Madrid, 3 de octubre de 2023.- En el mercado negro los datos médicos valen ya diez veces más que los económicos. A modo de ejemplo, solo un expediente clínico en la darkweb puede costar alrededor de los 1.000 dólares.
De hecho, la fuga de datos de salud (datos personales, historiales, etc.) es el atractivo número uno para los ciberdelincuentes, y el ransomware ha evidenciado la debilidad de los sistemas de hospitales en todo el mundo. Sin embargo, es necesario mirar más allá del ámbito digital.
La ciberseguridad industrial (OT) se convierte hoy en una prioridad para el sector. El fallo o intrusión en un sistema digital pondrá al descubierto nuestra información más personal. El fallo en un equipo hospitalario puede provocar problemas irreversibles en la salud física de los pacientes. Se trata de la seguridad de un marcapasos, de un holter, de una bomba de insulina, de máquinas de tomografía, de ecografía, de rayos X, de radioterapia, de robots de cirugía, de desfibriladores y de todo tipo de wearables. “
“Todos estos aparatos industriales se comunican con los sistemas digitales (IT) de un hospital” explica Alejandro Villar, Global Director of OT Cybersecurity en Entelgy Innotec Security. Algo que también señala el informe ‘Good practices for the security of healthcare services’ de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
Problemática de ciberseguridad OT en entorno hospitalario
La principal problemática en el ámbito hospitalario es que, por norma general, “no se permite instalar ningún software de terceros en un terminal médico, ni mejorar su sistema operativo (ni siquiera por razones de seguridad), al no estar esta acción certificada por el fabricante”, añade Alejandro Villar.
Además, hoy gran parte del software médico está fuera de soporte y muchos de los sistemas que se utilizan son anticuados y están profundamente implantados, por lo que puede ser costoso reemplazarlos. “Existe un gran riesgo al exponer la maquinaria y herramientas de un hospital a todas las amenazas de un entorno digital”, especifica Villar.
Plan para garantizar la seguridad en hospitales
Asegurar una ciberseguridad completa, desde el ámbito digital hasta el físico, requiere de un plan de seguridad específico que pasa por varias fases: descubrir, evaluar, proteger, monitorizar y optimizar.
- Descubrir: conocer el modelo digital del hospital y de sus activos conectados, hacer un inventario, saber qué máquinas están conectadas, qué conexiones existen entre un dispositivo y otro, dónde se consume su información, etc.
- Evaluar: analizar todos los dispositivos conectados en busca de vulnerabilidades y calcular el riesgo de cada uno de ellos.
- Proteger: organizar los dispositivos para decidir qué máquinas están autorizadas para acceder a la información de otras y establecer accesos controlados y seguros. También es relevante la colaboración entre equipos. Involucrar a profesionales de distintas áreas que sean capaces de identificar dispositivos críticos y que puedan ser atacados.
- Monitorizar. En el ámbito industrial hay que convivir con el riesgo continuamente. “Implementar un marco de detección y respuesta urgente es necesario para descubrir desviaciones de políticas y responder de manera efectiva”, dice Alejandro Villar.
- Optimizar: Aprovechar la oportunidad de mejorar el entorno, de optimizar los dispositivos, sus conexiones y seguridad.
Asignar responsabilidades
“Dada la situación de amenaza real existente, el próximo paso será que las compañías y administraciones públicas asignen responsabilidades y establezcan planes específicos para estos entornos”, determina Villar.
La recomendación es llegar a operar con tres equipos interconectados en el ámbito hospitalario. Uno será el encargado de la seguridad de la información. Otro será el encargado de la infraestructura de red. Un tercero estará especializado en ingeniería biomédica. También será necesario sustituir los sistemas heredados obsoletos e imposibles actualizar.
Aquellos capaces de entender el mundo industrial y el mundo digital y su interlocución, serán quienes puedan gestionar ambos espacios y quienes tengan una oportunidad de éxito y existencia en el futuro.
