..Juan Pablo Ramírez / Cristina Cebrián.
La protección de los datos de los pacientes se ha convertido en una de las principales preocupaciones de los sistemas sanitario de todo el mundo. La percepción del riesgo se ha incrementado tras el WannaCry. Javier Zubieta, director de Comunicación y Marketing de Secure e-Solutions de la compañía tecnológica GMV, pone de manifiesto que los datos de salud podrían estar peor protegidos en comparación otros sectores. Precisamente ahora en mayo entra en vigor el nuevo Reglamento General de Protección de Datos donde uno de los principales retos será establecer un equilibrio que permita facilitar el trabajo de los investigadores.
El 26% de los cibertataques se producen en el sector salud, ¿la tendencia crece o decrece?
Los datos que hay acerca de los ciberataques en el sector de la salud hay que cogerlos entre comillas. No tenemos unas estadísticas fiables acerca de cómo se están sucediendo. Ahora a partir del 25 de mayo con la entrada en vigor del nuevo reglamento de protección de datos existe una obligación de notificar los incidentes producidos. Es posible que tengamos entonces año a año unas estadísticas más fiables acerca de cómo se está comportando el ‘sector del mal’ contra el ‘sector del bien’, que es la salud. En cualquier caso, las cifras, aunque sean del 26%, del 30% o del 20%, lo importante es que tenemos que tomar una acción proactiva al respecto. Además el reglamento nos lo exige.
¿Por qué existe un especial interés en los datos de salud?
Son datos especialmente sensibles. Es un sector que puede estar más desprotegido en relación con otros en relación a su nivel de madurez en lo que se refiere a ciberseguridad. Además el rédito que se puede obtener con la extracción de estos datos es muy superior al de otros sectores.
Es un sector que puede estar más desprotegido en relación con otros en relación a su nivel de madurez en lo que se refiere a ciberseguridad
¿Hay más ataques de personal externo o interno?
Va por oleadas. En cualquier caso hay que reaccionar. El ataque interno tiene como objetivo claro el robo de datos, mientras que el externo busca lograr la indisponibilidad de un servicio. Un ataque externo tremendamente conocido fue el WannaCry en el que ya vimos que incluso el Servicio Nacional de Salud británico (NHS, por sus siglas en inglés) estuvo afectado. Podemos hablar de un 50-50 entre ataques externos e internos.
¿Ha aumentado la preocupación en ciberseguridad con WannaCry?
100%. Hemos visto una explosión en la demanda y en la concienciación. La ciberseguridad se ha posicionado en el lugar que le correspondía, todos hemos estado hablando de ciberseguridad incluso a nivel familiar. Somos conscientes de que hay presupuestos de ciberseguridad de compañías que no se han ejecutado en su totalidad. Se han provisionado en 2017 gracias a WannaCry, pero no se han ejecutado en su totalidad. Es algo que no habíamos visto antes.
App, WiFi, smartphones… ¿Hay demasiadas brechas de seguridad?
No son brechas de seguridad sino nuevos canales de comunicación que abren una ventana de exposición superior. Se trataría de gestionar los riesgos que producen ese tipo de nuevas necesidades de negocio. Por lo tanto, en ciberseguridad no podemos ir nunca en contra del negocio y poner trabas a la actividad propia del negocio ¿Qué tenemos que hacer? Facilitárselo al máximo, tenemos que proporcionar todo lo necesario para que esos nuevos canales de comunicación se puedan utilizar de la manera más productiva y más segura posible, pero nunca debemos de prohibirlos, porque creamos que son inseguros. No. Los departamentos de ciberseguridad deben gestionar los riesgos adecuadamente y si el negocio le impone nuevos canales se tiene que adaptar a ellos.
Tenemos que proporcionar todo lo necesario para que esos nuevos canales de comunicación se puedan utilizar de la manera más productiva
¿Qué uso puede tener la información robada?
