Si hablamos de ciberseguridad, uno de los sectores que más se encuentran en el punto de mira de los ciberdelincuentes es el sanitario. Para tratar cuál es la situación de este sector hablamos con Juan Díez, responsable de los sectores estratégicos de salud, alimentario e investigación de INCIBE
Entrevista con Juan Díez, responsable de los sectores estratégicos de salud, alimentario e investigación de INCIBE
¿Cuáles son las amenazas más comunes que afectan al sector sanitario?
En base a estudios de referencia publicados como ENISA: TLHS2023, se identifica que los vectores de ataque, o puertas de entrada más frecuentes en el sector de la salud son la mala configuración de seguridad. (68%); los insiders o errores humanos en la operación (16%); la ingeniería social / phishing (4%) como vector de entrada para intrusión y robo de datos. Además, son también muy relevantes los ataques en la cadena de suministro, motivadas por vulnerabilidades no parcheadas de software o hardware, así como la descarga e instalación de malware o programas maliciosos dentro de la infraestructura tecnológica.
En cuanto a los tipos de ataque más frecuentes en el sector sanitario se encuentran fundamentalmente el ransomware con un 54% de los incidentes registrados, siendo además el tipo de ataque de mayor impacto y que en el 43% de los casos además de la disrupción de los servicios, implica robo de datos. Además, el robo de datos está presente en un 46% de las ocasiones y los ataques de intrusión en un 13% de los incidentes registrados.
¿Se están tomando las medidas adecuadas por parte de los diferentes actores que conforman el sector sanitario para garantizar la privacidad de los datos de salud?
Según el estudio ENISA: TL2023, con datos de Junio 2022 a Julio 2023 se observa que el sector Salud es uno de los más afectados, registrando el 8% de los incidentes de ciberseguridad por detrás de Administración Pública (19%) pero por delante del resto de sectores como banca (6%), transporte (6%) o energía (4%). Se viene observando que, finalizados los meses duros de la pandemia, los ciberdelincuentes se están centrando en este sector motivado, principalmente, porque que les proporciona un beneficio económico importante debido a 4 particularidades concretas de este sector:
- Alta criticidad de los servicios, principalmente los asistenciales. Cualquier parada de servicio, aunque sea temporal o momentánea, puede suponer un fuerte prejuicio en la asistencia a pacientes, incluso con consecuencias vitales, lo cual crea una fuerte alarma social y daño reputacional, por lo que los responsables sanitarios están potencialmente dispuestos a ceder a posibles chantajes y pagar por recuperar “la normalidad”.
- Alto valor de los datos que gestionan. Los datos de salud tienen un alto valor en el mercado negro. El precio de una historia clínica puede variar de 30$ hasta los 1.000$ en casos específicos, mientras que comparativamente el valor de una tarjeta de crédito ronda entre 1 y 6$ de media. (fuente Kaspersky).
- Heterogeneidad e hiperconectividad de sistemas y dispositivos. La transformación digital en el sector salud, favorecida por aumentos de inversión motivados por la situación vivida durante la pandemia, así como aparición de fondos europeos de financiación a este sector, han permitido incorporar gran cantidad de tecnología que ayuda en el diagnóstico, tratamiento y seguimiento de los pacientes, haciendo la vida más fácil a profesionales de la salud. Se han incorporado nuevos dispositivos en infraestructuras asistenciales, pero también se cuenta con dispositivos que se lleva el paciente a casa y permite al profesional realizar un seguimiento de su evolución. Nuevos sistemas a su vez conviven con sistemas más antiguos, incluso legados, aumentando así la gestión de su operación y mantenimiento.
- Aumento del volumen y flujos de datos entre sistemas. No solo se ha incrementado el volumen y la heterogeneidad de datos que se generan, transmiten y procesan, sino que se interconectan entre sí, dentro y fuera de la propia organización. Toda esta complejidad requiere de mucho más esfuerzo para mantener actualizada y segura toda la infraestructura tecnológica y su información de forma constante, ampliando el perímetro de ataque para los cibercriminales.
Adicionalmente, la normativa vigente exige a los operadores del sector salud, alcanzar un umbral mínimo en seguridad, poniendo las contramedidas necesarias para asegurar sus sistemas de información y sus datos. Esta normativa incluye el RGPD y sus leyes derivadas (LO 3/2018) en relación a protección de datos, la Directiva Europea NIS y sus leyes derivadas (RD 12/2018 y RD 43/2021) en relación a la ciberseguridad, así como otras normas de carácter sectorial.
Lo que los reguladores han visto es que dichas normativas deben actualizarse a la situación actual pospandemia, en la que el sector ha puesto de manifiesto, por una parte, su alta criticidad y por otro, su imparable transformación digital. Esta actualización supone elevar por un lado, el nivel de ciberseguridad mínimo exigible, así como ampliar el tipo de entidades que están sujetas a un cumplimiento más estricto.
