La red sanitaria, desde todos sus contextos y perspectivas posibles, es uno de los principales objetivos de los ciberdelincuentes. El valor de los datos de salud en el mercado negro es ya uno de los más altos, por lo que la ciberseguridad del sector en cualquiera de sus áreas se convierte en una tarea prioritaria. Atender a la ciberseguridad en este ámbito puede llegar a ser una cuestión de vida o muerte, por lo que contar con los mejores profesionales es imperativo. En este sentido, las capacidades que pueden ofrecer las empresas de Cybasque, el Cluster de Ciberseguridad del País Vasco, pueden ser claves para el sector sanitario. 

Vitoria - Gasteiz, 29 de mayo de 2023.- Los ciberataques que tienen como objetivo la red sanitaria se han disparado en los últimos dos años y seguirán creciendo, como afirman desde el Instituto Nacional de Ciberseguridad INCIBE. Entre otras razones, este incremento se debe a la proliferación de dispositivos conectados a internet y su uso en hospitales, así como a las vulnerabilidades asociadas al Internet of Things (IoT). La cadena de suministro en el sector salud es otro vector de ataque cada vez más habitual, puesto que la existencia de diversos distribuidores favorece la infección de sistemas sanitarios con más facilidad, así como su menor concienciación en materia de ciberseguridad, en comparación con el sector sanitario en sí mismo.

Además, el sector de la salud maneja una gran cantidad de información confidencial, incluyendo no sólo datos personales sensibles, sino también financieros e incluso propiedad intelectual e industrial. Se trata de datos muy codiciados por los ciberdelincuentes, y se han convertido en su objetivo prioritario. La protección de los datos se vuelve una necesidad crítica para mantener la privacidad de los pacientes, salvaguardar la investigación médica y garantizar la calidad de la atención sanitaria.

En este ámbito la ciberseguridad es determinante, no solo en cuanto al cumplimiento legal se refiere, sino también por las consecuencias derivadas de la alteración de datos, de su difusión o de su restricción de acceso. Un ejemplo conocido es el del ciberataque de tipo ransomware sufrido recientemente por el Hospital Clínic de Barcelona.

Más allá del caos de los primeros días y de haberse limitado los servicios habituales del centro, de suspenderse más de 4.000 analíticas, 11.000 consultas externas y más de 300 intervenciones (incluyendo tratamientos de quimioterapia) este suceso ha derivado ya en más de cuatro terabytes de datos robados, más de 4.5 millones de dólares exigidos por los cibercriminales para liberar los datos, así como la filtración y publicación de una parte de la información.

El valor de los datos que se manejan en el ámbito de la salud es alto, como también lo es el precio de estos datos en el mercado negro. De hecho, los datos médicos valen 10 veces más en el mercado negro que los económicos. A modo de ejemplo, un expediente médico completo puede llegar a costar en la darkweb hasta alrededor de 1.000 dólares. 

La red sanitaria, desde todos sus ángulos, necesita disponer de medidas de ciberseguridad adecuadas para prevenir ciberataques que están casi asegurados: inversión, buenas prácticas y apoyo de expertos en ciberseguridad deben estar entre sus prioridades. Se trata de una cuestión operativa y de reputación. Se trata, también, de una cuestión de supervivencia para las propias organizaciones, de una cuestión de privacidad y, en los casos más extremos, puede llegar a ser una cuestión de vida o muerte. En este sentido también entra en juego la perspectiva legal y sus consecuencias significativas. Las organizaciones sanitarias pueden enfrentarse a multas y sanciones regulatorias, además de a demandas y litigios por parte de afectados de los ciberataques. Por tanto, también es esencial que las instituciones comprendan y cumplan con las regulaciones y estándares de protección de datos, como el Reglamento General de Protección de Datos (GDPR), que acaba de cumplir su quinto aniversario, y las leyes de privacidad locales, para estas repercusiones legales y para asegurar que los datos de clientes, profesionales sanitarios y pacientes estén a salvo.

No obstante, existen diversos subsectores dentro del ámbito de la salud y cada uno de ellos cuenta con aspectos específicos en materia de ciberseguridad. Estos son algunos ejemplos:

·        Subsector Farmacológico:

En este subsector, la seguridad de la investigación y el desarrollo de medicamentos es fundamental. Las compañías de esta área tratan datos relativos a empleados, clientes, proveedores, pero también a estudios de investigación, fases de prueba de medicamentos, control de efectos adversos, etc. Por tanto, la confidencialidad de los datos y la protección de la propiedad intelectual deben ser prioritarias.

