Durante los últimos meses se ha comprobado que los
hospitales y los
centros de salud están cada vez más
expuestos a las amenazas de ciberataques. La
digitalización, que ha llegado al mundo sanitario acompañada de innumerables beneficios, también lo ha hecho con una alta lista de riesgos, como son la vulnerabilidad de unos
datos cada vez más valiosos que ponen a este sistema "en el foco" de las amenazas. Por este motivo se hace evidente que la
inversión en ciberseguridad es más necesaria que nunca y que, a pesar de que a día de hoy se invierte “una cifra casi interminable”, esta todavía
no es suficiente para prevenir de los peligros.
Así lo ha explicado
Oscar Díaz, jefe de la Unidad de Desarrollo de Negocio de la Agencia de Ciberseguridad de Cataluña, en el
XII Encuentro Global de Altos Cargos de la
Administración Sanitaria, que se ha celebrado los días 23 y 24 de octubre en Córdoba. El evento, organizado por
Redacción Médica, ha contado con la colaboración de Abbott, Abex Excelencia Robótica, Air Liquide Healthcare, Chiesi, Fresenius Medical Care, GE Healthcare, Janssen y Pfizer.
Óscar Díaz, jefe de la Unidad de Desarrollo de Negocio de la Agencia de Ciberseguridad de Cataluña.
|
En esta línea,
Jorge Prado, jefe del Servicio de Protección de Datos y Gestión del Servicio de Tecnologias de Información del Servicio Gallego de Salud, ha expuesto cómo la digitalización ha dotado de un alto
atractivo a los datos sanitarios, que pasaba desapercibido cuando las historias clínicas se hacían en papel. Esto ha convertido a los sistemas de los hospitales y de los
centros de salud en objetivos para los ciberdelincuentes, tal y como ha señalado Prado.
Por este motivo, y de acuerdo con el punto de Díaz, Prado ha incidido en que “hay que invertir más” para
combatir a los ciberdelincuentes. “El sector del crimen cada vez maneja más dinero”, lo que hace, al mismo tiempo, que los sistemas sanitarios sean cada vez más accesibles para ellos.
Jorge Prado, jefe del Servicio de Protección de Datos y Gestión del Servicio de Tecnologías de Información del Servicio Gallego de Salud.
|
Estrategia en tres ámbitos contra ciberataques sanitarios
A pesar de que la tendencia general es la de achacar los ciberataques a los
ciberdelincuentes, Manuel Escudero, subdirector general de Tecnologías de Información del Servicio Murciano de Salud, ha mostrado que, en ocasiones, estos vienen del
ámbito interno. Se refiere a que, en algunos casos,
los propios profesionales del sistema de salud producen ataques a los sistemas, de manera no intencionada, mediante el mal uso de los mismos.
Esto provoca situaciones “de impacto informático”, que también pueden ser causadas por
accesos externos o empresas que no respetan el
uso adecuado de las medidas de seguridad, tal y como a indicado Escudero. Por este motivo, el subdirector ha comentado que es esencial
proteger los datos sanitarios "desde el ámbito de trabajo". Esta acción puede realizarse mediante cortafuegos,
redes VPN o llevando a cabo una protección de las capas donde se almacenan las bases de datos, las aplicaciones, etc.
Manuel Escudero, subdirector general de Tecnologías de Información del Servicio Murciano de Salud.
|
Para ello, según Escudero, se debe realizar una
estrategia en tres ámbitos que parta de las
acciones preventivas y que tenga en cuenta tanto la seguridad proactiva como la seguridad reactiva. El primer paso para esto es
analizar los riesgos. “Hay que ver quién y cómo accede a los sistemas” ha indicado. “La protección se basa en
formar tanto a los profesionales como a los usuarios, para que estén concienciados en la seguridad de los datos que se manejan”.
Escudero: "Invertir en ciberseguridad supone un precio económico elevado, pero también tiene un precio asistencial muy alto"
|
El siguiente paso es la
seguridad proactiva, que, acorde con Escudero, se centra en el “firewall”. “Hay que hacer un análisis forense de lo que pasa en nuestros sistemas para
identificar las anomalías”, ha añadido. En este sentido, además de las redes VPN, el subdirector ha recomendado acciones como el
doble factor de autentificación.
Por último, el
enfoque reactivo sirve para actuar en el momento en el que se tiene una brecha. Esto puede suceder a causa de
ciberdelincuentes, pero también puede ocurrir con un acceso lícito o
de manera no intencionada. “Son cosas que pasan con frecuencia”, ha declarado Escudero. Por este motivo, ha aconsejado disponer de “buenos procedimientos y de procesos claros de
ciberseguridad” para realizar las gestiones que se demanden en cada caso. “Esto supone un precio económico elevado, pero también
tiene un precio asistencial muy alto. El precio que se paga cuando no haces bien la seguridad es mucho mayor”, ha declarado.
¿Aumentar la inversión minimiza los ciberataques en sanidad?
A pesar de que no cabe duda de que se necesita disponer de una
inversión superior a la que hay en la actualidad para trabajar contra las amenazas digitales, esta no sirve de nada si no sigue un propósito concreto. Es decir, tal y como ha expuesto
Miguel Ángel Benito, subdirector de Transformación en Innovación Digital,
la falta de estrategia convierte a la inversión en ciberseguridad en gasto.
Para Benito, es esencial mantener un
seguimiento semestral que compruebe lo que se avanza y que, a su vez, dé continuidad a las acciones que se realizan. “Invertir está bien, pero se debe hacer un seguimiento tanto de la aplicación, como de los resultados”, para comprobar que
el plan que se está siguiendo es el adecuado, tal y como ha detallado.
