Un SNS "en el foco" de ciberataques aboca a una inversión "interminable"

Durante los últimos meses se ha comprobado que los hospitales y los centros de salud están cada vez más expuestos a las amenazas de ciberataques. La digitalización, que ha llegado al mundo sanitario acompañada de innumerables beneficios, también lo ha hecho con una alta lista de riesgos, como son la vulnerabilidad de unos datos cada vez más valiosos que ponen a este sistema "en el foco" de las amenazas. Por este motivo se hace evidente que la inversión en ciberseguridad es más necesaria que nunca y que, a pesar de que a día de hoy se invierte “una cifra casi interminable”, esta todavía no es suficiente para prevenir de los peligros.

Así lo ha explicado Oscar Díaz, jefe de la Unidad de Desarrollo de Negocio de la Agencia de Ciberseguridad de Cataluña, en el XII Encuentro Global de Altos Cargos de la Administración Sanitaria, que se ha celebrado los días 23 y 24 de octubre en Córdoba. El evento, organizado por Redacción Médica, ha contado con la colaboración de Abbott, Abex Excelencia Robótica, Air Liquide Healthcare, Chiesi, Fresenius Medical Care, GE Healthcare, Janssen y Pfizer.

Óscar Díaz, jefe de la Unidad de Desarrollo de Negocio de la Agencia de Ciberseguridad de Cataluña.

En esta línea, Jorge Prado, jefe del Servicio de Protección de Datos y Gestión del Servicio de Tecnologias de Información del Servicio Gallego de Salud, ha expuesto cómo la digitalización ha dotado de un alto atractivo a los datos sanitarios, que pasaba desapercibido cuando las historias clínicas se hacían en papel. Esto ha convertido a los sistemas de los hospitales y de los centros de salud en objetivos para los ciberdelincuentes, tal y como ha señalado Prado.

Por este motivo, y de acuerdo con el punto de Díaz, Prado ha incidido en que “hay que invertir más” para combatir a los ciberdelincuentes. “El sector del crimen cada vez maneja más dinero”, lo que hace, al mismo tiempo, que los sistemas sanitarios sean cada vez más accesibles para ellos.

Jorge Prado, jefe del Servicio de Protección de Datos y Gestión del Servicio de Tecnologías de Información del Servicio Gallego de Salud.

Estrategia en tres ámbitos contra ciberataques sanitarios

A pesar de que la tendencia general es la de achacar los ciberataques a los ciberdelincuentes, Manuel Escudero, subdirector general de Tecnologías de Información del Servicio Murciano de Salud, ha mostrado que, en ocasiones, estos vienen del ámbito interno. Se refiere a que, en algunos casos, los propios profesionales del sistema de salud producen ataques a los sistemas, de manera no intencionada, mediante el mal uso de los mismos.

Esto provoca situaciones “de impacto informático”, que también pueden ser causadas por accesos externos o empresas que no respetan el uso adecuado de las medidas de seguridad, tal y como a indicado Escudero. Por este motivo, el subdirector ha comentado que es esencial proteger los datos sanitarios "desde el ámbito de trabajo". Esta acción puede realizarse mediante cortafuegos, redes VPN o llevando a cabo una protección de las capas donde se almacenan las bases de datos, las aplicaciones, etc.

Manuel Escudero, subdirector general de Tecnologías de Información del Servicio Murciano de Salud.

Para ello, según Escudero, se debe realizar una estrategia en tres ámbitos que parta de las acciones preventivas y que tenga en cuenta tanto la seguridad proactiva como la seguridad reactiva. El primer paso para esto es analizar los riesgos. “Hay que ver quién y cómo accede a los sistemas” ha indicado. “La protección se basa en formar tanto a los profesionales como a los usuarios, para que estén concienciados en la seguridad de los datos que se manejan”.

---

Escudero: "Invertir en ciberseguridad supone un precio económico elevado, pero también tiene un precio asistencial muy alto"

---

El siguiente paso es la seguridad proactiva, que, acorde con Escudero, se centra en el “firewall”. “Hay que hacer un análisis forense de lo que pasa en nuestros sistemas para identificar las anomalías”, ha añadido. En este sentido, además de las redes VPN, el subdirector ha recomendado acciones como el doble factor de autentificación.

Por último, el enfoque reactivo sirve para actuar en el momento en el que se tiene una brecha. Esto puede suceder a causa de ciberdelincuentes, pero también puede ocurrir con un acceso lícito o de manera no intencionada. “Son cosas que pasan con frecuencia”, ha declarado Escudero. Por este motivo, ha aconsejado disponer de “buenos procedimientos y de procesos claros de ciberseguridad” para realizar las gestiones que se demanden en cada caso. “Esto supone un precio económico elevado, pero también tiene un precio asistencial muy alto. El precio que se paga cuando no haces bien la seguridad es mucho mayor”, ha declarado.

¿Aumentar la inversión minimiza los ciberataques en sanidad?

 
A pesar de que no cabe duda de que se necesita disponer de una inversión superior a la que hay en la actualidad para trabajar contra las amenazas digitales, esta no sirve de nada si no sigue un propósito concreto. Es decir, tal y como ha expuesto Miguel Ángel Benito, subdirector de Transformación en Innovación Digital, la falta de estrategia convierte a la inversión en ciberseguridad en gasto.

Para Benito, es esencial mantener un seguimiento semestral que compruebe lo que se avanza y que, a su vez, dé continuidad a las acciones que se realizan. “Invertir está bien, pero se debe hacer un seguimiento tanto de la aplicación, como de los resultados”, para comprobar que el plan que se está siguiendo es el adecuado, tal y como ha detallado.