De todo y en el caso de la salud incluso más que en otros sectores. Una historia clínica robada puede tener un efecto letal si existe una filtración malintencionada en un medio de comunicación. Además el daño reputacional es tremendo. En enero hemos conocido el robo de tres millones de historias clínicas en Noruega, que ha puesto en entredicho su sistema nacional de salud. No es simplemente la información que ha salido de esas instalaciones sino el daño reputacional. Hablamos de Noruega que es la punta de la pirámide del estado del bienestar. Además si existe un robo de datos o una indisponibilidad de los mismos, tiene un efecto directo en el día a día de consultas privadas, hospitales o centros de atención primaria en los que no se puede atender en ese momento. Por tanto hasta que todo eso se recupera, tiene un impacto en el ciudadano que una vez redunda en la mala imagen que ofrece el sistema de salud.
En enero hemos conocido el robo de tres millones de historias clínicas en Noruega, que ha puesto en entredicho su sistema nacional de salud
¿Cómo debe actuar un sistema sanitario cuando sufre una situación de este tipo?
Depende del nivel de madurez en ciberseguridad que tenga la instalación en concreto. Las organizaciones que tienen un nivel de ciberseguridad alto han implantado sistemas gestión de continuidad de negocio. Por tanto, ya han hecho muchos ejercicios previos de qué pasaría en caso de un ataque. Tienen de manera procedimentada y además con recursos tanto tecnológicos como organizativos para poder salir de esta situación. Nosotros, por ejemplo, en GMV tenemos un sistema de continuidad de negocio. También estamos expuestos a cualquier vaivén, ataque, situación de indisponibilidad… Tenemos que definir el sistema de continuidad de negocio, las pruebas y tenemos que saber exactamente lo que vamos a hacer. Nosotros tenemos establecidos los portavoces ante una situación de este tipo. Lo mismo pasa en el sistema de salud. Aquellos que tengan un buen sistema de continuidad de negocio estoy seguro que en el mínimo tiempo se recuperarán.
¿Hay diferencias para sistemas grandes y pequeños?
Para sistemas grandes se suele aspirar a conseguir un proceso de ciberseguridad, que tenga que ver con sistemas de gestión, ya sea de riesgo, de seguridad de la información, de continuidad de negocio… Se aspira a que la ciberseguridad forme parte del funcionamiento habitual de la instalación grande. En el caso de las más pequeñas, que a lo mejor no se pueden permitir ese tipo de trabajos y de procesos, mi recomendación es que se puedan adherir a las buenas prácticas de la Ley Orgánica de Protección de Datos pasada y del Reglamento General de Protección de Datos de mayo en el que a pequeñas escala cubre todo lo necesario a nivel de datos personales y de ciberseguridad.
¿Están los datos sanitarios del sistema público y privados seguros?
Dependiendo del nivel de madurez en ciberseguridad. No es cuestión de que los datos están 100% seguros. Todos queremos creer que es así, pero eso no sucede así. Cuánto más haya invertido la institución en ciberseguridad, tiene menos probabilidad de sucedan las cosas y mayor rapidez de recuperación.
En GMV lo que más se nos está pidiendo es el enmascaramiento y la anonimización de los datos
Hablaba de la Ley de Protección de Datos. Las sociedades científicas alertaron de que podíua poner en riesgo la investigación biomédica, ¿dónde está el equilibrio?
Es un reto pero basándonos en la premisa de que tanto la privacidad como la ciberseguridad deben ayudar a la investigación, no pueden bloquearla. Tenemos bastante tecnología disponible. En GMV lo que más se nos está pidiendo es el enmascaramiento y la anonimización de los datos. De esa manera lo que son los datos especialmente protegidos o datos que estén tipificados en un determinada ley están salvaguardados o blindados en bases de datos que nunca se exponen al exterior y lo que se expone son datos utilizables, 100% usables pero que no se corresponden en absoluto con sus verdaderos propietarios. Desde el punto de vista tecnológico, se va a abrir toda una serie de servicios que va ayudar que la investigación no se vea frenada por unas imposiciones que puedan aparecer en la norma de protección de datos.
