Es noticia del pasado domingo el robo en el Clínic de Barcelona de los datos personales de sus pacientes y usuarios, por medio de un ransomware que paralizó parte de la actividad del hospital. Detrás del ciberataque está un grupo conocido como RansomHouse, que lleva actuando desde 2021. ¿La finalidad del robo en el Clinic? Si no se paga un rescate, los datos sensibles del hospital acabarán publicados.
Mientras que ataques de este tipo suelen encriptar equipos, la técnica de RansomHouse se caracteriza por robar los datos con el fin de conseguir dinero. Dicha situación pone en manifiesto la necesidad de endurecer la medidas de seguridad para proteger los datos sensibles de nuestros hospitales.
Protección de datos en los hospitales
Desde RansomHouse no reivindican su responsabilidad en los ataques, sino que señalan directamente a las víctimas. «Creemos que los culpables no son los que encontraron la vulnerabilidad o llevaron a cabo el hackeo, sino los que no cuidaron debidamente la seguridad», afirma el grupo RansomHouse en su propia página, según informa Bleeping Computer, destacando además que «los culpables son los que no pusieron un candado en la puerta».
Frente a estas incidencias es necesario evaluar las causas para evitar otros ataques. En efecto, el robo de datos evidencia la falta de una capa de seguridad más impenetrable. La vulnerabilidad de las instituciones sanitarias se puso de manifiesto con la pandemia de Covid-19, cuando los hospitales sufrieron varios ciberataques. Sin embargo, esta situación sigue confirmando las preocupaciones del sector sanitario en España.
Las buenas prácticas para los hospitales de ENISA
Al apoyo desinteresado de algunas compañías de ciberseguridad a organismos sanitarios se unen otras iniciativas como la guía de ENISA, con las buenas prácticas para hospitales, en cuya elaboración ha participado el Centro Criptológico Nacional (CCN).
En su informe, ENISA ofrece una serie de directrices para la adquisición segura de servicios, productos, material e infraestructuras en el entorno sanitario, proporcionando a los responsables de la contratación de los hospitales y a los CISO/CIO un conjunto completo de herramientas y prácticas recomendadas que puedan adaptarse al proceso de contratación de los hospitales.
«A medida que la ciberseguridad se convierte en una prioridad para los hospitales, es esencial que se integre de manera global en los diferentes procesos, componentes y fases que influyen en el ecosistema de las TIC de la asistencia sanitaria», se aclara en el informe de ENISA subrayando además que «la contratación es un proceso clave para configurar el entorno de las TIC de los hospitales modernos y, como tal, debe estar a la vanguardia para alcanzar los objetivos de ciberseguridad».
