Sham (grupo Relyens), Risk Manager especialista de los actores del sector sanitario y socio-sanitario, ha presentado hoy el Libro Blanco de la Ciberseguridad Sanitaria, en el que analiza el estado actual del ciberriesgo para instituciones sanitarias de España y Francia. Este estudio, muestra como principal aspecto destacado el hecho de que la ciberseguridad es ya un aspecto determinante para la continuidad asistencial y, por tanto, la Seguridad del Paciente.

Los centros sanitarios, en el punto de mira de los ciberdelincuentes

En 2020 se ha producido un importante aumento de los ciberataques dirigidos contra el sector sanitario, con graves consecuencias como: el cese total o parcial de su actividad, pérdidas económicas, mala reputación, además de un grave peligro para los pacientes. Más de 500 instituciones notificaron incidentes o reportes de vulnerabilidad, lo que aumentó un 48% con respecto al año anterior, según el Instituto Nacional de Ciberseguridad de España (INCIBE), fruto de la telematización forzosa de la asistencia sanitaria, derivada del avance de la COVID-19 en nuestro país.

El estudio muestra que las áreas susceptibles de ataques de los centros sanitarios y sociosanitarios se amplían constantemente por el número de interfaces de comunicación y dispositivos médicos conectados que se utilizan, incluyendo dispositivos para el tratamiento y diagnóstico, como aquellos conocidos como IoT-Internet of Things y IoMT-Internet of Medical Things, conectados también a la red y que aportan funcionalidades para la gestión y operación de los centros sanitarios. A esta mayor superficie de ataque, se añade una deficiente segmentación de la red, controles de acceso débiles y dependencia de sistemas obsoletos, según muestra el análisis de los expertos.

De esta forma, los ciberdelincuentes aprovechan todas estas debilidades de los sistemas para hackear o robar información personal o médica protegida, de gran valor en el mercado, que podría alterar, interrumpir o paralizar la actividad médica. Esto acarrea graves consecuencias para la seguridad del paciente, o incluso la economía de la institución, con importantes pérdidas financieras y reputacionales. En España, Sham referencia casos como el de un ciberataque producido en la Comunidad de Madrid, que bloqueó el soporte informático de un hospital y devolvió al personal a la gestión offline de cualquier procedimiento.

El estudio también explica que son los dispositivos médicos el elemento más vulnerable a un ciberataque, pese a su importancia para salvaguardar vidas y llevar a cabo otros tratamientos sanitarios. El motivo básico es la falta de ciberseguridad implementada en estos dispositivos desde su diseño y la dificultad para su actualización. Al ser equipos con un largo periodo de uso, en muchas ocasiones, su diseño no contemplaba el paradigma actual de conectividad en el sector sanitario. Además, las actualizaciones no siempre se pueden realizar con la frecuencia necesaria, al ser necesarias pruebas y certificaciones por el fabricante. Cabe enmarcar que sólo en 2019, el 2,4% de los siniestros con lesiones cubiertos por Sham ya estaba vinculado a estos dispositivos.

En qué consiste el ciberriesgo para una institución sanitaria y cómo gestionarlo

El ciberriesgo no contempla sólo las incidencias derivadas de ciberataques. Así lo exponen datos como los publicados por el INCIBE, mostrando que los ciberriesgos no maliciosos suponen el 57% de los incidentes notificados en 2019. Se trata de fallos informáticos en programas de prescripción y dispensación que dan lugar a errores en las prescripciones médicas y la dispensación de medicamentos, la pérdida de acceso a internet, o el corte de comunicación.

Estas son sólo algunas de las situaciones que pueden conllevar el aislamiento con otros centros asistenciales o de su entorno asistencial, además de imposibilitar el acceso a los servicios y datos que se requieren en el día a día los profesionales sanitarios, como historias clínicas informatizadas, resultados de laboratorio, o los relativos a las plataformas radiológicas, entre otros.

Por otro lado, en clave ciberdelincuencia, se ha producido un aumento de los incidentes sanitarios en España y Francia, que principalmente consisten en cuatro tipos: malware, ramsomware, ataque mediante denegación de servicio y escuchas maliciosas. Tal y como señalan los expertos, durante el primer confinamiento, muchos mensajes informativos
aparentemente inocuos sobre la COVID-19 resultaron ser en realidad virus informáticos con falsos correos electrónicos de las autoridades sanitarias, o incluso falsas alertas sobre la evolución de la pandemia. Un aspecto que incluso la Agencia Digital de la Salud de Francia (ANS) ha analizado, publicando un estudio realizado por investigadores estadounidenses, que mostraba que 86.000 de los más de 1,2 millones de nombres de dominio vinculados a la palabra clave COVID-19, serían maliciosos.

