La nueva Estrategia de Ciberseguridad de la Unión Europea, desarrollada por la Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad y presentada hace unos días, incluye por primera vez la sanidad entre los sectores que deben tenerse en cuenta dentro de la Directiva sobre la resiliencia de las entidades críticas.
De acuerdo con esta directiva, los Estados miembros podrían adoptar una estrategia nacional con el objetivo de reforzar la resiliencia de las entidades críticas y efectuar evaluaciones periódicas sobre el riesgo. Estas evaluaciones también ayudarían a identificar un grupo más reducido de entidades críticas que estarían sujetas a obligaciones destinadas a mejorar su resiliencia frente a riesgos no cibernéticos, incluidas las evaluaciones de riesgos a nivel de las entidades, la adopción de medidas técnicas y organizativas o la notificación de incidentes.
Desde este punto de vista, ¿cuáles son los principales riesgos cibernéticos a los que se enfrentan los hospitales españoles?
Más ataques
Según Juan Carlos Muria, director del Sector Salud de S2 Grupo, “el sector salud, en el que incluimos al farmacéutico y de investigación clínica, seguirá siendo un objetivo muy jugoso para los ciberdelincuentes porque la información que maneja es cada vez más valiosa y su papel aún más crítico en una situación de pandemia. Según el Centro Criptológico Nacional (CCN), ya este año ha habido un incremento notabilísimo de ataques a hospitales y otras infraestructuras y servicios sanitarios”.
Tal y como explica Miguel Ángel Thomas, socio responsable del área de Ciberseguridad en Everis, “los hackers son mafias, y lo que les mueve es, en general, el interés económico”.
Por ello, los principales ataques son de tipo ransomware, es decir, secuestros cibernéticos: los delincuentes se introducen en el sistema, lo bloquean y piden un rescate para desbloquearlo. Además, según Muria, este tipo de ataques “serán cada vez más sofisticados y el tiempo de recuperación posterior seguirá creciendo (la media ha pasado de 33 horas en 2016 a 16,2 días en 2019, y ya hemos tenido casos en 2020 que han necesitado 6 semanas), lo que es inasumible en una infraestructura hospitalaria”.
Directos al proveedor
Asimismo, “los ataques de cadena de suministro permiten una mayor economía de escala de los ciberataques, por lo que se harán más frecuentes en 2021, empleando proveedores de equipamiento médico, materiales sanitarios, medicamentos o software, y pueden provocar crisis importantes, afectando a la disponibilidad del sistema sanitario y a la confianza de los pacientes en él”.
En este sentido, según Muria, la entrada definitiva en vigor el 26 de mayo de 2021 del Reglamento (UE) 2017/745 sobre productos sanitarios, conocido como MDR, “supondrá un reto, al exigir medidas de ciberseguridad sobre equipamiento médico y también sobre el software clínico, pero será un reto necesario porque los ataques ciberfísicos (que integran equipamiento industrial, médico e informático) seguirán incrementándose”.
Y es que uno de los principales problemas de los actuales sistemas es que “no hay siempre una correcta separación de redes. Debería haber dos independientes, las de IT (sistemas de información hospitalaria, servidores y PC) y las de OT (sistemas operacionales, centrados en los equipamientos y las máquinas). Y, aunque en general los equipos tienen pocas vulnerabilidades, las redes no están bien protegidas, lo que abre la puerta a la manipulación tanto de la información como de los equipamientos”, afirma Thomas.
Aumentar la concienciación
El principal problema que presentan los equipos, según José Manuel Moreno, responsable de Ciberseguridad en Everis, es que “no hay un control y un mantenimiento estrictos, y la obsolescencia puede resultar muy peligrosa”.
Sin embargo, más allá de la tecnología, el principal ciberriesgo de los sistemas sanitarios está en el factor humano, dado que la mayor parte de los ataques necesitan que alguien abra la puerta, normalmente mediante phishing. “Es básico formar a las personas, a los profesionales, falta mucha conciencia del riesgo”.
Recomendaciones
Por ello, desde la tecnológica española NUUBB, especializada en servicios cloud para empresas, facilitan algunos consejos para que el sector de la salud refuerce su ciberseguridad y gane terreno a las ciberamenazas:
- Adoptar el modelo de seguridad de confianza cero o Zero Trust: En el sector de la salud se suceden más infracciones a nivel interno que externo causadas básicamente por un error humano, por falta de supervisión en materia de ciberseguridad o bien por el abuso de privilegio al tener acceso a datos e información confidencial. A partir de un enfoque de confianza cero, las organizaciones del tejido sanitario pueden desarrollar controles en el tráfico de la red. De esta manera es mucho más fácil evitar y eliminar nuevos ataques e infracciones de usuarios que aprovechan también estas amenazas para hacerse con información personal y confidencial de salud. Tanto es así, que datos de un informe publicado de Fortified revela que el 60% de las infracciones de atención médica de la primera mitad de 2020 fueron causadas por un ciberataque o incidente de TI. Los compromisos de correo electrónico han sido el vector de ataque más común para obtener acceso a las redes de atención médica y robar datos de pacientes durante la pandemia. Y este tipo de ataques con frecuencia se llevan a cabo a través de campañas de phishing que se utilizan para instalar malware o ransomware.
- Mejorar la ciberseguridad contra los ataques de ransomware: Y es que, según datos publicados por Sophos, una de las principales empresas de ciberseguridad del mundo, el ransomware es una de las armas más fulminantes de ataque y es responsable de más del 70% de los brotes de malware en el sector.
- Superar la escasez de mano de obra cualificada: La escasez de perfiles cualificados en ciberseguridad es uno de los principales retos a los que se enfrentan los profesionales del sector sanitario. Y es que los centros que no cuentan con recursos en materia de ciberseguridad se convierten en el blanco perfecto de estos ciberdelincuentes.
- Cubrir los puntos ciegos en el esfuerzo de transformación digital: El intercambio de información entre paciente, profesional y cuidadores ha de realizarse con ciertas garantías y seguridad. Por ello, es vital facilitar un acceso fiable y especialmente seguro a los datos clasificados de la asistencia sanitaria en un momento en que muchos hospitales están adoptando nuevas tecnologías como los dispositivos médicos conectados a la red, telesalud y otras aplicaciones médicas.
- Promover la concienciación en ciberseguridad: Otra de las preocupaciones del sector sanitario es la falta de formación en ciberseguridad y especialmente el insuficiente conocimiento sobre la privacidad de los datos entre los empleados. Por ello, desde la tecnológica insisten en la importancia de que los centros y organizaciones de la salud estén convenientemente protegidas y cuenten con soluciones y herramientas tecnológicas de alta calidad que garanticen la seguridad del volumen de sus datos profesionales, ante situaciones críticas e inesperadas.
via Noticias de diariomedico.... https://ift.tt/38TDmCL
No hay comentarios:
Publicar un comentario