Pablo Malo Segura
La multinacional tecnológica GMV ha celebrado la II Jornada del HealthTech Observer (HTO) en colaboración con la Asociación Nacional de Informadores de la Salud (ANIS), que se ha centrado en ciberseguridad, gobernanza del dato en salud y conectividad en los sistemas de información, abarcando desde los centros de salud, hospital y CERT líquidos. Durante el evento se ha indicado que el número de ciberataques de phishing y ransomware en el sector sanitario ha aumentado un 650% en el último año. Durante el primer semestre de 2023 ha habido 22 brechas de datos en el sector sanitario que han afectado a centros públicos y privados.
Según la guía de ciberseguridad en el sector salud del BID, desde que tiene éxito un ciberataque hasta que la institución se da cuenta que sus datos han sido vulnerados, pasa un promedio de 329 días. Por este motivo, es fundamental monitorizar y detectar los riesgos para poder actuar rápidamente en caso de que existan fallos de seguridad. En este sentido, se ha destacado el papel que puede tener la inteligencia artificial para ayudar a que la detección sea más rápida y automatizada.
Desde que un ciberataque tiene éxito hasta que la institución se da cuenta que sus datos se han vulnerado pasa un promedio de 329 días
El hospital líquido supone un cambio de paradigma hacia una medicina más colborativa, predictiva, personalizada y precisa. El reto en este contexto es la ciberseguridad de la interconexión entre sistemas y en los dispositivos médicos dentro y fuera de los centros asistenciales, así como la garantía de privacidad de las personas. El dato tiene una importancia trascendental en esta nueva forma de atención sanitaria para ofrecer evidencias. En la actualidad se manejan grandes volúmenes de datos y un ciberataque puede hacer más vulnerables a los pacientes, paralizar la actividad asistencial y comprometer investigaciones en la que los datos son la principal evidencia.
Miguel Ángel Benito, coordinador autonómico de seguridad de la información del Servicio de Salud de las Illes Balears, ha señalado que se ha registrado un aumento de los incidentes relacionados con la ciberseguridad que han afectado a la mayoría de las instituciones sanitarias. Además, ha compartido información sobre el proyecto Ciber Ap, financiado por el Ministerio de Sanidad, que tiene el objetivo de “dotar de músculo y capacidades al Sistema Nacional de Salud para mejorar la ciberseguridad en el sector“. CiberAP reportará a las 13 comunidades autónomas participantes una inversión de 40 millones de euros, en el que Baleares marcará la pauta al resto de las regiones nacionales: «la definición de estrategias y estándares que se tomarán se hacen desde nuestra coordinación, aunque se trata de un proyecto colaborativo», ha precisado.
El hospital líquido, nuevo modelo de atención al paciente basado en la e-health, supone un cambio de paradigma que se encamina hacia una medicina más personalizada, predictiva y precisa
Por su parte, Luis Pérez Pau, European Chief Information de FutuRS, compañía del Grupo Ribera Salud, ha remarcado que en el sector salud es donde más tiempo se tarda en detectar una posible vulneración de información. Asimismo, ha incidido en la conveniencia de que los hospitales se certifiquen con el fin de que se siga un marco de medidas comunes en todos ellos. «La compartición segura y responsable de datos de salud con fines asistenciales y de investigación, que puede mejorar significativamente la atención sanitaria y el bienestar social. Es cierto que los ciberataques son cada vez más frecuentes a nivel global, y las organizaciones deben conocer sus procesos críticos y contar con planes específicos para enfrentarse a ellos o exponerse a sus consecuencias; esto es un desafío y también una oportunidad para mejorar la seguridad», ha afirmado.
Además, ha comentado el caso del Hospital de Torrejón que fue afectado por un incidente de tipo ransomware. “Nos centramos en restablecer los servicios de atención médica lo más rápido posible. En cuanto a las lecciones aprendidas, debemos disponer de al menos tres copias de seguridad, dos de ellas en soporte distintos separados geográficamente y una de ellas en formato offline”. Además, ha apuntado que las nuevas tecnologías están ayudando a que los ataques sean cada vez más especializados y automatizados, además de suponer un menor coste y poder expandirse a más compañías.
El reto es la ciberseguridad de la interconexión entre sistemas y en los dispositivos médicos dentro y fuera de los centros asistenciales, así como la garantía de privacidad de las personas
Óscar Riaño, responsable del Computer Emergency Response Team (CERT) de GMV, ha indicado que no solo se han de proteger los centros asistenciales u hospitales, sino el flujo que se produce entre los diferentes agentes que interactúan en este modelo de salud digital y hospital líquido. En este sentido, ha expuesto cómo deberían ser los centros de respuesta a incidentes de ciberseguridad en las instituciones sanitarias, proponiendo el modelo de CERT Líquido y afirmando que la disponibilidad digital en el sector salud es proporcional a la calidad de vida de las personas.
