Sham ha presentado hoy el Libro Blanco de la Ciberseguridad Sanitaria, en el que analiza el estado actual del ciberriesgo para instituciones sanitarias de España y Francia. Este estudio, muestra como principal aspecto destacado el hecho de que la ciberseguridad es ya un aspecto determinante para la continuidad asistencial y, por tanto, la Seguridad del Paciente.

Centros sanitarios, en el punto de mira de ciberdelincuentes

Según la entidad, en 2020 se ha producido un importante aumento de los ciberataques dirigidos contra el sector sanitario, con graves consecuencias como: el cese total o parcial de su actividad, pérdidas económicas, mala reputación, además de un grave peligro para los pacientes. Más de 500 instituciones notificaron incidentes o reportes de vulnerabilidad, lo que aumentó un 48% con respecto al año anterior, según el Instituto Nacional de Ciberseguridad de España (INCIBE), fruto de la telematización forzosa de la asistencia sanitaria, derivada del avance de la Covid-19 en nuestro país.

El estudio muestra que las áreas susceptibles de ataques de los centros sanitarios y socio-sanitarios se amplían constantemente por el número de interfaces de comunicación y dispositivos médicos conectados que se utilizan, incluyendo dispositivos para el tratamiento y diagnóstico, como aquellos conocidos como IoT-Internet of Things y IoMT-Internet of Medical Things, conectados también a la red y que aportan funcionalidades para la gestión y operación de los centros sanitarios. A esta mayor superficie de ataque, se añade una deficiente segmentación de la red, controles de acceso débiles y dependencia de sistemas obsoletos, según muestra el análisis de los expertos.

De esta forma, los ciberdelincuentes aprovechan todas estas debilidades de los sistemas para hackear o robar información personal o médica protegida, de gran valor en el mercado, que podría alterar, interrumpir o paralizar la actividad médica. Esto acarrea graves consecuencias para la seguridad del paciente, o incluso la economía de la institución, con importantes pérdidas financieras y reputacionales. En España, Sham referencia casos como el de un ciberataque producido en la Comunidad de Madrid, que bloqueó el soporte informático de un hospital y devolvió al personal a la gestión offline de cualquier procedimiento.

El estudio también explica que son los dispositivos médicos el elemento más vulnerable a un ciberataque, pese a su importancia para salvaguardar vidas y llevar a cabo otros tratamientos sanitarios. El motivo básico es la falta de ciberseguridad implementada en estos dispositivos desde su diseño y la dificultad para su actualización. Al ser equipos con un largo periodo de uso, en muchas ocasiones, su diseño no contemplaba el paradigma actual de conectividad en el sector sanitario. Además, las actualizaciones no siempre se pueden realizar con la frecuencia necesaria, al ser necesarias pruebas y certificaciones por el fabricante. Cabe enmarcar que sólo en 2019, el 2,4% de los siniestros con lesiones cubiertos por Sham ya estaba vinculado a estos dispositivos.

Cómo gestionar el ciberriesgo

El ciberriesgo no contempla sólo las incidencias derivadas de ciberataques. Así lo exponen datos como los publicados por el INCIBE, mostrando que los ciberriesgos no maliciosos suponen el 57% de los incidentes notificados en 2019. Se trata de fallos informáticos en programas de prescripción y dispensación que dan lugar a errores en las prescripciones médicas y la dispensación de medicamentos, la pérdida de acceso a internet, o el corte de comunicación. Estas son sólo algunas de las situaciones que pueden conllevar el aislamiento con otros centros asistenciales o de su entorno asistencial, además de imposibilitar el acceso a los servicios y datos que se requieren en el día a día los profesionales sanitarios, como historias clínicas informatizadas, resultados de laboratorio, o los relativos a las plataformas radiológicas, entre otros.

Por otro lado, en clave ciberdelincuencia, se ha producido un aumento de los incidentes sanitarios en España y Francia, que principalmente consisten en cuatro tipos: malware, ramsomware, ataque mediante denegación de servicio y escuchas maliciosas. Tal y como señalan los expertos, durante el primer confinamiento, muchos mensajes informativos aparentemente inocuos sobre la Covid-19 resultaron ser en realidad virus informáticos con falsos correos electrónicos de las autoridades sanitarias, o incluso falsas alertas sobre la evolución de la pandemia. Un aspecto que incluso la Agencia Digital de la Salud de Francia (ANS) ha analizado, publicando un estudio realizado por investigadores estadounidenses, que mostraba que 86.000 de los más de 1,2 millones de nombres de dominio vinculados a la palabra clave Covid-19, serían maliciosos.

En este sentido, Laura Prats, Cyber Risk Manager de Sham en España, explica la estrategia a seguir en clave de gestión del ciberriesgo para instituciones sanitarias: “Hoy en día es crucial poder contar con una estrategia que apueste por la prevención, la respuesta inmediata y la monitorización de nuevas amenazas cibernéticas, todavía más si cabe en estos momentos tan importantes para la continuidad asistencial. Las amenazas se están sofisticando más aún que los propios avances tecnológicos y es primordial para las instituciones sanitarias tener inventariados los riesgos, establecidos unos protocolos y ser conscientes de que cualquier resquicio o descuido del personal de la organización puede ser óbice para un ciberataque”.