En 1983, el Departamento de Defensa de Estados Unidos difundió un manual operativo denominado Criterios de Evaluación de Sistemas Informáticos de Confianza (TCSEC, por sus siglas en inglés) a todas las agencias federales, militares y civiles. El documento, también conocido como el Libro Naranja, pretendía proporcionar criterios técnicos para la seguridad del hardware, el firmware y el software de los sistemas informáticos utilizados por el gobierno y las fuerzas armadas estadounidenses.
En el texto aparecían por primera vez los tres principios clave de la ciberseguridad, esenciales para la gestión de riesgos: Confidencialidad, Integridad y Disponibilidad. Hoy en día, todas las soluciones y sistemas de gestión de la seguridad de la información siguen teniendo en cuenta estos principios clave.
Dando un salto de 40 años, un sector destaca entre todos ellos, y es el de la Sanidad.
Índice de temas
Ciberseguridad en la Sanidad
El tema de la ciberseguridad en la sanidad ha sido ampliamente debatido, su importancia ha aumentado tras la pandemia, con los ataques de ransomware a hospitales, o las filtraciones de datos de historiales de pacientes revendidos en la web oscura por cientos de dólares, o las incursiones cibernéticas en la cadena de frío para comprometer el transporte de vacunas y el almacenamiento de muestras biológicas. El problema es real y acuciante.
Los datos de Clusit respaldan esta afirmación: las brechas en la atención sanitaria en todo el mundo casi se han duplicado en los últimos cuatro años, pasando de 161 en 2018 a 304 en 2022, cifras que no tienen en cuenta los ataques no notificados o fallidos. En 2022, la atención sanitaria representó el 13% del total de objetivos atacados, un 24,8% más que en los doce meses anteriores.
Al ser a todos los efectos un sector estratégico para el Estado, así como un proveedor de servicios críticos para la comunidad, el impacto de un ataque (por ejemplo, de ransomware) contra un centro sanitario puede ser incluso más grave que el causado por un cierre patronal: en juego, además de la información sensible de los clientes, está la vida misma de las personas. Esto lo convierte en un campo especialmente atractivo para los actores de amenazas, que aprovechan la parálisis de los sistemas para someter a los hospitales a un chantaje multimillonario.
Por sus características particulares, la sanidad ha sido y seguirá siendo un objetivo codiciado por los ciberdelincuentes. Por tanto, su protección debe seguir siendo una prioridad. Hay que preguntarse si se han aplicado medidas para proteger la infraestructura informática, y cuáles, y qué nivel de concienciación ha alcanzado la población de trabajadores sanitarios que experimentan en primera persona los riesgos de un congelamiento del sistema.
La partida se juega a tres niveles: la adaptación de las inversiones, la formación de los operadores por parte de empresas cualificadas y el cumplimiento de las normas y reglamentos del sector a nivel europeo.
Inversiones para luchar contra la obsolescencia tecnológica
En primer lugar, es necesario examinar el estado de la técnica de las empresas sanitarias.
Hoy, al igual que en otros sectores, existen varias deficiencias y lagunas que contribuyen a socavar la gestión del riesgo cibernético en la sanidad, lo que lleva a las empresas a exponer su flanco a los actores de amenazas, así como a hacerlas susceptibles al chantaje del ransomware: el ciberdelincuente puede exigir pagos adicionales para no divulgar la violación de datos en los sitios de fuga de datos y no amplificar el eco mediático en torno a un ataque exitoso.
Sin embargo, conviene recordar que es muy poco probable que las administraciones públicas paguen un rescate en Italia; otra cosa son las instalaciones privadas, italianas y de países en los que la sanidad suele ser privada, como Estados Unidos.
En total, se ha calculado que la pérdida económica por las violaciones de datos en el sector sanitario ronda los 10,1 millones de dólares
La obsolescencia de la tecnología existente es otro factor a tener en cuenta.
Confindustria Medical Devices, en su informe anual ‘Observatorio del parque instalado’, proporciona el intervalo medio en el que los fabricantes introducen en el mercado actualizaciones o nuevas soluciones: el 95% de los mamógrafos convencionales, por ejemplo, han superado el periodo de actualización, al igual que el 90% de los sistemas convencionales de rayos X fijos.
Una vez establecido que los sistemas obsoletos y sin parches exponen el perímetro a riesgos, la introducción de nuevas máquinas y programas informáticos para la gestión de pacientes debe ir necesariamente acompañada de un periodo de formación del personal que los utiliza, para evitar que máquinas de última generación, conectadas a la red del hospital y manejadas con descuido, puedan ser la puerta de entrada de vectores de ataque.
Formación para la concienciación sobre la seguridad
La formación del personal, entre los niveles mencionados, es el más inmediato sobre el que hay que intervenir. Puede señalarse como el punto de inflexión: la concienciación sobre los riesgos ha aumentado considerablemente, fruto de una aceleración en el frente de la digitalización y de la posibilidad de tener el mayor número posible de usuarios conectados a distancia a los sistemas de información.
Como en cualquier otro sector, es esencial ofrecer programas estructurados -presenciales o a través de formación electrónica personalizada- para educar adecuadamente a los operadores sobre los riesgos cibernéticos. El beneficio más inmediato es hacer que los empleados se den cuenta de que es necesario un cambio de ritmo en el comportamiento que adoptan a diario, incorporar una mayor concienciación en sus acciones y permitirles corregir las malas prácticas.
Los cursos para operadores no pueden prescindir de los controles de acceso estándar, de los que se deriva una gestión de los datos conforme a las normas de confidencialidad. Con los proveedores informáticos del hospital, se trabaja para definir a qué servicios -e información- pueden acceder los usuarios individuales de la organización.
Cualquier solicitud no aprobada previamente es considerada por el sistema como no fiable por defecto y, por tanto, denegada, y solo pueden acceder a las aplicaciones las personas autorizadas: este es el enfoque de confianza cero. El departamento informático, que vigila la red, bloquea preventivamente cualquier actividad sospechosa controlándola como una amenaza potencial.
La formación en phishing también es un paso necesario en el camino hacia la seguridad digital. La ingeniería social es uno de los principales métodos por los que los ciberdelincuentes acceden a la red: el phishing fue responsable del 14% de las violaciones, mientras que las credenciales robadas o comprometidas fueron responsables del 12% de las violaciones. (“Costo de una violación de datos” de IBM).
Resulta útil planificar simulacros periódicos de campañas de phishing para mantener la atención y vigilar las reacciones de los usuarios con el fin de intervenir y corregir las malas prácticas sin culpar a las víctimas.
Desde el observatorio de Yarix, las actividades de sensibilización de los especialistas en ciberseguridad dirigidas a este público aumentan tanto reactiva como positivamente, prueba de que existe apertura e interés.
En este contexto, las interacciones entre los CISO y los consejos de administración también son cada vez más frecuentes: el 56% de los responsables de seguridad se reúnen mensualmente o más a menudo con el consejo (Global Cybersecurity Outlook 2023, Accenture), un signo de la creciente importancia que la ciberseguridad empieza a tener en la mesa de toma de decisiones de las empresas.
Sin embargo, puede darse el caso de que las entidades con un alto riesgo inherente, incluidas las instalaciones sanitarias, aún no recurran espontáneamente a la ciberseguridad como medida preventiva. Hay dos razones para recurrir a los expertos: un ataque a la propia empresa sanitaria o a empresas del mismo sector, ya sea con éxito o bloqueado, que hacen que el riesgo se perciba como real.
Artículo publicado originalmente en 22 Ago 2023