---

Benito: "La falta de estrategia convierte a la inversión en ciberseguridad en gasto"

---

Miguel Ángel Benito, subdirector de Transformación e Innovación y Salud Digital del Servicio de Salud de las Islas Baleares.

Esta es una inquietud que han compartido otros ponentes de este debate, como ha sido el caso de Pablo Serrano, subdirector de Asistencia Sanitaria del Servicio Cántabro de Salud. Una de las mayores preocupaciones para Serrano en la actualidad es, de hecho, el desconocimiento de “la hoja de ruta” marcada para actuar frente a estas situaciones.

Según explica Serrano, a la hora de trabajar en la seguridad, siempre se ha hecho “pensando en la protección de datos sanitarios y en la parte buena”. Es decir, se ha hecho pensando en los acuerdos de confianza, que son aspectos en los que están implicados todos los agentes que persiguen “un bien común” y que obedecen al Reglamento Europeo de Protección de Datos.

---

Serrano: "Debemos lograr que los pacientes confíen en que el SNS va a cuidar de la seguridad de sus datos del mismo modo en que cuida de su salud"

---

El problema, según ha destacado, es que “los malos”, o sea, quienes realizan los ciberataques, no siguen esta reglamentación. “La digitalización les está ofreciendo una gran cantidad de oportunidades para hacer negocio con los datos”, señala. Por ello, en su opinión, es importante centrase en la protección contra estos ataques, al mismo tiempo que se debe trabajar en la confianza. “Debemos lograr que la sociedad y los pacientes confíen en que el SNS va a cuidar de la seguridad de sus datos, del mismo modo en que cuida de su salud”, ha indicado.

Pablo Serrano, subdirector de Asistencia Sanitaria del Servicio Cántabro de Salud.

Los riesgos de la digitalización sanitaria

En el marco de actuación, Prado ha destacado que el punto de partida es conocer que la digitalización produce bienestar, y esto acarrea tres riesgos concretos. El primero es perder este bienestar. “¿Qué hacemos si nos quedamos sin digitalización en los sistemas sanitarios?”, ha cuestionado Prado. “Esta es una situación muy compleja de gestionar, ya que nos hacemos dependientes de estas tecnologías a una velocidad muy alta. Cogemos estos hábitos tan rápido que se nos olvida qué hacer si algún día dejamos de tenerlos, explica.”

“Un fallo en los sistemas digitales de salud es muy difícil de subsanar en la actualidad”, ha recalcado. Además, en su opinión, la filtración de datos sanitarios es una de las más peligrosas. “Si se filtra que tienes una patología es algo que te va a perseguir toda tu vida”.

---

Prado: "La validez de los datos sanitarios ha puesto a los servicios de salud en el foco"

---

El segundo riesgo, según Prado, es que la conectividad es inherente al mundo digital. “Puedes estar en el otro lado del mundo y aun así poder atacar un sistema de salud” relata. Por eso, en su opinión, este es un riesgo que la digitalización lleva “intrínseco”.

El tercer riesgo tiene que ver con la desaparición del papel. “Hace 20 años no dábamos valor a las historias clínicas porque estaban en papel. Hoy en día, Google vive de explotar datos inocuos. Imaginad qué podría hacer si tuviese acceso a datos sanitarios”, ha añadido. “La validez de los datos sanitarios ha puesto a los servicios de salud en el foco”.

Actualizar sistemas sanitarios, asignatura pendiente del SNS

Carlos Bermúdez, jefe de Servicio de Innovación y Salud Digital del Servicio Canario de Salud, coincide con Prado en que la universalidad del acceso a los datos ha provocado que el enfoque se haya vuelto “más lucrativo”. “Ahora no solo se obtienen datos para venderlos y hacer negocio. Cualquier país de extremo oriente puede atacar nuestras bases y poner una semilla dentro de nuestras redes para sacar dinero. Este enfoque es más preocupante”, ha alertado.

---

Bermudez: "Nos van a atacar y nos van a hacer daño, tenemos que tenerlo claro, porque todavía disponemos de sistemas operativos antiguos"

---

En su opinión, la forma de gestionar esta problemática parte de distinguir si realmente se dispone de un entorno seguro en los sistemas de salud. “O nos han atacado o nos van a atacar. Tenemos que estar concienciados con esto. Otra cosa es el impacto que vaya a tener este ataque”, ha señalado.

Carlos Bermúdez, jefe de Servicio de Innovación y Salud Digital del Servicio Canario de Salud.

“Nos van a atacar y nos van a hacer daño, tenemos que tenerlo meridianamente claro, porque sigue habiendo sistemas operativos antiguos que abren las puertas que nos hackeen”, ha demandado el jefe de servicio. Por esto, Bermúdez considera que un entorno seguro no solo parte de la formación y de la regulación de la seguridad de datos sanitarios, sino que es esencial mantener los sistemas actualizados: “Es cierto que existe una normativa, pero la realidad es otra. No por cumplir la ley vamos a estar más seguros con los dispositivos médicos”.

En este debate también ha participado, como moderador, Alberto Lafuente, exgerente del Servicio Riojano de Salud, que ha concluido afirmando que es evidente que se necesita aumentar la inversión, pero que también “ha quedado bastante claro” que es necesario disponer de “políticas de seguridad claras en cada comunidad autónoma”. Para Lafuente, además, se debe “sensibilizar” tanto a los directivos como a los profesionales. “Deben saber lo que estamos nos estamos jugando, y esto no puede suponer un freno a la innovación”.

Alberto Lafuente, exgerente del Servicio Riojano de Salud.