El auge de las tecnologías avanzadas, la necesidad de cada vez mayor conexión y colaboración, así como el panorama digital actual, proporciona múltiples ventajas; sin embargo, también entraña más riesgos, con organizaciones más abiertas y expuestas a las ciberamenazas. Algo que también está presente en el ámbito de la salud. Hospitales y centros sanitarios siguen siendo protagonistas en los medios de comunicación por continuos ciberataques que ponen contra las cuerdas no solo la eficiencia de la prestación sanitaria, sino, en casos extremos, la integridad física de pacientes.
Los últimos análisis publicados en este sentido dibujan una realidad y un futuro poco halagüeños. Las empresas e instituciones del sector sanitario son las que más ciberataques han recibido durante el primer semestre de 2024. De hecho, los que más preocupan a los sistemas sanitarios y a sus responsables de seguridad son el ransomware, la ingeniería social y suplantación de identidad, y la denegación del servicio. Además, existen vulnerabilidades específicas que hacen al sector más susceptible a los ataques: sistemas informáticos obsoletos o no actualizados, la creciente conectividad a Internet de los dispositivos médicos o el masivo intercambio de datos entre diferentes instituciones que aumenta el riesgo de fugas.
Sin duda, la criticidad de su información y la creciente digitalización han convertido al sector en uno de los más atractivos para la ciberdelincuencia. Está claro que un sector tan esencial para la sociedad y, a la vez, tan vulnerable debe contar con las medidas adecuadas y llevar a cabo las acciones necesarias para asegurar la continuidad de la actividad en los entornos sanitarios, ya que la no disponibilidad de las tecnologías y los equipamientos puede suponer una amenaza grave para la prestación del servicio y para una atención adecuada y de calidad a los pacientes y ciudadanos.
Centro de ciberseguridad
En la protección de este ámbito, es clave aunar esfuerzos desde todas las partes implicadas e impulsar la colaboración público-privada y privada-privada, como la mejor forma de avanzar hacia un sistema sanitario ciberseguro.
Un paso significativo en esta dirección es la reciente puesta en marcha de un Centro de Excelencia de Ciberseguridad en este ámbito por parte de SIA. Su objetivo es ayudar a las organizaciones sanitarias, públicas y privadas, a dar respuesta a los desafíos actuales de seguridad que plantea la digitalización. Esta transformación representa una magnífica oportunidad para ofrecer nuevos servicios sanitarios o de mayor valor al ciudadano. Sin embargo, para embarcarse en este proceso con plenas garantías y lograr la necesaria confianza de los usuarios, se han de gestionar adecuadamente los riesgos que este contexto digital introduce.
El centro pretende plantar cara al incremento y sofisticación de las ciberamenazas en un ámbito donde es necesario proteger adecuadamente la información, así como las infraestructuras y dispositivos médicos, y donde la operación puede llegar a salvar vidas.
Para lograrlo, basa su labor en tres pilares principales: el conocimiento sectorial y la mencionada colaboración a través de acuerdos estratégicos con terceros; la ciberprotección sanitaria con respuestas individualizadas para cada desafío; y la cobertura end to end desde la estrategia, pasando por el análisis de riesgos y la implementación de soluciones innovadoras, hasta la prestación de servicios adaptados a las necesidades de cada organización.
Se trata, en última instancia, de desarrollar y proporcionar soluciones avanzadas de ciberseguridad para el ámbito sanitario, centradas principalmente en la protección de la información y los dispositivos médicos (IoMT), la gestión de riesgos de terceros y la aplicación segura de la inteligencia artificial (IA). Todo esto para garantizar la continuidad de la actividad en estos entornos.
El proyecto de SIA apuesta por fortalecer la ciberresiliencia del sector y garantizar la protección de la información
Ciberseguridad en el ámbito sanitario: dispositivos IoMT
Con relación a IoMT, casi todos los centros sanitarios cuentan hoy con este tipo de equipamiento para su operación diaria. Hablamos de aquellos dispositivos médicos conectados a sistemas de tecnologías de la información a través de internet y/o entre sí (por ejemplo, grandes máquinas de diagnóstico o dispositivos de monitorización de soporte vital). En concreto, estos dispositivos permiten a los profesionales de la salud mejorar y agilizar el tratamiento a los pacientes gracias a la posibilidad de acceder a la información de manera instantánea y monitorizarlos a distancia.
Sin embargo, frente a estas ventajas, también surgen desafíos a los que hay que dar una respuesta: garantizar que toda esta información sensible se almacene de forma totalmente segura en el incremento de la superficie de ataque, ante el creciente despliegue de unos dispositivos IoT obsoletos, poco visibles y protegidos, de múltiples fabricantes y protocolos, y con una inadecuada segmentación de las redes IT y OT a las que se conectan.
Por otro lado, ayudar a los hospitales y centros sanitarios a prevenir y gestionar los riesgos en terceras partes es otro de los objetivos del proyecto. La gestión de la ciberseguridad por parte de las organizaciones del sector sanitario también ha de contemplar el control de los proveedores que colaboran con ellas. Los terceros también deben formar parte de la estrategia de protección y monitorización, con procesos y controles específicos. Los riesgos de ciberseguridad en terceros son riesgos propios.
Asimismo, el futuro de la atención sanitaria pasa por la incorporación de la IA a sus sistemas y procesos para avanzar hacia una medicina más preventiva, participativa, personalizada y predictiva. Esto contribuirá a la mejora de la calidad asistencial, la obtención de diagnósticos más precisos y rápidos, la reducción de los tiempos de investigación y de la carga de trabajo de sus profesionales. No obstante, su aplicación no está exenta de riesgos, siendo numerosas las amenazas –sobre todo, en el ámbito jurídico– al tener acceso y utilizar datos de salud de los pacientes, lo que requiere marcos legales y regulatorios sólidos para salvaguardar la privacidad, la seguridad y su integridad.
Objetivo de SIA
En definitiva, la ciberseguridad en el sistema sanitario español es un asunto que requiere una atención ineludible, constante y con soluciones avanzadas. El proyecto de SIA en este ámbito es una apuesta firme por fortalecer la ciberresiliencia del sector y garantizar la protección de la información y la continuidad operativa. La colaboración entre expertos en ciberseguridad, entidades médicas y de investigación, y partners tecnológicos es fundamental para afrontar con éxito las amenazas actuales y futuras de este entorno.