Ciberseguridad en la atención sanitaria

La digitalización de la sociedad, de la economía, de la industria y de los servicios conlleva una serie de retos complejos. Uno de ellos es la seguridad en los procesos de transferencia de datos.

Ciberseguridad en la atención sanitaria

Ciberseguridad en la atención sanitaria

Ratio: 0 / 5

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Estamos ante un tsunami desconocido, que es mutable y que puede dañar en profundidad los sistemas de información y perjudicar tanto a profesionales clínicos como a los pacientes.

La digitalización de la sociedad, de la economía, de la industria y de los servicios conlleva una serie de retos complejos. Uno de ellos es la seguridad en los procesos de transferencia de datos. Las organizaciones de salud, aseguradoras públicas y privadas, hospitales, centros de salud, etc. disponen de enormes bases de datos que son necesarios para realizar sus actividades de forma correcta, sea por la parte administrativa como la clínica.

En el curso de los últimos años, no sólo existen datos en las organizaciones del ecosistema de salud, sino que también el ciudadano a través de sus aplicaciones móviles y sus monitores está produciendo una cantidad ingente de datos. También la digitalización permite una rápida comunicación entre médico y enfermera con el paciente, que a menudo es relativa a diagnósticos, análisis clínicos , imágenes médicas, etc. 

La buena noticia es que la mayoría de organizaciones de la salud disponen de sistemas de información que se han desarrollado con grandes medidas de seguridad que se ponen al dia frecuentemente. La otra no tan buena es que lo que se denominan hackers, también van evolucionando y encontrando maneras de conseguir datos.

Hay una gran cantidad de datos que terminan en puntos finales, y una gran cantidad de datos que están muy distribuidos. También profesionales de la salud que tienen diferentes roles en la misma organización, y otros terceros y operan como independientes, como es el caso de laboratorios de análisis clínicos que todos a su vez pueden trabajar en múltiples instalaciones y dispositivos".

 

Ninguna de las amenazas o ataques supera la capacidad tecnologica de las organizaciones de la salud Los ciberataques contra la sanidad estadounidense han aumentado en un 125% en los últimos cinco años

 

De modo que en los temas de seguridad en la transmisión de datos, intervienen una serie de factores, uno de los cuales es el humano. En una gran parte de incidentes provocados por los hackers, hay también una parte de errores humanos. 

 

Ataques espectaculares 

En año 2016 hemos asistido a espectaculares ataques de hackers. Los denominados “Papeles de Panamá”, los correos privados de Hillary Clinton y del Comité Nacional Demócrata, supuestamente obra de hackers rusos, sin pruebas de que fuesen ordenados por el gobierno ruso, Yahoo anunció en setiembre que más de 500.000 cuentas habían sido hackeadas.

Mediante la incorporación de una sólida formación de los profesionales, el uso de la tecnología actualizada y la garantía de que un plan integral de recuperación de desastres está en su lugar puede ayudar a mantener las organizaciones de salud contra posibles ataques de “ransomware”.

 

Sin necesidad de alarma

Aunque las amenzas y los peligros son serios, no hay que alarmarse. Ninguna de las amenazas o ataques supera la capacidad tecnologica de las organizaciones de la salud o de sus professionales. Existen soluciones adecuadas que evitan estos incidentes. En la casi totalidad de casos, algunos de ellos espectaculares como el de Aslhey Madison (una web de citas) en la que los hackers cosiguieron datos de los 37 millones de usuarios que habian sido seducidos per el slogan: "La vida es corta. Ten una aventura amorosa". Curiosamente los hackers advirtieron a la compañía del robo de información y le dieron un periodo para que cambiara su política de borrado de datos. Cosa que no hicieron. Factor humano.

Los ciberataques contra la sanidad estadounidense han aumentado en un 125% en los últimos cinco años, afectan a uno de cada tres estadounidenses y se estima que cuestan anualmente 6.000 millones de dólares (5.300 millones de euros) al sistema de salud, según un reciente estudio del 'think tank' Ponemon Institute.

"La buena noticia es que se está invirtiendo en ciberseguridad. El problema es que los atacantes cibernéticos tienen más recursos y están burlando los enfoques existentes", explica Rick Kam, presidente de ID Experts y uno de los autores del estudio.