En este sentido, Laura Prats, Cyber Risk Manager de Sham (grupo Relyens) en España, explica la estrategia a seguir en clave de gestión del ciberriesgo para instituciones sanitarias: “Hoy en día es crucial poder contar con una estrategia que apueste por la prevención, la respuesta inmediata y la monitorización de nuevas amenazas cibernéticas, todavía más si cabe en estos momentos tan importantes para la continuidad asistencial. Las amenazas se están sofisticando más aún que los propios avances tecnológicos y es primordial para las instituciones sanitarias tener inventariados los riesgos, establecidos unos protocolos y ser conscientes de que cualquier resquicio o descuido del personal de la organización puede ser óbice para un ciberataque”.

Y es que como plantea el Libro Blanco de la Ciberseguridad Sanitaria, la ciberresiliencia se ha convertido en una de las principales preocupaciones de los centros sanitarios. Este enfoque consiste en gestionar la seguridad englobando a las personas, los procesos internos y la tecnología. En este sentido, Sham expone los siguientes principios recomendados para ser eficaces ante un ciberataque:

01 La preparación: Se deben establecer los procesos y medios necesarios para reaccionar en caso de un ciber ataque. La improvisación no es amiga de la eficacia.

02 La protección: Un análisis de riesgos debe permitir a la organización definir y establecer las medidas necesarias para protegerse ante un ciberataque. Las procesos y herramientas de seguridad deben implantarse y mantenerse operativas en un sistema de mejora continua.

03 La detección: La organización debe contar con un sistema de detección temprana de ataques y un equipo preparado para su respuesta. La integración de soluciones y un equipo experto es fundamental en esta fase.

04 La respuesta: Una vez detectado el ataque, es el momento de aplicar los planes definidos para el control de los incidentes. La colaboración con entidades expertas y la formación de los equipos en los planes de respuesta será clave para una respuesta eficaz.

05 La recuperación: Una vez controlado el ataque, es el momento de restaurar los datos y los sistemas para volver a los niveles de operación habituales lo antes posible.

06 Lecciones aprendidas: Una vez resuelto el incidente, es fundamental analizar lo sucedido para ver puntos de mejora necesarios para evitar un incidente o mejorar la respuesta en el futuro.

Los expertos concluyen: es necesaria una ciber-solución especial

Sham ha contado con el conocimiento de expertos en ciberseguridad y gestión del sistema sanitario, contemplando en su análisis casos de su actividad en España y Francia, además de datos de instituciones públicas, como el INCIBE o la ANS francesa, entre otros organismos. A estos datos se han sumado las perspectivas de representantes de la Sociedad Española de Informática de la Salud (SEIS), S2 Grupo, QuirónSalud o el Servei de Salut de les Illes Balears, quienes han concluido que es necesario para el sector contar con una solución y estrategia integral, que contemple tanto la prevención, como la cobertura de las incidencias que no hayan podido atajarse.

Sham, como parte del grupo Relyens, ha establecido para ello una serie de alianzas específicas con soluciones tecnológicas predictivas, como CyberMDX, un software que permite anticiparse a los incidentes no deseados, pero también dominar y reducir mejor la fuente y la probabilidad de que se produzca el riesgo. Un servicio que la compañía ha complementado con la creación de un ciberseguro especial, Sham CyberProtection®, una solución completa de asistencia y reparación en caso de responsabilidades de la institución y/o de daños.

Una oferta integral de ciberseguridad que explica en el Libro Blanco de la Ciberseguridad Sanitaria Dominique Godet, CEO de Relyens, grupo europeo al que pertenece Sham: “La misión original de Sham es asegurar y apoyar el rendimiento empresarial de sus miembros, los agentes del sector sanitario y socio-sanitario en Europa. Para ello, Sham ha desarrollado las respuestas adaptadas que les permiten protegerse de los riesgos que podrían provocar una interrupción de su actividad sanitaria y, como consecuencia, afectar a la seguridad de los pacientes, a su situación financiera o a su reputación. Nuestra oferta es la única tan especializada para responder a los retos tan específicos del sector sanitario y en particular, los relacionados con las ciberamenazas”.