En este sentido, la Directiva Europea NIS2 cuya fecha de transposición al ordenamiento jurídico nacional se espera para octubre de 2024, va a suponer un cambio importante, puesto que será de aplicación para más entidades del sector, incluirá un régimen sancionador estricto, un seguimiento e inspección a las entidades sujetas a la normativa, y elevará los niveles de cumplimiento de las medidas de ciberseguridad.
Por tanto, cada organización debe entender la relevancia de la ciberseguridad como algo esencial para la prestación de servicios de salud, no solo por el cumplimiento normativo, o posibles sanciones, sino porque es una necesidad de negocio. Se deben poner los medios adecuados y proporcionales en función de su infraestructura y datos a proteger.
La ciberseguridad debe partir de un compromiso e impulso claro de la dirección, involucrando a toda la organización a través de una estrategia y plan director de ciberseguridad. Para su creación, existen diversas buenas prácticas y marcos de referencia (como el marco de ciberseguridad del NIST Americano, normas internacionales como ISO27.000, o más en concreto, en España, el Esquema Nacional de Seguridad) coincidiendo todos ellos en que debe partir de un análisis de riesgos para que la inversión en ciberseguridad sea la óptima, minimizando su coste y maximizando su beneficio, para conseguir un umbral de ciberseguridad apropiado al apetito de riesgo de la organización, así como proporcional a la infraestructura a proteger.
Afortunadamente, la industria de ciberseguridad en España cuenta con empresas (como pone de manifiesto el catálogo de empresas y soluciones de ciberseguridad de INCIBE) que cubren toda la cadena de valor para poner en marcha dicha estrategia, desde la consultoría inicial, hasta los servicios y productos de última milla para proveer de las contramedidas específicas necesarias a cada activo de información, y además, con enfoques de despliegue que van desde personal y equipamientos in-situ, hasta servicios completos en la nube.
Ahora bien, cualquier estrategia y medias de ciberseguridad deben ser conocidas por todos los implicados. Es aquí donde cobra una especial relevancia la concienciación en materia de ciberseguridad a todos los niveles: dirección, gestores, administrativos y en especial, a los profesionales sanitarios que operan los servicios, y que gestionan los datos de los pacientes a través de aplicaciones y plataformas, asegurando su veracidad, integridad y confidencialidad en todo su ciclo de vida asistencial.
¿Qué están haciendo desde INCIBE junto a las instituciones sanitarias para fortalecer las medidas de ciberseguridad?
INCIBE es un actor relevante dentro de la gobernanza nacional de la ciberseguridad, reflejado en las Estrategias Nacionales de Seguridad y de Ciberseguridad. INCIBE cuenta como servicio estrella con el centro de respuesta a incidentes denominado INCIBE-CERT, siendo el centro público nacional de estas características más grande de España en relación a la heterogeneidad de públicos objetivos y volumen de usuarios potenciales a los que presta servicio como son los ciudadanos, las empresas, el sector académico y los operadores privados de sectores estratégicos.
En lo relativo al sector salud, es el CERT (o CSIRT) de referencia para los operadores privados de este sector, según indica la normativa vigente. Dicha normativa obliga o recomienda (en función de la criticidad de la entidad) a los operadores esenciales de carácter privado del sector salud, a notificar sus incidentes relevantes con impacto significativo a INCIBE-CERT.
La realidad es que INCIBE-CERT está recibiendo muy pocos incidentes de este sector en comparativa con otros como el energético, financiero o el de transportes, lo que pone de manifiesto que muy pocos operadores privados han sido declarados como esenciales por las autoridades competentes.
Esto es algo que con la entrada en vigor en España de la nueva normativa NIS2 supondrá un cambio sustancial, puesto que previsiblemente, clasificará como entidades importantes a aquellos operadores del sector sanitario a partir de 10M€ de facturación y más de 50 empleados; y esenciales las de más de 50M€ de facturación y 250 empleados, estando obligados a notificar sus incidentes a su CSIRT de referencia que no es otro que INCIBE-CERT.
Los profesionales del sector utilizan cada vez un mayor número de dispositivos conectados, ¿cómo se garantiza la seguridad de los mismos? ¿Tienen las instituciones una estrategia bien definida para su protección?
Es una realidad que la tecnología avanza en todos y en particular en este sector de la salud para mejorar la actividad de los profesionales en el diagnóstico, prescripción, seguimiento y recuperación de los pacientes. La salud es una prioridad para las personas y también para los países y administraciones, algo que motiva la proliferación de soluciones médicas y asistenciales por parte de la industria, introduciendo nuevos productos y servicios altamente tecnológicos que hacen uso de los últimos avances, no solo en la medicina, sino también en la tecnología. Basta como ejemplo la irrupción de las IA generativas como ChatGPT y similares. Parece lógico, por tanto, beneficiarse del uso de las mismas para mejorar la prestación asistencial.
