Digitalización
del sector sanitario: las medidas gubernamentales y de los players del sector
no están a la altura de los desafíos de ciberseguridad actuales
**Por Jean-Noël de Galzain, CEO y fundador de WALLIX
La digitalización del
sector sanitario está viviendo un impulso sin precedentes dadas las necesidades
y exigencias marcadas por una pandemia que no termina. La telemedicina ha
permitido simplificar la identificación de los pacientes, optimizar su atención
y su seguimiento, y descongestionar a los centros médicos, entre otros
beneficios, y los expertos han podido armonizar y automatizar procesos gracias
a soluciones avanzadas para la asistencia y diagnóstico, así como para la
comunicación médico-paciente. A pesar de este importante impulso, sigue siendo
necesario invertir en el desarrollo de un sector que necesita mejorar sus
gestiones tanto en términos de eficacia, eficiencia y calidad. Y sobre todo
invertir en dar solución al gran reto de la digitalización: la protección de
datos del paciente digital además de en la gestión y el trato de esa enorme
cantidad de datos.
Recetas, informes
médicos, resultados de pruebas, mensajes... es mucha la información que debe
ser almacenada, clasificada y a la que se debe acceder con total confianza y
seguridad. Y son muchos los dispositivos y sistemas que dan acceso a esta información.
Todos los datos confidenciales del paciente son relevantes y es importante que
se localicen con el fin de ser utilizados con precisión. Y es justamente por su
importancia y sensibilidad, por lo que se han convertido en uno de los
objetivos más codiciados por parte de los ciberdelincuentes.
El sanitario se convirtió en el sector más
atacado por los ciberdelincuentes de 2021, según datos ofrecidos por TALOS, la
división de ciberinteligencia de CISCO. Y esto ocurre porque todavía hoy muchos hospitales y players del
sector poseen softwares obsoletos que no son compatibles, el personal no tiene
competencias para protegerse y, además, la superficie de ataque ha aumentado de
forma considerable. Con el aumento de los ciberataques, la protección de datos
de salud plantea preguntas sobre almacenamiento, cifrado, identificación,
autenticación, trazabilidad, acceso, confidencialidad e intercambio de la
información de que se trate. Y es que la reventa de datos es muy valiosa. Por
ejemplo, un historial médico puede alcanzar un precio similar al de los datos
de una tarjeta de crédito robada en la Dark Web y en mercados negros.
Sin duda, aquellas
organizaciones sanitarias que realizan grandes inversiones en ciberseguridad
tienen mucho que ganar. Según un estudio llevado a cabo por el Ponemon Institute, una violación de datos sanitarios cuesta de media 380 dólares por
historial. Esta cifra es 2,5 veces superior a la media global de todos los
sectores. Sin embargo, la naturaleza misma de la sanidad hace que los efectos
de un hackeo puedan ir más allá de la pérdida financiera y la violación de la
privacidad. En el sector sanitario, la pérdida de datos puede llevar
directamente a una situación de vida o muerte. Si las recetas médicas o el
acceso a un equipo vital se ven comprometidos, los pacientes pueden sufrir graves
consecuencias. Otro estudio realizado por la University of Central Florida (UCF) ha demostrado que las violaciones de
datos aumentan la tasa de mortalidad en los hospitales a 30 días.
Hay que sumar que son muchas las
regulaciones de seguridad nacionales y comunitarias, como por ejemplo HIPAA,
HITECH y GDPR, que los diferentes player han de cumplir si no quieren hacer
frente a múltiples y cuantiosas sanciones.
Pero la pregunta real es, ¿estamos
preparados? ¿lo están los players y los pacientes? Y lo que es aún más
importante ¿son suficientes las medidas gubernamentales? Bajo mi punto de
vista, no.
Controlar los accesos privilegiados
a nuestro sistema sanitario es un componente clave para alcanzar esta
seguridad, cumplir con las regulaciones y prevenir violaciones de datos
masivas, pues
a pesar de que el presupuesto en ciberseguridad aumenta, el 80% de las amenazas
entran por este tipo de cuentas.
Sin embargo, el monitoreo y
auditoría de estos sistemas de acceso puede ser todo un desafío debido a la
rotación del personal y a las grandes cantidades de sistemas y datos
privilegiados que existen. El número de usuarios dentro de una organización
sanitaria, su variada naturaleza, y la alta cantidad de dispositivos médicos
dificultan su gestión. Cuanto más grande y complejo se vuelve un sistema, más
usuarios privilegiados se necesitan. Su falta de control aumenta los
movimientos que los hackers pueden
llevar a cabo tras acceder a una red, ampliando su capacidad de moverse
lateralmente y acceder a sistemas sensibles. Al contrario, implementar los
pasos correctos en la seguridad de los accesos privilegiados, mitiga
considerablemente la capacidad de un hacker para
escalar privilegios y acceder a información tan confidencial como pueden ser
los registros de pacientes.
Además de lo que cada
organización pueda hacer, y está ya haciendo, es necesaria la respuesta del
gobierno en términos de presupuestos de seguridad. El gobierno debe proporcionar una respuesta y fuertes
garantías a los ciudadanos sobre la protección de sus datos personales, y de
manera transparente. Es hora de tomar medidas concretas y ambiciosas para
cerrar las brechas de seguridad existentes en la protección de nuestros datos
de salud, pero también para anticiparnos a futuras crisis y así proteger mejor
a los ciudadanos.
No comments:
Post a Comment