Cómo hacer de los hospitales un espacio conectado y seguro

Stormshield, empresa en el mercado de la ciberseguridad, analiza los ciberataques y ofrece soluciones para frenar o minimizar sus consecuencias

El sistema sanitario se encuentra bajo la lupa de los cibercriminales, como lo demuestran los frecuentes ciberataques dirigidos contra sus organizaciones. A la luz de esta tendencia, Stormshield, empresa en el mercado de la ciberseguridad, analiza dicha problemática y ofrece las mejores soluciones para frenar o minimizar sus consecuencias.

ciberataques contra hospitales
Hospital como espacio seguro

Aunque la fragilidad de las instituciones sanitarias se puso de manifiesto con la pandemia de Covid-19, cuando, sobre todo, en los primeros meses de 2020 los hospitales se vieron afectados y paralizados por reiterados ciberataques, esta situación lleva más de una década preocupando a los profesionales. No en vano, y por lo sensible de los datos que gestionan, estas organizaciones son propensas a pagar los rescates exigidos por los delincuentes, a fin de mantener sus sistemas en funcionamiento.

Iniciativas para hacer frente a los ciberataques en los hospitales

Ante tal escenario, y con el número de ciberataques al alza – también a consecuencia del actual conflicto bélico – empresas privadas y organismos públicos trabajan para revertir o, cuanto menos aliviar, esta carga. Así al apoyo desinteresado de algunas compañías de ciberseguridad a organismos sanitarios, se unen otras iniciativas más enfocadas en aleccionar, como la guía de ENISA con las 10 mejores prácticas que deben aplicar las instituciones sanitarias para hacer frente a las ciberamenazas; u otras destinadas a impulsar y reforzar la ciberseguridad.

En España, el gobierno central aprobó a finales del pasado mes de marzo el Plan Nacional de Ciberseguridad, y a nivel regional, comunidades autónomas como Cataluña ya cuentan con su propia Agencia de Ciberseguridad y, otras como Madrid o País Vasco, están en proceso.

Los hospitales presentan una superficie de ataque extensa

Con la renovación de los equipos informáticos en los entornos sanitarios, aparece la primera limitación. Mientras que los dispositivos informáticos convencionales se actualizan cada cinco años, los de uso médico pueden alcanzar una vida útil de hasta 15 años, con sistemas operativos para los que, en muchos casos, no existe mantenimiento ni corrección de posibles brechas. A esto se le añade el marcado CE, requisito obligatorio en Europa, y que impone que no pueda hacerse ninguna modificación, como pueda ser la actualización de parches de seguridad.

Para evitar el riesgo de utilizar sistemas operativos sin mantenimiento, las políticas de seguridad informática tienen que poder adaptarse. Es transcendental contar con un plan de continuidad de la actividad y un plan de recuperación, pero también es igual de primordial tener flexibilidad.

Al mismo tiempo, los hospitales llevan más de una década haciendo frente a un obligado proceso de transformación digital que si bien ha supuesto un paso de gigante en cuanto a mejoras tecnológicas y de servicios, también ha amplificado y difuminado el perímetro informático.

Además, las instituciones sanitarias se han visto debilitadas por la democratización de los productos conectados, y a nivel financiero, por la sucesión de convocatorias de proyectos sin presupuestos asociados para mantenerlos. Como resultado, los hospitales se enfrentan a riesgos que ponen en peligro su seguridad, y a una enorme deuda técnica. Por tanto, es necesario enmarcar estos nuevos usos digitales y añadir una capa de seguridad que permita proteger la infraestructura sin generar dicha deuda técnica.

Las personas igualmente representan un factor de vulnerabilidad en los hospitales. Y es que, ante la carencia de personal, los equipos de TI se centran en proporcionar información con rapidez, lo que, a veces, puede significar ignorar las normas de seguridad más básicas y obvias. En este contexto, los equipos de SSI de los hospitales deben concienciar a su personal y recordarles en todo momento las buenas prácticas en cuanto a ciberseguridad.

Los hospitales y su superficie de ataque muy extensa

Los datos, el objetivo de los ciberataques en los hospitales

Si los datos de salud son una ganancia financiera para los ciberdelincuentes, los datos del universo sanitario pueden ser un objetivo para los poderes del Estado. Así, por ejemplo, durante la crisis sanitaria, ciberdelincuentes vinculados a países que no disponían de medios de investigación y desarrollo de vacunas lanzaron sucesivos ataques contra empresas farmacéuticas a fin de obtener la preciada información. A destacar que dichas acciones más allá de un fin oportunista perseguían un deseo de desestabilización o de espionaje industrial.

Borja Pérez, Country Manager de Stormshield Iberia, afirma que: “Las razones de la vulnerabilidad de las instituciones sanitarias son, pues, complejas. Son herencia de los problemas estructurales del sector e indudablemente no se resolverán en unos meses. Para saldar las deudas técnicas, solucionar la falta de personal y reducir la superficie de ataque, el sector sanitario debe actuar rápidamente, con el apoyo de empresas privadas e instituciones públicas. Aún quedan muchos puntos por resolver en los hospitales para garantizar una verdadera ciberseguridad de estas infraestructuras vitales”.