Ahora bien, este uso debe planificarse y gestionarse, de forma ágil para hacer frente al cambio tecnológico rápido en este sector, pero también de forma segura, con unas pautas claras para que la tecnología aporte todas sus ventajas, pero se minimicen sus posibles riesgos e inconvenientes.
«INCIBE – CERT está recibiendo muy pocos incidentes del sector sanitario en comparación con otros como el energético, financiero o el de transportes»
Es necesario que los equipos médicos trabajen de forma conjunta con los equipos de TI y seguridad a la hora de planificar el despliegue de nuevos equipos, dispositivos, plataformas y aplicaciones para que su instalación y conexión se realice de forma segura. El reto está en dimensionar estos equipos de forma adecuada, adoptar un enfoque ágil en tiempos para el despliegue, y asegurar que cada nueva pieza que se introduzca en el sistema, encaje con las demás, sea segura por sí misma, en sus conexiones, y en los datos que genere, procese y transmita.
También, es crucial asegurar la cadena de suministro trasladando a los proveedores del equipamiento técnico de salud, la necesidad y obligatoriedad de que proporcionen productos y servicios seguros por diseño, y que gestionen de forma proactiva su seguridad durante todo su ciclo de vida del producto o servicio, informando de forma temprana de posibles vulnerabilidades y parcheándolas de forma ágil. La tendencia en las nuevas directivas europeas, como CRA o NIS2, hacen hincapié en ello para obligar directamente a los proveedores, si bien es algo que las organizaciones de la salud pueden realizar ya exigiendo por contrato acuerdos de niveles de servicio, o la gestión de la ciberseguridad durante toda la vida útil del producto o servicio, mientras este operativo en los centros sanitarios.
¿Cuáles son los puntos básicos que las organizaciones deberían tener en cuenta para fortalecer su estrategia de ciberseguridad?
Para aquellas entidades que cuentan ya con un plan director o estrategia de ciberseguridad implantada basada en un enfoque de análisis de riesgos, la recomendación pasa en primer lugar por acomodar la creciente adopción de tecnología médica y flujo de datos sanitarios de acuerdo a dicha estrategia y al apetito de riesgo que marque la organización. Eso supone que los equipos médicos trabajen de forma conjunta con los equipos de TI y seguridad a la hora de planificar el despliegue de nuevos equipos, dispositivos, plataformas y aplicaciones para que su instalación y conexión se realice de forma segura, contemplado contramedidas y controles organizativos y técnicos para preservar la seguridad de infraestructura e información.
Para acometer esta misión, se debe contar con la inversión necesaria en medios y recursos encontrado un equilibrio entre medios propios y contratados a través de la industria de ciberseguridad para equilibrar la inversión, toma de decisiones, configuración, gestión, operación y capacidades en materia de ciberseguridad, y todo ello proporcional a los activos a proteger. Afortunadamente la industria de ciberseguridad en España cuenta con empresas (como pone de manifiesto el catálogo de empresas y soluciones de ciberseguridad de INCIBE) que cubren toda la cadena de valor, desde la consultoría inicial, hasta los servicios y productos de última milla para proveer de las contramedidas específicas necesarias a cada activo de información, y además, con enfoques de despliegue que van desde personal y equipamientos in-situ, hasta servicios completos remotos y en la nube.
También es necesario que los equipos de cumplimiento normativo estén atentos a posibles cambios en el marco regulatorio (como la entrada en vigor en España de la Directiva Europea NIS2) para garantizar que el nivel de ciberseguridad de la organización es acorde a lo exigido por los reguladores. Otro aspecto crucial es la concienciación en materia de ciberseguridad a toda la organización, tanto a las capas de dirección, gestión y en especial a los trabajadores de la salud que operan los servicios y gestionan los datos.
Se recomienda realizar auditorías de ciberseguridad sobre los activos de información que comprueben de forma periódica, las medidas de ciberseguridad en práctica, y sirvan para detectar posibles fallos a corregir, o identificar mejoras. Como última recomendación, asumir que un incidente se puede o se va a producir, por lo tanto, poner en práctica un ‘Plan de continuidad de negocio’, que asegure que si se produce un incidente significativo, toda la organización está coordinada y orquestada para actuar al unísono para una correcta gestión de crisis, incluyendo la comunicación y gestión de medios, coordinación con autoridades, análisis del incidente, medidas de contención, de respuesta y de recuperación de datos y servicios, y lo más importante: la vuelta a la normalidad en el menor tiempo posible, de la prestación de servicios asistenciales de salud que afectan a los pacientes.
¿Cuál es la importancia de la colaboración público-privada en materia de ciberseguridad? ¿En qué debe consistir esa colaboración?
