Juan Díaz García
Responsable de la Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud. Delegado de Seguridad y Protección de Datos de la Sociedad Española de Informática de la Salud (SEIS)
Según un informe publicado en el Journal of the American Medical Association, los incidentes de seguridad en la atención médica han aumentado significativamente desde 2010, más del 80 por ciento han sufrido ataques de secuestro de información o han tenido brechas de fuga de información.
Debemos velar por asegurar y proteger los sistemas de información de los incidentes de ciberseguridad, ya sean intencionados o no. Los casos reales de robo de identidad, rescate y piratería informática dirigida al sector sanitario demuestran que nuestros datos de atención médica son vulnerables. Los datos pueden utilizarse para fines malintencionados como el fraude, el robo de identidad, las interrupciones en la cadena de suministros, el robo de investigación, la manipulación de existencias o la extorsión, llegando a secuestrar la información sanitaria e impidiendo su uso en la asistencia al paciente.
Existen nuevos riesgos y múltiples circunstancias que facilitan la ocurrencia de ciberataques que pueden ser debidos a las siguientes causas: la mayoría de hospitales y servicio de salud no dispone de personal especializado en seguridad de la información a tiempo completo. Gran parte de los sistemas de información se basan en plataformas antiguas, no están soportadas y sus sistemas operativos son vulnerables.
Los sistemas de información están diseñados para dar respuesta a problemas locales con un diseño e implementación poco seguro, lo que impide que respondan adecuadamente a modelos integrados e hiperconectados que se demanda. Las vulnerabilidades de los sistemas informáticos afectan directamente a la asistencia sanitaria, bloqueando su funcionamiento o ralentizando hospitales completos; e incapacita a la tecnología médica de estar actualizada: los equipos y los programas se quedan sin mantenimiento o no pueden actualizarse por falta de compatibilidad con los nuevos sistemas operativos.
Esto ocurre en el sector de la salud, que es complejo e incluye organizaciones de salud muy grandes, hospitales privados, servicios diagnósticos, aseguradoras, instituciones de investigación, desarrolladores de dispositivos médicos y compañías de software sanitario. Estos deben adaptarse continuamente a nuevas demandas sociales, a la limitación de los recursos disponibles para su consecución, un marco normativo complejo y con nuevos requerimientos en la protección de los datos y privacidad. Lo que obliga a una mayor responsabilidad para asegurar sus sistemas de información, dispositivos médicos y datos de los pacientes.
Cada vez se requieren nuevas prestaciones sanitarias, servicios más eficientes con costes limitados o menguantes y una política restrictiva en los recursos humanos especializados; incrementando la demanda y complejidad de los sistemas de información y tecnológicos implicados.
Tal y como se expuso en la Jornada ‘Ciberseguridad y riesgos en hospitales’, organizada por ICU Medical, esto incrementa las situaciones de riesgos y muchas organizaciones sanitarias no pueden permitirse el lujo de retener personal interno de seguridad de la información, encargando los temas de ciberseguridad como secundarios al día a día del personal de las tecnologías de la información y comunicaciones. Estas organizaciones a menudo carecen de la infraestructura necesaria para identificar y rastrear las amenazas, la capacidad de analizar y de actuar sobre esa información; ya que carecen de experiencia necesaria para hacer frente a las amenazas actuales y emergentes de la ciberseguridad, siendo posible que estas organizaciones no sepan que han experimentado un ataque hasta mucho después de que éste haya ocurrido.
Nos encontramos frecuentemente con numerosos sistemas de información heredados no soportados y no se pueden reemplazar fácilmente (hardware, software y sistemas operativos) con un gran número de vulnerabilidades y pocas contramedidas modernas. El sector sanitario tendrá que reducir drásticamente el uso de equipamiento y productos heredados, sin mantenimiento, no respaldados y no actualizables, debiendo reducir de manera más eficaz el riesgo en los productos futuros mediante estrategias sólidas de diseño y desarrollo.
Se producen nuevos tipos de ataques y vulnerabilidades de los sistemas que dan lugar a una creciente superficie de ataque. Hoy en día, el cambiante panorama de amenazas, las regulaciones inconstantes y los desafíos sistémicos exigen un enfoque dedicado e innovador para proteger los dispositivos médicos conectados. Los recientes incidentes de ransomware han comprometido a los sistemas de información interrumpiendo la atención sanitaria a los pacientes, demostrando así lo vulnerable que son.
