CIBERSEGURIDAD EN LOS HOSPITALES: PREVENIR COMO DEFENSA A CUALQUIER ATAQUE
¿Están las organizaciones de salud preparadas en materia de seguridad para hacer frente a estos ataques?
Los hospitales, como la mayoría de las organizaciones modernas, dependen cada vez más de sistemas de información para una gran variedad de funciones administrativas y clínicas. Hablamos de organizaciones altamente complejas en términos de procesos que, por su propia naturaleza, pueden llegar a tener una actividad constante 24x7x365. Sin olvidar, por otro lado, que la mayoría de los equipos y medios de diagnósticos modernos que utiliza la medicina tienen un alto componente informatizado. Toda esta red de dispositivos, equipamientos y sistemas que, muchas veces, además, necesitan estar conectados con sistemas externos, conforman un entorno crítico y complejo de controlar.
A la enorme complejidad organizativa, la necesidad de sistemas dispersos que necesitan conectarse entre sí y a la extensa red de equipos médicos informatizados, debemos agregar lo que quizás sea una de las piezas más valiosas para un cibercriminal: la información clínica de los pacientes.
El robo de la información clínica deriva en diversas acciones criminales que van desde el uso de la información robada con fines de fraude administrativo y el consumo ilícito de fármacos hasta incluso la venta de ficheros de datos a otros cibercriminales. Es importante recordar que la información clínica de un paciente es altamente sensible y el robo y/o mal uso de esta tiene serias consecuencias para la propia seguridad del paciente o incluso para su elegibilidad en términos de aseguramiento, impacto en sus finanzas (procedimientos costosos realizados a un tercero de forma fraudulenta usando su identidad y cobertura médica), etc.
¿Cuáles son los riesgos de una mala gestión de la ciberseguridad en salud?
Un estudio reciente realizado en Estados Unidos por la HIMSS (1), basado en una encuesta a más de 150 hospitales, concluyó que las principales motivaciones para atacar un hospital recaen en el robo de identidad médica, el robo y comercialización de información robada en el mercado negro e, incluso, el acceso no autorizado y robo de información de pacientes. Sin embargo, las consecuencias de un ciberataque a un hospital no se limitan al robo o filtración de información médica, sino que conllevan asociados además otros riesgos relacionados con la práctica clínica y operacional de estas organizaciones.
Los hospitales tienen necesidad de adoptar medidas serias, estratégicas y estructurales para proteger su entorno y parque informatizado libre de ataques, puesto que una caída o no disponibilidad de las tecnologías y los equipamientos puede resultar en una amenaza grave para la continuidad operativa de la organización y, consecuentemente, en la atención oportuna y de calidad a los pacientes.
Los recientes sucesos de ransomware en la industria hospitalaria demuestran el riesgo al que se expone un hospital en caso de que estos códigos maliciosos bloqueen o encripten información de sistemas operacionales claves como la Historia Clínica Electrónica, donde reside toda la información de un paciente.
Por eso, se torna cada vez más imprescindible que, desde las organizaciones de salud, se haga una apuesta firme en materia de ciberseguridad y se pregunten si los sistemas de información que están utilizando son lo bastante seguros. Gestionar de forma adecuada la seguridad de la información en salud es un elemento esencial y proactivo que supone la implementación de diversas medidas organizativas y técnicas que abordadas desde diferentes ámbitos: legal, normativo, tecnológico y educativo, por mencionar los más importantes.
Inversión estratégica en infraestructura como elemento de prevención.
Los problemas de ciberseguridad no deben ser un elemento que frene el imparable y necesario proceso de informatización hospitalaria. Al contrario, la mejor manera de controlar y proteger la información de nuestros pacientes y las infraestructuras críticas es con el uso de herramientas y tecnologías existentes que permiten controlar accesos no permitidos, bloquear virus y ataques varios, registrar cada uno del acceso a información protegida y controlar otras vulnerabilidades de la evolución tecnológica, como la llamada Internet de las Cosas.
Sería absurdo privar a nuestra población de los avances científicos y tecnológicos en la medicina y en el sector salud, pues forma parte consustancial del bienestar personal de cada ciudadano y de la sociedad en su conjunto. El enfoque debe ser poner la ciberseguridad como un elemento central en la agenda de los ejecutivos del sector. Desafortunadamente, muchas veces reaccionamos a los eventos catastróficos y nos falta continuidad y visión estratégica, donde la seguridad informática sea parte de la agenda de la Transformación Digital de los hospitales.
Las posibilidades del Cloud en materia de ciberseguridad.
Para poder implementar sistemas que cumplan con los requisitos mínimos de disponibilidad y seguridad para considerarse fiables, se precisa de una importante inversión en infraestructura, hardware, en software y en personal técnico. Pese a ser algo esencial, no todos los hospitales tienen capacidad para asumir los costes y tiempos de implantación que esta infraestructura requiere. Es por ello que una de las opciones más recurridas en la actualidad pasa por la implementación de soluciones en la nube, que permite reducir los costes y obtener un mayor retorno de la inversión.
El uso de la computación en la nube y, más concretamente de soluciones SaaS -como la Historia Clínica Electrónica de ehCOS-, reporta numerosas ventajas, pero, al mismo tiempo, también recelos y preocupaciones a las organizaciones de salud. La clave para poder realizar el salto a la nube dejando atrás dichas preocupaciones es implementar correctamente la seguridad en los datos que se gestionan antes de plantear siquiera el despliegue de los mismos en la nube. Para ello, es importante implementar mecanismos de cifrado que ayuden a proteger adecuadamente la información almacenada, protegiéndola así de accesos indebidos.
No podemos vivir de espaldas al avance técnico y debemos ser consciente que el sector salud y el sector hospitalario, por sus características y particularidades, es especialmente sensible. La ciberseguridad debe ser tomada muy en serio y abordada con honestidad y visión estratégica. La falta de recursos humanos especializados y la falta de recursos financieros pueden ser barreras o dificultades para enfrentar el problema, pero muchas de las vulnerabilidades pueden controlarse contando con un buen análisis de situación y un planteamiento estratégico para enfrentar y gestionar el reto de la seguridad informática en nuestros hospitales.
(1) HIMSS, (2017). Healthcare and Cross-Sector Cybersecurity Report (Vol. 14)