Benito: "La falta de estrategia convierte a la inversión en ciberseguridad en gasto"
|
Miguel Ángel Benito, subdirector de Transformación e Innovación y Salud Digital del Servicio de Salud de las Islas Baleares.
|
Esta es una inquietud que han compartido otros ponentes de este debate, como ha sido el caso de
Pablo Serrano, subdirector de Asistencia Sanitaria del Servicio Cántabro de Salud. Una de las mayores preocupaciones para Serrano en la actualidad es, de hecho, el
desconocimiento de “la hoja de ruta” marcada para actuar frente a estas situaciones.
Según explica Serrano, a la hora de trabajar en la seguridad, siempre se ha hecho “pensando en la
protección de datos sanitarios y en la parte buena”. Es decir, se ha hecho pensando en los
acuerdos de confianza, que son aspectos en los que están implicados todos los agentes que persiguen “un bien común” y que obedecen al
Reglamento Europeo de Protección de Datos.
Serrano: "Debemos lograr que los pacientes confíen en que el SNS va a cuidar de la seguridad de sus datos del mismo modo en que cuida de su salud"
|
El problema, según ha destacado, es que “los malos”, o sea, quienes realizan los ciberataques, no siguen esta reglamentación. “La digitalización les está ofreciendo una gran cantidad de
oportunidades para hacer negocio con los datos”, señala. Por ello, en su opinión, es importante centrase en la protección contra estos ataques, al mismo tiempo que se debe trabajar en la confianza. “Debemos lograr que la sociedad y los pacientes confíen en que
el SNS va a cuidar de la seguridad de sus datos, del mismo modo en que cuida de su salud”, ha indicado.
Pablo Serrano, subdirector de Asistencia Sanitaria del Servicio Cántabro de Salud.
|
Los riesgos de la digitalización sanitaria
En el marco de actuación, Prado ha destacado que el punto de partida es conocer que
la digitalización produce bienestar, y esto acarrea
tres riesgos concretos. El primero es
perder este bienestar. “¿Qué hacemos si nos quedamos sin digitalización en los sistemas sanitarios?”, ha cuestionado Prado. “Esta es
una situación muy compleja de gestionar, ya que nos hacemos dependientes de estas tecnologías a una velocidad muy alta. Cogemos estos hábitos tan rápido que se nos olvida qué hacer si algún día dejamos de tenerlos, explica.”
“Un
fallo en los sistemas digitales de salud es
muy difícil de subsanar en la actualidad”, ha recalcado. Además, en su opinión, la
filtración de datos sanitarios es una de las más
peligrosas. “Si se filtra que tienes una patología es algo que te va a perseguir toda tu vida”.
Prado: "La validez de los datos sanitarios ha puesto a los servicios de salud en el foco"
|
El
segundo riesgo, según Prado, es que
la conectividad es inherente al mundo digital. “Puedes estar en el otro lado del mundo y aun así poder atacar un sistema de salud” relata. Por eso, en su opinión, este es un riesgo que la digitalización lleva “intrínseco”.
El
tercer riesgo tiene que ver con la
desaparición del papel. “Hace 20 años no dábamos valor a las historias clínicas porque estaban en papel. Hoy en día, Google vive de explotar datos inocuos. Imaginad qué podría hacer si tuviese acceso a datos sanitarios”, ha añadido. “La
validez de los datos sanitarios ha puesto a los servicios de salud en el foco”.
Actualizar sistemas sanitarios, asignatura pendiente del SNS
Carlos Bermúdez, jefe de Servicio de Innovación y Salud Digital del Servicio Canario de Salud, coincide con Prado en que
la universalidad del acceso a los datos ha provocado que el enfoque se haya vuelto “más lucrativo”. “Ahora no solo se obtienen datos para venderlos y hacer negocio.
Cualquier país de extremo oriente puede atacar nuestras bases y poner una semilla dentro de nuestras redes para sacar dinero. Este enfoque es más preocupante”, ha alertado.
Bermudez: "Nos van a atacar y nos van a hacer daño, tenemos que tenerlo claro, porque todavía disponemos de sistemas operativos antiguos"
|
En su opinión, la forma de gestionar esta problemática parte de distinguir si realmente se dispone de un
entorno seguro en los sistemas de salud. “O nos han atacado o nos van a atacar. Tenemos que estar concienciados con esto. Otra cosa es el impacto que vaya a tener este ataque”, ha señalado.
Carlos Bermúdez, jefe de Servicio de Innovación y Salud Digital del Servicio Canario de Salud.
|
“Nos van a atacar y nos van a hacer daño, tenemos que tenerlo meridianamente claro, porque
sigue habiendo sistemas operativos antiguos que abren las puertas que nos hackeen”, ha demandado el jefe de servicio. Por esto, Bermúdez considera que un entorno seguro
no solo parte de la formación y de la regulación de la
seguridad de datos sanitarios, sino que es esencial mantener los sistemas actualizados: “Es cierto que existe una normativa, pero la realidad es otra. No por cumplir la ley vamos a estar más seguros con los dispositivos médicos”.
En este debate también ha participado, como moderador,
Alberto Lafuente, exgerente del Servicio Riojano de Salud, que ha concluido afirmando que es evidente que se necesita aumentar la inversión, pero que también “ha quedado bastante claro” que es necesario disponer de “
políticas de seguridad claras en cada comunidad autónoma”. Para Lafuente, además, se debe
“sensibilizar” tanto a los directivos como a los profesionales. “Deben saber lo que estamos nos estamos jugando, y esto
no puede suponer un freno a la innovación”.
Alberto Lafuente, exgerente del Servicio Riojano de Salud.
|
Aunque pueda contener afirmaciones, datos o apuntes procedentes de instituciones o profesionales sanitarios, la información contenida en Redacción Médica está editada y elaborada por periodistas. Recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.