..Redacción.
Rafael Jiménez es abogado y experto en ciberseguridad. Además de ser agente de la propiedad industrial es director jurídico de Vigylia. La creciente dependencia de los datos en sanidad hace su labor cada vez más importante. No tener un sistema de seguridad es un defecto prevenible. Ha explicado a iSanidad su visión del problema de la alteración de datos en sanidad.
El futuro de la sanidad está en el análisis de datos, ¿se puede confirmar que no se pueden alterar?
Todo aparato o artificio inteligente es atacable; es cuestión de tiempo y en un momento dado de dinero, pero no se dude de que si son atacables los ordenadores de la NASA o del Pentágono, difícilmente podremos predicar la invulnerabilidad en la sanidad nacional o internacional. No es compleja para un analista informático la alteración de datos en sanidad, en el sector de la salud. La manipulación de datos en sanidad, en el expediente de un paciente, puede suponer que el facultativo reciba datos erróneos Así, su diagnóstico será conforme a supuestos también erróneos, con lo que ello puede suponer, dado que se juega con vidas humanas.
La alteración de datos en sanidad supone realizar diagnósticos erróneos
Son especialmente vulnerables los datos en sanidad, ¿tiene estadísticas?
Especialmente vulnerables por varios motivos, el más importante, el sicológico porque la salud es el sector más sensible para el ciudadano. Pero hay motivos técnicos: aparatos heredados sin software actualizado, pero conectados a internet; motivos de ingeniería social: falta de concienciación del empresario del sector del alcance en términos de impacto de la ciberseguridad; o, económicos, ya que la venta de expedientes médicos es más que rentable.
Algunas estadísticas curiosas: en China se robaron 1,5 millones de expedientes médicos en 2018; los ataques cibernéticos a operadores sanitarios han aumentado un 72% a nivel mundial en 2018; cada año se multiplican por 8 el número de ciberataques en general; el 89 % de los hospitales europeos serán atacados en 2020.
El 89 % de los hospitales europeos serán atacados en 2020
¿Qué tipo de datos se pueden y se están “hackeando”?
A día de hoy, afortunadamente el hacker mantiene un tanto de particular “ética” cuando del sector sanitario se trata. Prefiere realizar actuaciones tendentes a la obtención de un lucro rápido que a poner en peligro, al menos directamente, vidas humanas. En el caso de la sanidad el robo y la venta de expedientes sanitarios van de los 50 a los 10.000 euros. Lo más relevante de ello es que en el 70% de los casos los sistemas del hospital no detectan la fuga de datos.
¿Que recomienda para tener un sistema de protección de datos seguro?
Extrapolemos la respuesta al sector sanitario. Lo primero es analizar todas las superficies tecnológicas y maquinaria inteligente (sería algo así como la extracción de sangre). Una vez detectadas las ciberbrechas, procede el diseño técnico que acaba en un plan director de actuaciones. Posteriormente, se pone a disposición del cliente un seguro específicamente diseñado para cubrir todo aquello que la mejora técnica y jurídica implantada no alcance, puesto que la ciberseguridad absoluta no existe. Se debe de complementar todo con una formación básica de los facultativos para que estén alineados y concienciados con las políticas de defensa en la materia.
Éstas son las actuaciones que debe realizar todo centro de salud para evitar los problemas de la cibeseguridad. No debería faltar ninguno.
Los problemas públicos como el de Wanacry, ¿ayudan a la sensibilización?
Incuestionablemente, Wannacry marcó un antes y un después en la concienciación y maduración del empresario en materia de ciberseguridad a nivel mundial. Por eso, los anglosajones siguen sacándonos ventaja en este sentido. Todo el mundo habla de Wannacry, pero aún se sigue pensando, al menos en nuestro país, que lo que haya de ocurrir le pasará a otros. Y eso es un craso error porque año tras año se multiplican por 8 los ataques en ciberseguridad.
En España se sigue pensando que los ataques los sufrirán otros
Es fundamental la labor que hacen los medios de comunicación a todos los niveles. Ponen a disposición del empresario o de la misma Administración una información esencial que redundará directamente en el bien de la sociedad en general.
La ciberseguridad debe ser tomada muy en serio y abordada con honestidad y visión estratégica. La falta de recursos humanos especializados y de los financieros pueden ser barreras o dificultades. Sin embargo, con un buen equipo de profesionales que sepan donde invertir dichos recursos, tendremos mucho ganado. Confiemos en el buen hacer de los profesionales en la materia para que los hospitales dejen por fin de ser el eslabón más débil de la cadena de la ciberseguridad. Ahora es incuestionable que lamentablemente lo son, al menos a día de hoy.
La ciberseguridad no es gasto, es inversión directa en activos empresariales, mejorando nuestra posición en el mercado y prestando los mejores servicios al ciudadano. Pero sobre todo y a la altura técnica en la que se encuentran los ciberdelincuentes y la sensibilidad del sector sanitario, la ciberseguridad se ha convertido ya una mera cuestión de supervivencia.