La ciberseguridad se ha convertido en un factor clave en el sector sanitario no solo por la importancia de mantener a salvo la información sensible que manejan los instituciones sanitarias de los pacientes, sino también por la digitalización de aquellos tratamientos de los que depende la vida humana.  

Ante el panorama actual de la ciberseguridad y protección de datos, la Unión Europea decide tomar cartas en el asunto asegurando la protección de todos aquellos servicios que se consideren esenciales para el funcionamiento del sector sanitario, que está enmarcado entre los Operadores de Servicios Esenciales de la Directiva de Seguridad de las Redes y Sistemas de Información (NIS) cuyo plazo límite de transposición es mayo de 2018. La directiva impone la notificación de los incidentes de seguridad a las autoridades pertinentes “sin dilación indebida” y siempre que dichos incidentes pudieran tener un impacto significativo en los servicios cubiertos. Por otra parte, también establece la adopción de medidas no sólo técnicas, sino también organizativas para gestionar los riesgos de seguridad teniendo en cuenta las tecnologías y prácticas de última generación siempre que sean proporcionales.

Al igual que el GDPR, la Directiva NIS, normativa de la Unión Europea que busca mejorar la seguridad de las redes y sistemas de información en su territorio, precisa pasar de la adaptación a la legislación en  cada uno de los Estados miembros, en el caso español, ya ha sido publicado un Anteproyecto de Ley.

Por otro lado, la figura del Delegado de Protección de Datos (DPD) es de vital importancia. Esta figura constituye uno de los elementos claves del GDPR y un garante del cumplimiento de la normativa de protección de datos en las organizaciones. En este sentido, la legislación, aún en trámite, recoge la obligatoriedad de nombrar un delegado para aquellos centros sanitarios que tratan las historias clínicas de los pacientes. Las funciones del Delegado de Protección de Datos serán de información, asesoramiento y supervisión de los datos que trate la organización.

 

 

Las ciberamenazas al sector

El sector sanitario es un sector especialmente sensible en temas de ciberseguridad. Clínicas, farmacias, laboratorios y mutuas se ocupan de la asistencia médica y ofrecen cuidados y tratamientos relacionados con la salud, de modo que poseen información sensible sobre sus usuarios.

La incorporación de la tecnología en el sector, desde la receta electrónica, pasando por las aplicaciones que mejoran el control de enfermedades hasta la telemedicina y el “Internet de las Cosas” (IoT), todo sumado a la naturaleza crítica de los datos relativos a la salud supone nuevos riesgos en temas de ciberseguridad.

Es evidente que los vectores de ataque son numerosos y varios ciberataques contra el sector han tenido éxito como el ransomware Wannacry que detuvo el funcionamiento de 61 hospitales británicos, aunque aseguran que no se llegaron a comprometer los datos de los pacientes.

Con la llegada del GDPR, aumentará la sanción monetaria de la infracción más grave. Esta gravedad se mide según la sensibilidad de los datos comprometidos, considerando los datos relativos a la salud críticos por ley. Por lo que, ajenos a la propia estructura sanitaria, habrá que ver como se resuelve el escándalo de Grindr, la app de citas que, presuntamente, compartió los datos de VIH de sus usuarios.

La adaptación del sector es evidente con el caso de la receta electrónica, ya implantada en 14 comunidades y en el cien por cien de las farmacias del país a la espera de una interoperabilidad junto con las comunidades. La caída del sistema supondría un escenario terrible, si se viesen comprometidos datos de usuarios o se perdiese información sobre tratamientos de pacientes.

Si no se trabaja para la protección y seguridad de esta información, los ciberdelincuentes podrían hacerse con los historiales médicos de los pacientes para sacar provecho de ellos, chantajearlos o incluso manipular o robar información sobre diagnósticos, pruebas o tratamientos. Desde SmartHC queremos recordar que la ciberseguridad sanitaria nos afecta a todos, por ello hay que tener cuidado con el almacenamiento, clasificación y protección de la información, en cualquier ámbito, pero en este sector más aún.

 

De cómo la realidad supera la ficción, o cómo parar el corazón a miles de kilómetros

Para quien no lo sepa todavía, el “Internet de las Cosas” (IoT) lo definiríamos como la consolidación de una red que interconecta dispositivos como vehículos, electrodomésticos o simplemente objetos como maletas, calzado, dispositivos de medición, biosensores o, incluso, un marcapasos; es decir, cómo si las cosas tuviesen conexión internet, y por lo tanto, pudiesen ser hackeables y controladas de manera remota.

Ya sucedió en la ficción. En la serie americana “Homeland”, unos terroristas atentaban contra el vicepresidente norteamericano accediendo a su marcapasos y haciendo que se parara; aunque no tan lejos de la realidad, ya que el antiguo homólogo real, Dick Cheney se desconectó del IoT de su marcapasos en 2007 por miedo a un ciberataque (aunque lo trataron como función inalámbrica).

Poco después investigadores de las universidades de Washington y Massachusetts consiguieron acceder mediante un hackeo a los datos personales de un marcapasos, así como algunas de sus funciones de control remoto. Un hacker especializado en comprobar la vulnerabilidad de ingenios tecnológicos completó el experimento. Accedió al control remoto del aparato, pudiendo detenerlo e incluso accediendo a su máxima potencia, descargando en el corazón hasta 830 voltios, un arma mortal.

Consciente de la importancia de tener en cuenta la ciberseguridad en los dispositivos IoT, la Agencia Europea para la Seguridad de las Redes y la Información (Enisa) ha lanzado recientemente una guía de buenas prácticas para fomentar la conexión de dispositivos y sistemas de información en hospitales y centros de salud, al mismo tiempo que advertir sobre los riesgos que puede suponer.

 

 

 

Comments are closed.