..Rafael Jiménez. Director general de Vigylia.
Sorprendente, ¿verdad?. Los expertos que estudiamos el índice de vulnerabilidad en ciberseguridad en el sector salud hemos leído y estudiado sobre el terreno estadísticas de todo tipo. Esto quiere decir que cuando analizamos los sistemas el resultado es francamente desalentador. Es una afirmación hecha tras un estudio de la ciberseguridad de un hospital con profesionales interpretando personalizadamente resultados y obviando los falsos positivos.
So resultados desalentadores por dos motivos principales. El primero claramente numérico y en consecuencia objetivo: 19 de cada 20 ataques realizados contra las instalaciones y/o las redes de un hospital son fructíferos -15 de esos 19 ni siquiera son percibidos o captados por los sistemas-.
19 de cada 20 ataques realizados contra las instalaciones y/o las redes de un hospital son fructíferos
El segundo es más alarmante dadas las peculiaridades del sector sanitario, en el que la seguridad en el paciente es tan primordial. Esta preocupación cada vez más creciente ha llegado en algunos círculos a bautizar al ciberhacker antisanitario, como los asesinos del s.XXI a distancia.
Los implantes médicos, las bombas de insulina, los electrodos que mitigan dolores o marcapasos son artificios inteligentes. Basta con agotarlos o manipularlos para ocasionar una desgracia. ¿Qué decir de la deshabilitación de terapias programadas o de modificar la información del historial clínico del paciente que lleva a un error en la solución médica a aplicar?
La falsificación de un resultado puede causar tanto daño físico a un paciente, como un daño irrecuperable en la imagen de un centro sanitario. Dejamos aparte las cuantiosísimas pérdidas económicas.
El sector sanitario, por las características expuestas, es probablemente el eslabón más débil de la cadena. La información que se origina de un historial clínico accesible a un ciberdelincuente se puede vender en el mercado negro. La cantidad es oscilante y puede estar entre los 800 y os 3000 euros; siempre que no sea un personaje público el titular del historial., puesto que dicha cifra se dispararía…
Eso sí, lo que hace mejor a este sector respecto de otros, es un mayor grado de concienciación o maduración del empresariado sanitario. Es mayor que la media empresarial española en otros sectores (distribución, fabricación, turismo , hostelería…).
La falsificación de un resultado puede causar tanto daño físico a un paciente, como un daño irrecuperable en la imagen de un centro sanitario
Para mejorar este índice de vulnerabilidad es ideal hacer una valoración inicial del estado del centro. Esto pasa por un primer análisis técnico y por cuestionarios sencillos en materia de protección de datos y cuestiones estratégicas en ciberseguridad. Así, se aporta una primera idea inicial de la situación. Se puede, incluso, valorar con un algoritmo preparado al efecto, y monetizar el daño económico que un ciberhacker podría realizar a nuestra red o instalaciones.
Pero no nos engañemos, para tener un índice de vulnerabilidad aceptable precisamos de tres acciones fundamentales: un análisis de todas y cada una de las superficies inteligentes que nos permita a los técnicos cubrir al máximo los agujeros o ciberbrechas y preparar en consecuencia un plan director a futuro; un mantenimiento continuado y actualizado en el tiempo que no permita subir en momento alguno el índice de vulnerabilidad; y por último un seguro contra ciberriesgos contrario a criterios estándares, que es lo existente ahora en el mercado, generando pues, una batería de coberturas, absolutamente personalizada a las características del centro de salud, lo que nos lleva a concluir en que debe ser un técnico en ciberseguridad y no el actuario de un seguro, el que redacte el clausulado de coberturas.
En sanidad hay un mayor grado de concienciación con el índice de vulnerabilidad
Somos niños pequeños frente a organizaciones perfectamente organizadas y generalmente sin mucho escrúpulo. Un hospital norteamericano recientemente hackeado se vio obligado de la noche a la mañana a volver al s.XX a escribiendo a mano los historiales clínicos y haciendo del fax el elemento comunicador de información.
Pongamos los medios apropiados contratando a profesionales serios y de conocimientos sólidos en materia de ciberseguridad. No hacerlo puede ser el fin de nuestra sanidad, cuando paradójicamente contamos con los mejores profesionales del mundo.
