos".

La recomendación es llegar a operar con tres equipos interconectados en el ámbito hospitalario. Uno será el encargado de la seguridad de la información. Otro será el encargado de la infraestructura de red. Un tercero estará especializado en ingeniería biomédica. También será necesario sustituir los sistemas heredados obsoletos e imposibles actualizar.

Aquellos capaces de entender el mundo industrial y el mundo digital y su interlocución, serán quienes puedan gestionar ambos espacios y quienes tengan una oportunidad de éxito y existencia en el futuro.