Durante la celebración de la jornada Reglamento Europeo de Protección de Datos: Aplicación en el Sector Sanitario, organizada por la Alianza de la Sanidad Privada Española (ASPE), con Alaro Avant y la Fundación Global Salud, se ha llevado a cabo la ponencia sobre Ciberseguridad: Riesgos existentes dentro del Sector Sanitario, de la mano de Elena García, responsable de Proyectos del Instituto Nacional de Ciberseguridad (INCIBE).
Para García, la incorporación del Nuevo Reglamento de Protección de Datos constituye un momento apasionante. Ha comenzado hablando del INCIBE, entidad de referencia para el desarrollo de la ciberseguridad y de la conciencia digital de ciudadanos y empresa, con especial atención a los sectores estratégicos. “Somos un Instituto Nacional dependiente del Ministerio de Energía, Turismo y Hacienda Digital, y a través de la Secretaría de Estado de la Sociedad de la Información y Agenda Digital“.
Elena García, sobre el INCIBE: “Somos un Instituto Nacional dependiente del Ministerio de Energía, Turismo y Hacienda Digital, y a través de la Secretaría de Estado de la Sociedad de la Información y Agenda Digital”
INCIBE se creó en 2006 con el objetivo de mejorar el nivel de ciberseguridad y de confianza digital, “en definitiva, como elemento tractor, impulsor de las buenas prácticas en la transformación digital que se viene urdiendo en todos los sectores, asegurando una visión de la ciberseguridad adecuada y proporcional a cada uno de ellos, para conseguir aprovechar lo que supone la oportunidad de la Sociedad de la Información“, ha matizado.
Con respecto al sector sanitario, ha explicado que “las necesidades son en ocaciones muy específicas, si bien los riesgos también son muy generales y, en general, las oportunidades que ha traído la Sociedad de la Información son en muchísimos ámbitos, no sólo en la propia lista de prestación de negocio de la salud, sino a nivel de comunicación, una perspectiva comercial que afecta a la industria en general”, ha afirmado. Sin duda, estamos “ante una revolución en la prestación de los propios servicios de salud y una revolución tecnológica en cuanto a dispositivos, tratamientos, lo que supone toda la aplicación de la tecnología y que, por supuesto, en el sector sanitario tiene una importancia vital”, ha añadido.
“Las necesidades son en ocaciones muy específicas, si bien los riesgos también son muy generales y, en general, las oportunidades que ha traído la Sociedad de la Información son en muchísimos ámbitos, no sólo en la propia lista de prestación de negocio de la salud, sino a nivel de comunicación, una perspectiva comercial que afecta a la industria en general”
Ciberriesgo, 1% del PIB mundial
El año pasado, el ciberriesgo suponía el 0,8% del PIB mundial, y este año hablamos del 1%, “y lo que se espera es que esto, de momento, vaya a más, porque ahora ser cibercriminal es muy barato, es muy fácil, existe una Sociedad de la Información que permite una escalabilidad de cualquier tipo de ataque muy superior al que tenía el criminal tradicional, porque las herramientas para el cibercrimen están ahí y porque el valor de la información y la productividad que utilizamos todos para mejorar los procesos de negocio hacen que esa propia información también sea un activo al alza en los mercados”, ha matizado García. De hecho, cada vez existen más redes profesionales de mercadeo, tanto de herramientas y software para acceder a determinados ataques en los que “ya no hay que ser ni un profesional ni un hacker de la ciberseguridad para poder ejecutarlo, sino que existe un servicio consultor detrás que le puede ayudar a un precio muy razonable“, ha expuesto. “Y también tenemos la visión de lo que vale esa información, para qué se puede utilizar, cuánto valen los datos de carácter personal en el mercado negro para llegar a acciones comerciales posteriores, para mejorar mi estrategia de marketing, para diferenciarme de la competencia o, incluso, para hacer un daño gracias a su dolo, mejorar mi posicinamiento“.
Sobre los ciberataques: “Ya no hay que ser ni un profesional ni un hacker de la ciberseguridad para poder ejecutarlo, sino que existe un servicio consultor detrás que le puede ayudar a un precio muy razonable“
Muchas veces hablamos de ciberseguridad y no en todos los sectores este concepto se entiende como algo cercano. “Antes se entendía que la ciberseguridad era algo que estaba ahí muy lejano, que realmente era sólo para las grandes empresas tecnológicas. Estamos viendo que, con esta generalización y con esta masificación del cibercrimen y de la actuación en general, cualquier empresa, cualquier tipo de organización, cualquier tipo de ciudadano es objetivo“, ha añadido. La realidad es que “pensamos cosas que creemos que no pueden llegar a pasar, y al final pasan“.
