En 2020, año en el que comenzó a sentirse los efectos de la pandemia, los ataques dirigidos contra empresas relacionadas con el la salud y la medicina aumentaron un 45% a nivel mundial. Por regiones, las tres más afectadas fueron Europa Central (+145%), Asia Oriental (+137%) y América Latina (+112%), según investigadores de Check Point, que ya advirtió cómo en España sus cifras se duplicaban. Actualmente es el tercer país con mayor grado de infección, solo superado Canadá (250%) y Alemania (220%).
Y es que cada vez son más frecuentes los ataques con el objetivo de acceder a los registros médicos que contienen datos personales altamente sensibles, unos datos que pueden alcanzar en el mercado negro un valor de entre 50 y 500 dólares, según los expertos. La mayor parte de estos ciberataques están relacionados con la gestión de la identidad y el control de acceso a los sistemas, pero en un ámbito en el que en muchas ocasiones médicos, enfermeras y personal administrativo, comparten equipos, y en el que estos equipos se usan tanto para acceder a las herramientas de su trabajo (exámenes médicos, historial de pacientes…) como para ejecutar aplicaciones comunes (correo electrónico, acceso a internet, …), los riesgos aumentan exponencialmente: si un atacante consigue acceder a uno de estos equipos a través de estas aplicaciones comunes podría ser capaz de acceder a información confidencial de estricto uso médico.
El Grupo WALLIX, proveedor europeo de herramientas de ciberseguridad, se ha enfrentado al reto de velar por la seguridad en del sistema público de salud de Birmingham, que proporciona servicios sanitarios a más de 200 hospitales y centros de salud. Sus objetivos han sido asegurar la seguridad de los datos de los pacientes y de los sistemas, asegurar y controlar el acceso remoto de los proveedores externos, y gestionar el acceso a aplicaciones críticas y datos sensibles. Jorge Marcos, PEDM Unit Manager en WALLIX Ibérica, detalla esta experiencia y nos habla de los principales riesgos en ciberseguridad que acechan al sector de la sanidad.
Con la pandemia se han incrementado exponencialmente los ataques a centros y empresas sanitarios, ¿Por qué crees que los ciberatacantes han puesto el ojo en centros sanitarios?
Como todos sabemos, los centros sanitarios almacenan datos muy sensibles sobre sus pacientes y en especial el historial médico. Desde siempre la historia médica de un paciente ha sido información de enorme valor para “el mercado de los datos”. Con la pandemia estos datos se han revalorizado y la información sobre el coronavirus es un valor al alza.
Los accesos en remoto, fruto de los confinamientos, también se han multiplicado con el coronavirus, ¿es este un punto especialmente sensible para proteger a un hospital, por ejemplo?
El problema no es tanto el acceso remoto de los usuarios sino la infraestructura desplegada para facilitar el acceso remoto de los usuarios. Desplegar una infraestructura de acceso remoto ya de por sí no es una tarea sencilla. Si además se quiere hacer de forma segura, que es lo aconsejable, la cosa se complica.
Con el confinamiento las empresas, incluidos los hospitales, se han visto obligadas a desplegar de forma muy rápida la infraestructura para permitir que sus usuarios pudieran trabajar desde sus casas y, como la seguridad “complica las cosas”, muchas de ellas han optado por no implementar los mecanismos de seguridad adecuados.
¿Cree que el sanitario es un sector especialmente poco protegido, a pesar de la relevancia de su labor?
Pues seguramente habrá hospitales que hayan invertido muchos recursos en seguridad informática y otros que hayan invertido menos. Hay que tener en cuenta que la labor de los hospitales es atender a sus pacientes. La informática debe ser una herramienta que facilite a los profesionales la realización de su labor y en no pocas ocasiones la productividad prima más que la seguridad.
"La mayoría de los avances tecnológicos no se diseñan desde sus inicios teniendo en cuenta criterios de seguridad".
En Wallix habéis trabajado en el sistema público de salud de Birmingham, que proporciona servicios sanitarios a más de 200 hospitales y centros de salud. Ahí se os ha pedido que aseguréis la seguridad de los datos de los pacientes y el control de los accesos remotos, ¿cuáles son los principales puntos débiles de una instalación sanitaria?
El personal especializado en seguridad de los sistemas de información suele ser escaso. Una forma de equilibrar la balanza es adoptar soluciones técnicas especializadas en la protección y acceso a los datos como las desplegadas en el NHS de Birmingham.
¿Qué medidas y recursos emplea vuestra plataforma, WALLIX Bastion, para hacer frente a las amenazas?
En informática todo acceso a cualquier dato o recurso debe ser autorizado y solo debe otorgarse a los usuarios que realmente lo necesiten. WALLIX Bastion controla el acceso a los recursos críticos impidiendo que usuarios no autorizados se conecten a ellos. Y, además, monitoriza y graba las sesiones de las conexiones autorizadas.