En materia de ciberseguridad esta colaboración debe estar presente de forma constante. Por una parte, para coordinar en caso de que ocurra un incidente de seguridad con impacto significativo, la debida respuesta que debe producirse para una recuperación de los activos de información lo más rápido posible. Esto implica las diversas autoridades públicas como pueden ser la Agencia de Protección de datos, las Fuerzas y Cuerpos de Seguridad del Estado, el CSIRT de referencia, así como otros posibles agentes sectoriales. Es conveniente analizar y establecer estos flujos de comunicación tan necesarios como obligatorios antes de que sea necesario hacer uso de los mismos para anticiparse a un posible y probable escenario de crisis.
Pero también es importante esta colaboración público-privada antes de que ocurra un incidente, es decir de forma proactiva y preventiva. Los CSIRT de referencia pueden ofrecer servicios de ciberseguridad añadidos como alerta temprana, o intercambio de información de ciberinteligencia (vulnerabilidades, amenazas) o servicios de diagnóstico, concienciación, etc.
El operador debe poner en valor esta colaboración, entendiendo que colaborar con las autoridades competentes permite a éstas tener una visión de lo que está ocurriendo en el sector para de forma ágil prevenir y alertar a otros operadores susceptibles de ser potencialmente afectados, o incluso operadores de otros sectores con productos y servicios similares alojados en sus infraestructuras tecnológicas.
Asimismo, la industria de productos sanitarios y la industria de ciberseguridad son también actores relevantes para participar en esta colaboración, garantizando que los productos no solo están a la vanguardia tecnológica en materia sanitaria, sino también de protección de la seguridad y la privacidad.
¿En qué deberían consistir las mejores prácticas para garantizar la continuidad de la atención médica en caso de que una entidad sufra un ciberataque?
El primer paso es asumir que una infraestructura tecnológica creciente supone un aumento del perímetro de exposición, lo cual complica su protección, con lo que es probable que un incidente grave se pueda producir. Esta asunción sitúa a la organización en la posición de elaborar un ‘Plan integral de continuidad de negocio’ que implique a toda la organización para ofrecer una respuesta coordinada e integral. El objetivo es recuperar el servicio asistencial en un plazo objetivo, a la vez que se coordinan todas las actuaciones no solo a nivel interno, sino también externo con autoridades y medios de comunicación que lleguen a la ciudadanía.
Un incidente de seguridad en un operador de salud puede suponer una alarma social si se detiene la operativa normal, lo que implica, por tanto, gestionar una crisis. Si esto se produce, cada persona de la organización tiene que tener clara su misión siguiendo un plan. Plan que debe ser testado y probado, de forma análoga a cómo se entrena un plan de evacuación en caso de incendio, con simulacros realistas programados.
El plan, por tanto, dota de preparación a la organización en caso de incidente, pero también la pautas para la recuperación de los servicios, y de forma notable la necesaria coordinación con todos los agentes propios y externos que pueden/deben colaborar en la vuelta a la calma.
Se suele decir que el usuario es el eslabón más débil en la cadena de seguridad. ¿Cómo se fomenta la concienciación entre los profesionales de la salud? ¿Qué aporta INCIBE en este sentido?
La concienciación a todos los niveles es un pilar fundamental de cualquier estrategia de ciberseguridad. Debe implicar desde a la alta dirección, como a los profesionales de la salud que interactúan con los pacientes. Incluso los pacientes, que interactúan cada día más con aplicaciones y dispositivos médicos, son parte de la comunidad a concienciar.
La directiva europea NIS2 prevé que la capa directiva deba estar concienciada y formada en materia de ciberseguridad y análisis de riesgos, imponiendo posibles sanciones que pueden incluir su inhabilitación en caso de detectarse negligencia por su parte tras un incidente de ciberseguridad. También, traslada la obligación de concienciar y formar a personal clave del resto de la organización.
Los profesionales son, sin duda, la primera línea de defensa puesto que operan los sistemas y gestionan los datos de los pacientes. Deben conocer de forma clara el uso apropiado de los sistemas, así como sus riesgos y cómo actuar en caso de duda, o cómo detectar e informar sobre un fallo o un incidente. La concienciación debe ser periódica y práctica, basada en simulaciones de casos reales más frecuentes para que el profesional sepa detectar situaciones y cómo actuar e informar. También, permite testar la eficacia de la información y documentación de procesos y aplicaciones, así como su nivel de protección actual, siendo útil, también, detectar áreas de mejora.
INCIBE cuenta con un servicio denominado ‘Kit de concienciación’ que incluye diversos materiales para que una organización de forma autónoma, pueda poner en marcha campañas de concienciación a sus profesionales mediante píldoras periódicas, e incluso realizar un seguimiento de su impacto. El kit está disponible en la web de INCIBE y puede ser usado por cualquier entidad interesada, totalmente gratuito.