Existe una baja percepción de riesgos de los profesionales sanitarios y de los propios proveedores de los sistemas, que creen que las infraestructuras, los dispositivos y los sistemas de información funcionan eficientemente y con escasos riesgos. Algunos incidentes recientes de gravedad, como los ataques de ransomware y las violaciones de la privacidad a gran escala, han demostrado que esta suposición de seguridad es falsa y ha brindado una oportunidad para aumentar la educación y la concienciación sobre los beneficios de la ciberseguridad en el sector sanitario. Así, se ha demostrado la importancia de las protecciones en ciberseguridad para la supervivencia del sector sanitario, incluyendo cómo la mitigación de riesgos puede ahorrar dinero y proteger contra el daño a la reputación a largo plazo; sin que suponga una ralentización del imparable y necesario proceso de digitalización de los hospitales.
Priorizar la ciberseguridad dentro de las organizaciones sanitarias requiere cambios culturales y una mayor comunicación hacia y desde el liderazgo, así como cambios en la forma en que los proveedores desempeñan sus funciones en el entorno clínico. La ciberseguridad en los sistemas sanitarios es un elemento clave para asegurar la asistencia que requiriere un soporte inmediato y continuo.
A modo de ejemplo describimos unas líneas de mejora recogidas del informe “Report on Improving Cybersecurity in the Health Care Industry, June 2017”:
1. Definir y racionalizar el liderazgo, la gobernanza y las expectativas en materia de ciberseguridad del sector sanitario.
2. Aumentar la seguridad y resiliencia de los dispositivos médicos y las tecnologías de la información de la salud.
3. Desarrollar la estrategia desde las direcciones sanitarias para priorizar y garantizar la concienciación sobre la ciberseguridad y las capacidades técnicas de su personal.
4. Aumentar la preparación del sector salud a través de una mayor concienciación y educación en ciberseguridad.
5. Identificar mecanismos para proteger los esfuerzos de investigación y desarrollo y la propiedad intelectual ante los ataques o la difusión indebida.
6. Mejorar el intercambio de información sobre amenazas, debilidades y mitigaciones entre las diferentes administraciones y proveedores de servicio y tecnologías.
Todo esto se debe hacer horizontalmente en los sistemas de salud para que llegue a todo tipo de estructuras sanitarias, recogiendo mejoras en los aspectos organizativos, técnicos, humanos y cumplimiento normativo.
Entre los aspectos organizativos uno de los hitos es la publicación de la política de la seguridad de la información que ayude a definir roles y responsabilidades, ayude a la alineación interna de las partes interesadas, permita identificar y asumir los riesgos, así como aprobar, controlar los planes de seguridad de la organización y asegurar los recursos necesarios para su correcta ejecución; permitiendo la consecución de objetivos de la organización, de la privacidad de los pacientes y la seguridad de los datos.
Entre los aspectos técnicos, la ciberseguridad requiere la dotación de infraestructura especializada y herramientas para el análisis de eventos y su correlación; que deben analizar no solo las comunicaciones y redes sino todo tipo de equipamiento presente en las organizaciones sanitarias, incluido el electromédico, sistemas de control industrial y los nuevos dispositivos bajo el paraguas de IOT.
Los recursos humanos son cruciales y deben existir profesionales propios especializados en ciberseguridad que actúen como responsables de seguridad de la información, con una función diferenciada de las responsables de los sistemas informáticos; ya que la función de seguridad es proponer y verificar que las medidas de seguridad se aplican correctamente por los responsables técnicos (responsables de sistemas, comunicaciones, bases de datos, desarrollo, etc).
2018 ha sido un año con grandes novedades en el cumplimiento normativo, la entrada en vigor del Reglamento General de Protección de Datos, la puesta en marcha de la directiva europea NIS de notificación de ciberincidentes y la aplicación obligatoria del Esquema Nacional de Seguridad (ENS) para las Administraciones Públicas y sus proveedores de servicios. La aplicación de buenas prácticas y estándares internacionales son también pilares fundamentales, como las certificaciones en ISO 27000 o las certificaciones de equipamiento electromédico como la UL2900, aprobada por la FDA.
Podemos concluir que la aplicación satisfactoria de estas recomendaciones requerirá recursos y coordinación adecuados en los sectores público y privado. El objetivo debe ser situar la ciberseguridad en el primer plano de las agendas de los ejecutivos del sector. Desafortunadamente, muchas veces reaccionamos a eventos catastróficos y carecemos de continuidad y visión estratégica, cuando la seguridad de la información debe ser parte de la agenda de la transformación digital de los sistemas sanitarios.
Estas medidas organizativas, técnicas, humanas y normativas aumentarán la seguridad y la confianza de las organizaciones, redes y dispositivos médicos presentes en el sector sanitario; repercutiendo en una asistencia sanitaria segura y valorada positivamente por los usuarios.