¿La existencia de distintos proveedores de tecnología, que ha de integrarse en un mismo centro, no es otra particularidad que hace que estos espacios sean especialmente atractivos para los atacantes?
Pudiera ser, pero no creo que sea un factor importante el número de proveedores que coinciden en una misma localización. Estadísticamente la mayoría de los ataques no son dirigidos sino que se realiza de forma masiva. Y de aquellos que son dirigidos un alto porcentaje son realizados por lo que llamamos insiders, personal que ya tiene acceso al sistema.
Hablando de España, ¿En qué punto de maduración tecnológica y digital se encuentra el sistema de salud de nuestro país?
España es un país de la Unión Europea y se rige por la misma regulación que los países de su entorno. Por lo tanto, yo me atrevería a asegurar que la tecnología en España es similar a la del resto de países de la UE. Especialmente Francia, Alemania, Italia, etc.
¿Qué conocimiento tienen los gerentes de los hospitales sobre el riesgo y la necesidad de implementar soluciones de ciberseguridad?
Yo creo que va en función de los recursos que los hospitales destinen a la seguridad de la información. Algunos de ellos podrán permitirse tener gerentes especializados, los llamados CISO (Chief Information Security Officer) y otros no.
¿Qué tipo de ataques sufren los hospitales? ¿Cuáles son las principales zonas de riesgo? ¿Cuál es el principal objetivo de los ciberdelincuentes?
Los hospitales sufren los mismos ataques genéricos que pueda sufrir cualquier compañía. Pero además, debido a la sensibilidad de los datos que almacenan, también pueden ser objeto de ataques dirigidos. Las zonas de riesgo dependerán de tipo de ataque. Para los genéricos, son los mismos que cualquier otra entidad. Para los dirigidos, las zonas de riesgo se sitúan dentro las propias infraestructuras (insiders).
El ánimo de lucro es el principal objetivo de los ciberdelincuentes. Mención especial merecen los ataques de tipo ransomware cuyo objetivo es encriptar todos los documentos que encuentren y pedir un rescate. Imaginemos por un momento el daño que un ataque de estas características pudiera ocasionar en un hospital si todos los datos relacionados con los pacientes (o no) son encriptados y no se pudiera acceder a ellos.
¿Cuál es su opinión sobre la guía de ciberseguridad para hospitales europeos de ENISA, la Agencia Europea de Ciberseguridad, y cómo se están adecuando los hospitales españoles a los estándares europeos de seguridad? ¿Es posible una estandarización de procesos y controles de seguridad?
Nunca es demasiado tarde para este tipo de iniciativas, como la guía de ciberseguridad de ENISA para hospitales europeos. La guía proporciona recomendaciones y mejores prácticas para incluir problemas de ciberseguridad en los procesos de adquisición de equipos hospitalarios. Nosotros, los actores de la ciberseguridad, debemos garantizar que nuestras instituciones de salud tengan un espacio digital confiable para almacenar datos. El trabajo de ENISA pretende avanzar hacia esta estandarización digital que necesitamos hoy. ¿Y cómo logramos la estandarización digital? A través de la interoperabilidad. Necesitamos trabajar juntos para asegurarnos de que nuestras soluciones funcionen juntas para adaptarse a las necesidades de los gerentes comerciales de atención médica y de todos los sectores.
En un hospital hay puntos de acceso que comparten médicos, enfermeras y personal administrativo, y en ocasiones estos equipos se utilizan tanto para acceder a las herramientas de su trabajo (exámenes médicos, historial de pacientes…) como para ejecutar aplicaciones comunes (correo electrónico, acceso a internet, …) ¿Hay aquí también pendiente una labor de formación o de cambiar las formas de trabajo?
En mi opinión los recursos informáticos son herramientas para ayudar a los profesionales a realizar mejor su trabajo. No creo que el personal sanitario deba ser expertos informáticos. Estos recursos informáticos deberían de estar dotados de la tecnología adecuada que les permita realizar su trabajo sin necesidad de preocuparse por la seguridad o la ciber seguridad. Dicho esto, nunca está de más impartir algún tipo de formación en seguridad de la información, pero no se debe esperar que esta acción por si sola otorgue un mayor grado de seguridad, ni descargar la responsabilidad en los profesionales sanitarios.
¿Es inevitable que la tendencia, también con el desarrollo del 5G, de la IA y la IoT suponga un crecimiento exponencial de los puntos sensibles y, consecuentemente, de los ataques?
Indudablemente. La tecnología avanza a paso de gigante y cada vez ofrece mayores posibilidades y beneficios para la sociedad. Desafortunadamente, la mayoría de estos avances no se diseñan dese sus inicios teniendo en cuenta criterios de seguridad.