La pandemia de COVID-19 aceleró la transformación digital en salud, profundizó los mecanismos de telemedicina para alcanzar a más personas y potenció la transversalidad del acceso a los datos para unificar criterios. Como contracara, este último año se registró la mayor cifra de ciberataques en el sector salud y se advierte que esta tendencia irá en aumento.
Por Rocío Maure
Entre sus múltiples beneficios, la digitalización en el sector de la salud genera una concentración de datos que es también un blanco ideal para los ciberataques. Las cifras actuales demuestran que no es un asunto regional, sino un problema mundial que debe atenderse con especial atención. Y es que la pandemia generó un vuelco: en este momento de gran auge de la telemedicina y las herramientas colaborativas con fines médicos, los atacantes dirigen los esfuerzos hacia este sector en lugar de hacia otros más consolidados, como el financiero y bancario.
Si bien inicialmente la amenaza era el robo de datos para la venta directa, los peligros crecieron exponencialmente a la par de la penetración de los procesos informáticos en distintas áreas. Algunos de los delitos más extendidos actualmente son el phishing (robo de identidad), la introducción de malware (con el objetivo de acceder a los datos), el hijacking (control de procesos o dispositivos, sobre todo los que cuentan con internet de las cosas o IoT) y el ransomware. Este último implica bloquear el acceso a los datos y pedir un rescate a cambio de no divulgarlos.
El blanco inicial son, por supuesto, las organizaciones de salud que se perciben más frágiles, y el factor humano juega un papel fundamental en la solidez informática. De hecho, la puerta de entrada de muchos ataques suelen ser operarios desprevenidos que abren correos electrónicos dudosos o que no corroboran dónde ingresa la información. Por eso, los expertos recomiendan no solo confiar en la tercerización a seguros especializados, sino también fortalecer el recurso humano interno. Ese fortalecimiento debe desarrollarse con los usuarios finales de cada herramienta o dispositivo, es decir, los profesionales de la salud que los implementan, así como con los equipos técnicos que se encargan puntualmente del aspecto informático del lugar.
Al inicio de la pandemia, con la incertidumbre y la emergencia del contexto, muchas instituciones quedaron vulnerables porque sus autoridades de TI no tenían roles puntuales de seguridad, sino que debían ocuparse de otras responsabilidades. Por ejemplo, debieron extender las redes hacia hoteles donde había pacientes aislados, asegurar sistemas de telemedicina para los profesionales en cuarentena y ampliar las herramientas colaborativas con otros centros y regiones. Por eso, no daban abasto para dedicarse a las tareas de ciberseguridad y, frente a los ataques que comenzaron a recibir, los principales hospitales y clínicas ahora reconocen la importancia de tener un Director de seguridad de la información (CISO, por sus siglas en inglés) que, a su vez, dirija a un equipo que se encargue de estas tareas exclusivamente. Este equipo no solo debe construir las bases para afirmar la seguridad interna y externa, sino que también debe fomentar la cultura de ciberseguridad en todo el personal. De nada sirve robustecer el interior de las organizaciones o sumar herramientas digitales si las paredes son de paja o de madera; todo el sector debe apuntar al ladrillo, a generar estructuras de ciberseguridad fuertes e infranqueables, para así garantizar un desarrollo sin sobresaltos ni amenazas evitables.
Cabe destacar que así como evolucionan los delitos, también se especializan cada día más los mecanismos de control. En el caso de herramientas muy útiles como la Historia Clínica Electrónica (HCE), los proveedores y usuarios principales deben valerse de mecanismos como la doble autenticación para limitar el acceso y privilegiar sistemas actualizados que respeten estándares internacionales, como las normas ISO. Asimismo, el almacenamiento es otro punto crítico, sea de modo físico en servidores o en la nube, porque implica una mejora exhaustiva en las TIC de todo el hospital o centro médico. La capacitación también puede especializarse y esa es la meta de las instituciones referentes. “Entre otros objetivos estratégicos, la tercera estrategia de seguridad cibernética de Estonia (2019-2021) ha abordado la educación cibernética como parte de las áreas futuras donde se deberán realizar más inversiones. (…) Buscamos superar las brechas entre el nivel de expertos y los principales encargados de la toma de decisiones nacionales en los sectores público y privado”, afirma Sven Mikser, Ministro de Relaciones Exteriores de Estonia, el país pionero en materia de salud digital.
Al ser un problema que inquieta a todos los continentes, el Congreso europeo sobre salud digital HIMSS & Health 2.0 2021 presentó el pasado 8 de junio un panel especialmente abocado a la ciberseguridad. Los referentes italianos, anfitriones del encuentro, detallaron su estrategia desde distintos enfoques. Actualmente, Italia cuenta con un modelo de seguridad federal y, puntualmente, la región de Lombardía tiene un programa de seguridad para el sector salud dividido en dos niveles. El nivel central de seguridad apunta a proteger los servicios que se brindan a los ciudadanos desde el aspecto técnico, como proteger las redes que aseguran los turnos médicos y las recetas electrónicas. Además, cuentan con un almacenamiento regional de datos de la HCE. El nivel local de seguridad abarca cada hospital o clínica individual, donde ofrecen un plan de políticas y prácticas recomendadas, centros de información, una evaluación de vulnerabilidad y penetración de los ataques, y finalmente capacitaciones y programas para concientizar en la prevención.
Como ejemplo de un plan de acción unificado dentro de una institución, el hospital de la Fondazione Poliambulanza tiene un enfoque de ciberseguridad basado en 4 acciones: verificar la seguridad de su institución a través de auditorías para evaluar el estado de los sistemas, los software específicos, las distintas herramientas de distintos proveedores, y definir los puntos de mejora; implementar esas mejoras, tanto a nivel técnico como a nivel de procesos y organización; controlar la actividad tanto dentro como fuera de la institución, evaluar el modelo de la organización y estar alerta ante posibles nuevos ataques que circulen en la dark web; compartir los modelos exitosos con todos los niveles de la organización así como con otros hospitales y clínicas de la región.
Resaltando este último punto, el espíritu colaborativo se consolida como una de las grandes estrategias de los países que lideran la transformación digital. Siendo el contacto fluido entre el sector público, los organismos de seguridad estatal y el sector privado, fundamental para mejorar la seguridad informática.
A nivel regional, en Latinoamérica tanto la Comisión Económica para América Latina y el Caribe (CEPAL) de Naciones Unidas como el Banco Interamericano de Desarrollo (BID) destacan la importancia de la cooperación internacional para enfrentar las amenazas cibernéticas. Ya que si la tendencia gira en torno a garantizar la interoperabilidad, es fundamental desarrollar lineamientos y políticas que pongan el foco en la ciberseguridad.
Fuentes:
https://www.mobihealthnews.com/video/how-protect-your-organization-against-ransomware
https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services
https://www.cepal.org/sites/default/files/events/files/presentation_comtelca.pdf
https://www.himss.org/session-good-morning-italy-focus-cybersecurity-providers-and-patients