Además, ha resaltado que España es el segundo país europeo que ha registrado más ciberincidentes en el sector sanitario. “Las organizaciones cibercriminales actualmente están muy organizadas y suponen el 1,5% del PIB mundial. Todo el proceso de implantación de nuevas tecnologías y servicio debe llevar la ciberseguridad como marca clave. La respuesta tiene que ser precisa y coordinada y tenemos que hacer simulacro con los profesionales del sector”, ha indicado. Por otro lado, ha repasado la normativa europea que entrará en vigor el año que viene y el próximo, en la que asistiremos a una «avalancha» legislativa centrada en ciberseguridad y resiliencia, como NIS2 y CERT, así como en datos e inteligencia artificial, como la Data Act y la AI Act.
España es el segundo país europeo que ha registrado más ciberincidentes en el sector sanitario
Francesc García Cuyás, director de Estrategia Digital y Datos del Hospital Sant Joan de Déu Barcelona, ha hablado sobre el modelo de hospital líquido que empezó a implantar el centro en el año 2008. En su opinión, en este modelo el domicilio es como una habitación más del hospital y la consigna ha de ser la de «mover el dato y no al paciente». Por ello, ha destacado los proyectos que llevan a cabo en este hospital como utilizar los datos de manera predictiva y proactiva, impulsar los canales de atención no presencial o la monitorización del dolor en “tiempo real“. “Es necesario potenciar la atención en el domicilio, montar infraestructuras para compartir la información y trabajar con modelos data fabric y data product con información que aporte valor“, ha afirmado.
Este nuevo modelo conduce a un diagnóstico temprano y una medicina predictiva, preventiva, personalizada y de precisión, según ha enfatizado Inmaculada Pérez, directora de Salud Digital de Secure e-Solutions de GMV. Además, ha hablado sobre la investigación in sillico, que implica el modelado, la simulación y la visualización de procesos biológicos y médicos por medio de ordenadores. Este contexto exige una investigación más colaborativa y de compartición de datos para el entrenamiento de modelos matemáticos. “Un investigación mas colaborativa a nivel nacional y europeo beneficia al uso compartido de los datos“. Así, ha expuesto que las redes federadas son un elemento clave para garantizar el uso de los datos de un modo seguro.
La investigación in sillico implica el modelado, la simulación y la visualización de procesos biológicos y médicos por medio de ordenadores. Este contexto exige una investigación más colaborativa y de compartición de datos para el entrenamiento de modelos matemáticos
Además, se ha referido al Espacio Europeo de Datos Sanitarios, puesto en marcha en mayo de 2022 por la Comisión Europea. Se trata de un organismo el intercambio de datos sanitarios que establece un marco de gobernanza para el uso de los datos sanitarios electrónicos por parte de los pacientes (uso primario) y para fines de investigación, innovación, elaboración de políticas, seguridad de los pacientes, estadística o reglamentación (uso secundario). Para garantizar la protección de los datos de los pacientes se lleva a cabo la protección y anonimización de los datos médicos. “Son necesarios nuevos equipos profesionales para la gobernanza de estos espacios de datos“, ha resaltado.
Alberto Estirado, director de Sistemas de Información y Transformación Digital de HM Hospitales, ha cerrado la jornada explicando el Plan de Transformación del grupo. “Supone un esfuerzo muy importante de gestión del cambio, que involucra a todos los departamentos de la compañía, pero fundamentalmente al equipo humano, que permite una renovación apoyada en la tecnología. Los ejes fundamentales del plan de transformación digital son: la gestión orientada al dato único, la eficiencia de procesos asistenciales y clínicos, las relaciones con el paciente digital y la seguridad”, ha precisado. Además, ha recordado que casi todas las instituciones van a recibir algún ataque y, por ello, es necesario establecer planes preventivos y de resiliencia. “Debemos poner en valor el dato y cómo lo protegemos”, ha subrayado.
Los centros de respuesta a incidentes de ciberseguridad deben contar con sistemas de automatización avanzados (IA), tecnología capaz de aumentar la visibilidad de la organización para tratar un posible incidente de seguridad y equipos de respuesta cuyo trabajo sea homogéneo y trazable
Durante el evento portavoces de GMV han explicado que los algoritmos de IA necesitan gran cantidad de datos para obtener la precisión que se necesita en el ámbito médico. Para ello, hay que seguir una regulación estricta. Los algoritmos actuales provienen de un número muy escaso de fuentes, lo que introduce sesgo (bias) en los algoritmos y no se pueden aplicar a distintos grupos poblacionales (poca generabilidad). Con la tecnología denominada aprendizaje federado, los algoritmos de IA se entrenan de forma colaborativa, sin necesidad de mover los datos del hospital que los alberga. En vez de mover los datos a un lugar en el que puedan ser tratados, la tecnología de GMV mueve los algoritmos a los centros en los que se encuentran los datos. Esta tecnología se basa en la aplicación de técnicas como Secure MultiParty Computation (SMPC) o cifrado homomórfico.