El proceso de digitalización que ha registrado en los últimos años el sector sanitario ha traído consigo un inevitable incremento de los riesgos de ciberseguridad. Una mayor superficie de exposición, unos dispositivos conectados en muchas ocasiones obsoletos y una alta dependencia del factor humano han provocado un aumento del número de ciberataques que sufre la industria.
Aunque el nivel de concienciación sobre la importancia de la ciberseguridad de los servicios sanitarios es cada vez mayor, el sector todavía tiene retos por delante para ser más eficiente a la hora de gestionar estos riesgos. Entre ellos, incrementar la inversión y los recursos destinados a este fin o mejorar la coordinación entre los departamentos de Tecnologías de la Información (TI) y de electromecánica.
Estas son algunas de las conclusiones extraídas del evento 'Ciberseguridad en el sector sanitario' organizado por EL ESPAÑOL-Invertia junto a Sham - grupo Relyens y que ha contado con la participación de Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN); Miguel Ángel Cañada, responsable de Relaciones Institucionales y Estrategia en Incibe; Iván Sánchez López, CISO de Sanitas; Manuel Jimber, CISO del Servicio Andaluz de Salud (SAS), y Javier Alonso, Lead Cyber Sales Europe Sham - grupo Relyens.
Los datos propios del CCN (que no incluyen los de todos los servicios de salud de España) reflejan que en el sector sanitario se notifican al mes una media de 150 incidentes sobre redes de TI y 50 sobre las redes de operaciones. Los más comunes en la actualidad son los ataques de ransomware o de robo de datos y las denegaciones de servicio.
Candau ha señalado que en los últimos años se ha producido una "profesionalización" de los ciberataques que hace que sean "cada vez más refinados y estén más adaptados a los objetivos" que persiguen. No obstante, ha añadido, que pese a que el volumen es cada vez mayor, por suerte en la mayor parte de las ocasiones no tienen ningún impacto.
En el caso del Servicio Andaluz de Salud, Jimber ha señalado que reciben diariamente entre 1.000 y 3.000 alertas de malware y ha apuntado que los problemas de ciberseguridad que existen en el sector público son consecuencias de sus dimensiones y de su complejidad. Por ejemplo, ha mencionado las dificultades para poner en marcha proyectos o encontrar a los profesionales especializados que necesitan.
Por su parte, Cañada ha señalado que el aumento de dispositivos conectados está incrementando "notablemente" la superficie de riesgo, a lo que se suma el factor humano. "Al final, por mucha robustez que tenga un sistema, es fundamental que las personas que utilizan esos sistemas tengan la formación necesaria para no cometer errores", ha advertido.
Dispositivos obsoletos
En este contexto, Alonso ha apuntado que uno de los mayores problemas a los que se enfrenta el sector se encuentra en que los dispositivos médicos muchas veces cuentan con capas de TI "un poco obsoletas". Dado que se prevé que en 2023 el 70% de estos dispositivos estén conectados, ha alertado de la importancia de que las empresas tengan visibilidad sobre los mismos para que puedan gestionar de forma eficaz su ciberseguridad.
Por su parte, Sánchez ha reivindicado el trabajo que ha desarrollado en los últimos tiempos el sector para mejorar su nivel de seguridad y que ha venido acompañado por una mayor colaboración entre los actores. De hecho, ha recordado que uno de los errores que ha cometido el sector sanitario es que durante mucho tiempo ha estado trabajando en "islas", algo que por fin está empezando a cambiar.
Todos los ponentes coincidieron en que cada vez hay más sensibilidad y concienciación de la importancia de la ciberseguridad en el sector, y no solo entre los profesionales de TI, sino también entre los directivos o la opinión pública. Por ejemplo, Sánchez ha apuntado que en Australia un ciberataque a la mayor aseguradora de salud del país está siendo usado por la oposición para criticar a la ministra de Interior y Ciberseguridad.
No obstante, los ponentes han incidido en que esta concienciación debe ir también acompañada de más recursos. "Proteger los sistemas sanitarios requiere de financiación que no es fácil de obtener", ha admitido el CISO del Servicio Andaluz de Salud (SAS), quien también ha lamentadlo los plazos excesivamente largos que existen para poder poner en marcha un proyecto o para hacerse con las herramientas que necesitan.
Candau ha añadido que las empresas tienen que considerar la ciberseguridad "como una inversión y no como un gasto", lo que permitirá al sector ganar en tranquilidad y en control sobre sus propias redes. De hecho, Alonso ha agregado que en muchas ocasiones hasta alguien no es atacado y tiene un "verdadero problema" no se le da a la ciberseguridad la importancia que tiene.
Cañada ha subrayado que cada vez está más asumido que un ciberataque tiene "un coste real" para quien lo sufre. Y ha añadido que en el sector sanitario es especialmente relevante porque no sólo afecta a la continuidad de negocio, sino también a la vida de los pacientes. "Las consecuencias son similares a que un hospital se quedase sin luz", ha apostillado.
Impacto de un ciberataque
En este sentido, Sánchez ha añadido que el impacto que tienen los ciberataques afecta no solo a las cuentas económicas, sino a la reputación o la resiliencia de la propia sociedad. Además, ha recordado que el hecho de que los grandes grupos de ciberataque de ransomware declararan públicamente durante la pandemia que no iban a atacar centros sanitarios una muestra de lo crítico que es el sector.
Según Alonso, otro problema "grave" a solucionar es la "poca comunicación" entre el departamento de TI y el departamento de electromedicina, así como la falta de formación de ciberseguridad de los profesionales que van a manejar estos equipos. En esta línea, Candau ha agregado que es necesaria una "visión holística", ya que el actual sistema de tratar de forma independiente las redes de TI de las operacionales hace que la gestión no sea todo lo eficiente que debería.
Jimber ha señalado que son dos mundos que han discurrido en paralelo durante años debido a las características de los propios dispositivos, lo que ha hecho que las estrategias de ciberseguridad de los dispositivos médicos no estén tan maduras como en las áreas de TI. "Son mundos que tienen que converger, pero que en la actualidad no es así", ha agregado.
En este sentido, el CISO de Sanitas ha agregado que en electromedicina se abre un mundo "absolutamente nuevo" gracias a la conectividad, por lo que hay hacer conscientes a fabricantes y proveedores de la importancia de la seguridad de estos productos.
En este contexto, va a desempeñar un papel fundamental el nuevo Esquema Nacional de Seguridad, que va a tener su impacto en el sector sanitario. En concreto, serán claves aspectos como la exigencia de una vigilancia continua o la política del mínimo privilegio, que consiste en que se dé a los usuarios los niveles de acceso mínimos necesarios para desempeñar sus funciones laborales.