Los cibercriminales van evolucionando, con mejors técnicas, pero también evolucionan las medidas de protección disponibles. 

 

LOPD española

En España la Ley Órganica de Protección de Datos (LOPD) establece que los datos de carácter personal relacionados con nuestra salud deben estar especialmente protegidos con medidas de seguridad de nivel alto. El Reglamento de Protección de Datos 1720/2007 que desarrolla la ley fija que los sistemas de tratamiento y almacenamiento de datos han de someterse a una auditoría interna o externa al menos cada dos años, obliga al cifrado de los datos, detalla que se han de registrar los intentos de acceso y determina protocolos de autenticación de los usuarios.

Según una encuesta de la Asociación Europea de Ritmo Cardíaco a 43 centros sanitarios de 15 países europeos, la monitorización remota está ya disponible para el 22% de los pacientes con marcapasos y el 74% con desfibriladores automáticos implantables. Aunque los IMD que permiten el envío de información a distancia mediante comunicación inalámbrica mejoran el control del estado de los pacientes y facilitan la comunicación en caso de emergencia, incluir fuertes medidas de seguridad es esencial para evitar ciberataques.

Estamos ante un tsunami desconocido, que es mutable y que puede dañar en profundidad los sistemas de información y perjudicar tanto a profesionales clínicos como a los pacientes.

La peor alternativa es ignorar los retos de los cyberataques. Tampoco crear pánico. Se trata de utilizar las hearramientas adecuadas, de ser conscientes de la importancia de poner al dia nuestros softwares, de saber identificar las amenzas a tiempo y de evitar riesgos innecesarios. Los humanos desde siempe hemos que hacer frente a los peligros. Como especie evolutiva hemos encontrado en cada etapa la manera adecuada de sobrevivir. Al fin y al cabo nuestro organismo está lidiando diariamente con millones de microbios y bacterias, expuestos a accidentes de todo tipo. El mundo digital, quizás por su virtualidad nos puede confundir, siendo demasiado confiados, o al contrario siendo demasiado asustados. Como siempre la inteligencia humana sabe como hacer frente a nuestros retos. También en el mundo digital.

 

A tener en cuenta para evitar incidentes:

• Securizar las interacciones permitidas entre datos y usuario

• Proteger los datos en las múltiples etapas del ciclo de vida del ataque

• Prever y avanzarse a las amenazas diseñadas para superar las medidas de seguridad

• Usar y acualizar herramientas adecuadas de protección 

• En su caso, tener prevista una mitigación rápida y precisa

• Coordinar acciones a través de tecnologías de seguridad individuales

• Implementar protecciones que sean fácil de usar y de actualizar

 


 

MALWARE

La palabra malware es una abreviatura de "malicious software"(software malintencionado) y se refiere a todo programa informático diseñado para realizar acciones no deseadas o perjudiciales para el usuario legítimo de una computadora. 

El malware se presenta en una infinidad de formas. Los virus informáticos son tal vez los tipos de malware más conocidos. Se denominan así porque pueden propagarse creando copias de sí mismos. Los gusanos tienen propiedades similares. Muchos otros tipos de malware contienen nombres que describen lo que hacen, por ejemplo, el "spyware" transmite la información personal del usuario, como los números de tarjetas de crédito.

 

RANSOMWARE

La mayor parte de ataques se denominan “ransomware”. Ransomware ha sido la amenaza cibernética más extendida desde 2005. Según la información disponible públicamente, las infecciones de ransomware han superado en número a las infracciones de datos 7.694 a 6.013 en los últimos 11 años.

El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. Gneralmente es un delito que pretende que la víctima pague una cierta cantidad de dinero a los que han provocado el daño.

 

Advanced Persistent Threats

Los APTs son una clase de amenzas que combinan Malware avanzados con componentes Botnet para ejecutar deliberadamente ataques potencialmente devastadores. Pueden ser de tres tipos:

Avanzado: cuando atacan a herramientas informáticas que tienen relación entre ellas y los objetos que manienen en red 

Persistente: cuando el ataques se realiza permanentemente por períodos de varios años.

Amenaza: cuando está deliberdamente dirigido a una organización o individuo concreto al que se quiere amenazar o dañar

 

 Joan Cornet

Director del centro de competencias mHealth de Mobile World Capital Barcelona