Además, es crucial asegurar las líneas de producción y los sistemas de control industrial (OT) para evitar interrupciones o manipulaciones maliciosas. En este caso, la mayor parte de ataques informáticos están dirigidos al robo de datos personales o de secretos profesionales. Este sector se expone a un alto riesgo, derivado de una insuficiente inversión y prevención de incidentes de seguridad. En el subsector también cobran relevancia las problemáticas con la cadena de suministro y la trazabilidad, así como el espionaje industrial.

El informe Implantación industrial del sector farmacológico en España (2022) detalla que, junto con la digitalización, las plantas farmacéuticas tienen como reto la ciberseguridad, ya que esa digitalización, así como la conexión de plantas de fabricación y el aumento de la ciberdelincuencia, han incrementado la exposición de las plantas de producción de las farmacéuticas a ataques exteriores por el compromiso de sus sistemas informáticos.

·        Subsector Biotecnológico:

La investigación en biotecnología también debe enfocarse en la confidencialidad y protección de datos sensibles, puesto que maneja habitualmente información crítica. La innovación y el desarrollo de productos biotecnológicos requieren medidas de seguridad sólidas para salvaguardar los secretos comerciales, la propiedad intelectual y los datos de investigación valiosos.

Este subsector se ve comprometido por ataques de ingeniería social, especialmente phishing. Esta pequeña industria necesita especialistas en ciberseguridad que preparen e implementen un plan de actuación ante incidentes adaptado al sector. Las compañías del ámbito biotecnológico deben actuar de manera preventiva para encontrar brechas de seguridad y vulnerabilidades, ser capaces de cifrar sus datos y de realizar copias de seguridad o backups de su información, monitorizar periódicamente sus sistemas y disponer de protección y soluciones frente a ransomware y otras amenazas. También es muy relevante controlar quién tiene acceso a los datos de estas compañías, así como el uso de datos por parte de terceros.

·        Subsector de dispositivos médicos:

En este ámbito, es esencial que los fabricantes desarrollen dispositivos médicos con seguridad incorporada (Security by Design/Default). Esto implica proteger los datos generados, almacenados y procesados por los dispositivos, tanto en los aspectos de tecnología de la información (IT) como en los sistemas de control industrial (OT).

La metodología Security by Design se enfoca en implementar protocolos de seguridad a partir del diseño básico de una infraestructura IT. Surge debido a las brechas de seguridad encontradas en muchos dispositivos médicos (como marcapasos o bombas de insulina). Se trata de un enfoque proactivo con el que se trabaja en que los dispositivos médicos sean sólidos desde su concepción.
Cualquier software o hardware que se desarrolle para el sector médico - sanitario debe ser sometido a análisis y pruebas de seguridad rigurosas para garantizar la salud del paciente y del sector.

·        Subsector de prestación asistencial:

La protección de los datos almacenados, generados y procesados en los entornos de atención médica es un desafío clave. Los sistemas de información y las infraestructuras tecnológicas deben estar protegidos de amenazas internas y externas para garantizar la privacidad de los pacientes y mantener la continuidad de la atención.

·        Subsector de salud digital:

La salud digital ha experimentado un crecimiento significativo en los últimos años. La seguridad de las soluciones digitales, como las aplicaciones móviles y las plataformas en línea, es fundamental para proteger los datos de los usuarios. El desarrollo y mantenimiento de soluciones seguras y confiables es crucial para preservar la confianza de los pacientes y profesionales de la salud.

Por ello, la ciberseguridad se ha vuelto fundamental en el sector de la salud digital, no solo para cumplir con las obligaciones legales, sino también para salvaguardar los datos confidenciales y garantizar la confianza de los pacientes. En España se destinarán 38 millones de euros para reforzar la ciberseguridad de la atención primaria, en el marco de la Estrategia de Salud Digital y del Proyecto Estratégico para la Recuperación y Transformación de Salud de Vanguardia.

Tal y como acabamos de ver, la ciberseguridad en cualquiera de los subsectores de la salud es un desafío que no puede ser desestimado. Los datos sanitarios poseen un valor excepcional y su protección es esencial para preservar la confidencialidad, la integridad y la disponibilidad de la información. En este panorama de constante transformación digital, también para el sector de la salud, Cybasque (El Clúster de Ciberseguridad del País Vasco) se presenta como una opción destacada para encontrar organizaciones expertas en ciberseguridad con capacidad para proporcionar soluciones adaptadas a las necesidades específicas de cada subsector.

La colaboración con organizaciones especializadas en ofrecer servicios y productos de ciberseguridad, como las que se encuentran en Cybasque, puede ayudar a identificar y mitigar riesgos, implementar las prácticas de seguridad adecuadas y mantenerse al tanto de las últimas amenazas y soluciones de protección; y es crucial para abordar eficientemente estos desafíos y proteger el futuro de los servicios relacionados con la salud.

Artículo escrito en colaboración entre las empresas Entelgy Innotec, S21Sec, Inetum y el Basque Cybersecurity Centre