Los hospitales, más que nunca en el punto de mira de los ciberdelincuentes

El mundo de la salud está muy anticuado en cuanto a concienciación y recursos financieros dedicados a la ciberseguridad. Es más, este sector se ha convertido en uno de los principales objetivos de los piratas informáticos, ya que en un hospital coexisten varias redes con diferentes niveles de privacidad o sensibilidad y, a veces, una falta de segmentación que puede permitir a los ciberdelincuentes navegar fácilmente de una a otra. La gran tensión vivida en los hospitales durante la crisis de COVID-19 también animó a los hackers a concentrarse en este sector y a lanzar campañas masivas contra las organizaciones que se habían vuelto más vulnerables, principalmente ataques destinados a la extracción de datos sanitarios y a la petición de rescates.

Ahora bien, estos ciberataques, así como la falta de recursos de estas organizaciones en materia de seguridad cibernética, muestran la necesidad de proteger los hospitales, cuya continuidad de actividad es esencial para salvaguardar las vidas humanas.

Asegurar los proyectos relacionados con el desarrollo de la cibersalud

No hay duda, la transformación digital ha llegado al sector de la salud para facilitar la práctica de la medicina. Herramientas como la telemedicina, las plataformas de reserva de citas y los chatbots, basados en los avances técnicos de las plataformas en la nube, mejoran las relaciones con los pacientes, pero también, complejizan la noción del alcance a proteger. De igual modo, los dispositivos médicos conectados (tensiómetros, desfibriladores o bombas de insulina) pueden representar una debilidad frente a los ciberataques, al igual que el número creciente de objetos conectados con el sistema de información de los hospitales, creados para facilitar la gestión de los archivos médicos digitales.

Así, nos encontramos con una multiplicidad de dispositivos heterogéneos que complican enormemente la gestión de la infraestructura informática y su ciberseguridad. Además, la barrera entre el sistema de información administrativa y los entornos operativos en los que se encuentran los dispositivos médicos conectados es muy pequeña. Por tanto, la permeabilidad de las diversas redes es un nuevo punto de debilidad de la infraestructura de los hospitales. Si a esto se añade la apertura cada vez mayor de los sistemas de información sanitaria a organizaciones externas o establecimientos médicos de terceros, la amenaza que pesa sobre el terreno se vuelve sistémica.

Reforzar la seguridad operacional de los hospitales

Dado que los sistemas de información de los hospitales están en gran medida conectados y automatizados, debemos tener en cuenta la perspectiva de la seguridad cibernética en las redes operacionales (OT) para comprender sus vulnerabilidades. Todo el hospital se está volviendo inteligente y conectado, y esto no se consigue sin riesgos cibernéticos.

Para una buena gestión técnica de los edificios de los hospitales, la primera medida a adoptar debe ser la de cartografiar los riesgos para identificar el equipo sensible o esencial que debe protegerse con carácter prioritario. En una segunda etapa se trata de aplicar soluciones técnicas que refuercen el nivel de ciberseguridad del sistema de información, empezando por los activos más sensibles: las estaciones de trabajo y el control de la red operativa (OT) mediante la segmentación en red de los distintos subsistemas que intercambian información para aislar los entornos más críticos.

En lo que respecta a los datos sanitarios, es importante tener en cuenta que estos son ultrasensibles y críticos y un objetivo para los hackers, al ser mucho más lucrativos que los simples datos personales.  Tampoco debemos olvidar la naturaleza privada de estos datos y la confianza que el paciente deposita en su hospital. Más allá de los robos y las filtraciones de datos, los riesgos cibernéticos también afectan al respeto de la integridad de los datos sanitarios durante las fases de tratamiento, almacenamiento e intercambio.

Para reducir estos riesgos, hay una serie de buenas prácticas que se pueden aplicar, como aumentar la conciencia y las habilidades no sólo del personal sanitario, sino también de los pacientes. Asimismo, es indispensable ajustarse a las diversas normas y reglamentos existentes, como GDPR, la directiva sobre la Seguridad de las Redes y los sistemas de Información (NIS) en Europa, o el Código Sanitario. Asimismo, debe asegurarse que los datos relativos a la salud se tratan correctamente, ya sea en el marco de las aplicaciones y las interconexiones empresariales, mediante comunicaciones seguras y la anonimización de los datos personales cuando sea posible. Por último, y si bien la mayoría de los intercambios se realizan a través de aplicaciones empresariales sólidas, también es fundamental poder comunicarse de forma segura por correo electrónico. En caso de una emergencia médica este será el método elegido, por lo que es recomendable utilizar una solución de encriptación de correo electrónico para asegurar la confidencialidad de estos intercambios y los datos de salud que se comparten.

Establecer la ciber-resiliencia

Pese a estar muy expuestas, las infraestructuras hospitalarias han demostrado su resiliencia durante la crisis de COVID-19. Sin embargo, esto puede cambiar, por lo que es imperativo situar la ciberseguridad en el centro de la transformación, asignando los presupuestos adecuados para una protección eficaz.

Así, es primordial aumentar el nivel de conocimientos para poder identificar las señales obvias o precursoras de un ciberataque, estableciendo las medidas técnicas y organizativas necesarias para tratar de mitigar y erradicar la amenaza y, por último, analizar cada evento o incidente para mejorar aún más la seguridad. Esto también implica aumentar la resistencia del sistema de información del hospital. La cuestión no es saber si será atacado, sino cuándo ocurrirá el ataque.

Al proteger lo más posible los equipos que son vitales para el funcionamiento del hospital se persigue garantizar un nivel mínimo de operaciones durante un ciberataque y una vuelta a la normalidad lo más rápido posible. Además de los planes de reanudación y continuidad de las actividades, la ciber-resiliencia de los establecimientos sanitarios se basa en la aplicación de una gobernanza dedicada a la mejora continua de la seguridad del sistema de información del hospital mediante la inclusión de aspectos de TI (sistema de información de la administración), OT (equipo médico operativo) e IoT (objetos conectados). Se trata de organizar un equipo pluridisciplinar que cuente con el pleno apoyo del equipo directivo y cuya misión sea garantizar el intercambio de experiencias entre los equipos de los servicios informáticos, de ciberseguridad, técnicos y logísticos y los responsables de los servicios hospitalarios.

Borja Pérez, Country Manager Stormshield Iberia