El número de incidentes relacionados con la ciberseguridad se ha incrementado en un 20% en el último año, según INCIBE
García aporta el dato de un incremento del 20% en el número de incidentes relacionados con la ciberseguridad que ha registrado INCIBE en el último año. “Ya no es sólo que suban los números porque pasan más cosas, sino que hay que tener en cuenta que nos damos cuenta de que pasan cosas. Antes había x incidentes y no se reconocían como incidentes de seguridad. Ahora ya todo el mundo va a tener muy claro que si yo voy a utilizar un sistema de información en mi organización para hacer mi trabajo y no puedo acceder, si mi información no está accesible, independientemente de que no haya sido alterada, eso es un incidente de seguridad, porque me supone una indisponiblidad de mi servicio que tiene un impacto muy grande“.
“Ahora ya todo el mundo va a tener muy claro que si yo voy a utilizar un sistema de información en mi organización para hacer mi trabajo y no puedo acceder, si mi información no está accesible, independientemente de que no haya sido alterada, eso es un incidente de seguridad, porque me supone una indisponiblidad de mi servicio que tiene un impacto muy grande”
Wannacry, un ejemplo muy de moda
García ha citado como ejemplo el archiconocido ciberataque masivo bautizado como Wannacry, y ha afirmado que: “llegó a tener el impacto que tenía porque realmente hacía un uso de unas vulnerabilidades de Windows que ya habían sido descubiertas, publicadas y el parche estaba perfectamente ahí esperando para que nuestros compañeros de sistemas lo desplegasen de forma transparente para todos los usuarios y todos nuestros equipos tres meses antes. Sí es cierto que la política de seguridad hizo que en el momento en el que se lanzó ese ataque, el volumen de equipos que no habían sido actualizados y que eran vulnerables era el que era, y por eso nos pasó”. Y ha destacado el ejemplo notorio del Reino Unido y su gran impacto en el sistema sanitario, que “puso de manifiesto que allí había unas carencias comunes en cuanto a gestión de la seguridad y gestión de la seguridad de la información, probablemente también derivado de un uso masivo de tecnologías y de utilidades electrónicas que hace que el impacto de un ataque de este tipo sea mayor y que implicó un caos en la prestación sanitaria, de muy alto nivel“.
García pone por ejemplo el impacto que tuvo Wannacry sobre el sistema sanitario del Reino Unido: “Puso de manifiesto que allí había unas carencias comunes en cuanto a gestión de la seguridad y gestión de la seguridad de la información, probablemente también derivado de un uso masivo de tecnologías y de utilidades electrónicas que hace que el impacto de un ataque de este tipo sea mayor y que implicó un caos en la prestación sanitaria, de muy alto nivel”
Transformación digital en el ámbito sanitario
En el ámbito sanitario existe una gran oportunidad de transformación digital y está suponiendo una auténtica revolución, sobre todo en lo referente a la tecnología que está a disposición de la propia labor de los profesionales de la sanidad. “Hay muchísimas dolencias que antes requerían una serie de intervenciones y seguimientos que obligaban a un ingreso hospitalario de mayor duración, no tenían una solución tan sencilla y ahora mismo son una realidad los marcapasos conectados y todos los dispositivos, tanto prótesis o no que, además, permiten una monitorización del propio dispositivo desde el propio centro sanitario. Eso es un avance terrible en cuanto a la prestación del servicio”, ha expuesto. Si en cualquiera de los ámbitos se habla de la seguridad como uno de los requisitos que tiene que existir desde el minuto cero, en el sector sanitario, más allá de tratar la información del propio paciente, “va a ser vital para el tratamiento del propio paciente que exista una comunicación, que el dispositivo preste sus funciones en unas condiciones de seguridad adecuadas y proporcionales a la misión que tiene”.
En definitiva, estamos ante una industria específica que trabaja conociendo sus peculiaridades y donde hay que asegurar una adecuada gestión de todos los dispositivos implicados.
..Flor Cid
