La digitalització de la Sanitat també té la seva creu: és una diana per a ‘hackers’

La pandèmia ha accelerat el procés de canvi al sector sanitari. Tant els centres mèdics i hospitals com la mateixa Administració Pública han agilitat i intensificat l’ús de solucions digitals que estan millorant àmbits com l’atenció al client, la relació amb els proveïdors o els tractaments i procediments mèdics. 

El desenvolupament de l’ús de les noves tecnologies afavoreix la millora de la qualitat i l’eficiència. No obstant, no hi ha cara sense la seva creu. Les institucions mèdiques són un focus d’atacs cibernètics, principalment per l’aparent facilitat amb què accedeixen als seus sistemes, però també pels resultats que obtenen amb els atacs. Segons resumeix Jorge Martínez, director regional d’OpenText per a Espanya i Portugal, els factors que «estan creant un paradís per als ‘hackers’» en la Sanitat tenen a veure, d’una banda, que maneja un «gran volum d’informació, incloent informació personal, mèdica, financera i, en ocasions, relacionada amb investigació clínica pionera». A això se suma que «la majoria dels sistemes existents funcionen amb tecnologia heretada, les xarxes de la qual estan mal gestionades». Finalment, cal afegir «el gran estrès a què s’enfronta el sector des de la irrupció de la pandèmia». 

«Per agreujar tot això, cal tenir en compte la mida i l’abast de la indústria sanitària, i el fet que el sector públic depèn de molts contractistes i externs, cosa que resulta en un enfocament de seguretat menys consistent», afegeix Martínez. Aquest abast es va poder veure a finals de maig a Irlanda, on el sistema de salut del país es va paralitzar per complet després d’un atac cibernètic de ‘ransonware’ (restringeix l’accés a determinades parts o arxius del sistema operatiu infectat i demana un rescat a canvi). Els ciberdelinqüents van poder accedir a les dades emmagatzemades i tots els programes del servei sanitari es van veure afectats, impedint que els pacients fossin atesos. 

El que ha passat a Irlanda no és una excepció. I tot i que la Sanitat ja era vulnerable anteriorment, les debilitats en àmbit de ciberseguretat s’han incrementat amb l’accelerada tecnològica i les tensions per l’augment d’activitat que han tingut lloc durant la pandèmia. A França, per exemple, han patit recentment una sèrie d’atacs importants en el seu sistema sanitari. I a Espanya, l’últim any el sector sanitari ha sigut un dels més afectats pels atacs cibernètics: més de 500 institucions van notificar incidents o reports de vulnerabilitat, cosa que suposa un repunt del 48% respecte a l’any anterior, segons l’Institut Nacional de Ciberseguretat d’Espanya (INCIBE).

Conseqüències

A més de la repercussió sobre els pacients, aquests atacs tenen conseqüències econòmiques derivades tant de la paralització del sistema com dels diners que normalment exigeixen els ‘hackers’ per posar fi a l’acció. «A més de les pèrdues econòmiques lligades a la parada d’activitat, es pot veure afectada l’atenció als pacients, fins i tot amb greus conseqüències per a les seves vides. Això fa que el centre sanitari hagi de prendre decisions ràpides i pot veure’s forçat a cedir al xantatge», explica Laura Prats, Cyber Risk Manager de Sham (Grup Relyens) a Espanya. D’acord amb aquesta experta, existeix fins i tot la possibilitat que obtinguin una «doble recompensa» a causa del «valor de la informació segrestada». «A més de bloquejar l’accés del centre sanitari a les dades, és habitual que els ciberdelinqüents robin la informació i amenacin de publicar-la o la venguin a la darknet», assegura. 

És per això que les organitzacions sanitàries estan portant a terme millores de ciberseguretat. Segons un estudi realitzat per MIT Technology Review al desembre, el 58% de les empreses i agents enquestats van indicar que les inversions per defensar-se dels atacs cibernètics eren una gran prioritat, i la millora de la seguretat dels endpoint era una inversió essencial. 

A Espanya s’estan fent els primers passos en l’àmbit públic, ara que el Consell de Seguretat Nacional ha inclòs la ciberseguretat com una prioritat de l’Estratègia de Seguretat Nacional –desenvolupada pel Ministeri d’Afers Estrangers i de Cooperació–. I al maig el Consell de Ministres va aprovar la posada en marxa d’un paquet de mesures urgents en matèria de ciberseguretat per millorar les capacitats de defensa virtual del sector públic.

«La ciberseguretat també està present com un factor lligat a la digitalització en tots els plans de recuperació després de la pandèmia i ens consta que l’Administració vol reforçar la col·laboració al sector per potenciar la capacitat de detecció i reacció davant els atacs cibernètics», detalla Prats, qui considera que tot i que s’han realitzat inversions en els últims anys, «encara queda treball per fer». 

En l’àmbit privat, l’«Informe de Ciberpreparació 2020» d’Hiscox revela que 7 de cada 10 empreses del sector tenen el propòsit d’elevar la despesa en ciberseguretat.  

Avançar-se al ‘hacker’

«El problema és el temps, ja que els ciberdelinqüents sempre són molt ràpids i van un pas per davant. Per tant, la resposta ha de ser el més contundent possible amb un pla específic per al sector», assenyala la Cyber Risk Manager de Sham, grup europeu especialista en gestió de riscos al sector salut i sociosanitari. 

Tenint en compte que el procés de digitalització afecta cada vegada més processos i dispositius mèdics, i que la millora de la connectivitat amb la implementació del 5G i l’ús de la internet de les coses (IoT) representen avenços clau en la forma en què els hospitals atenen els pacients, els experts veuen prioritari que el sector sanitari espanyol reforci la protecció i seguretat digital.

El primer pas, segons l’opinió de Laura Prats, és «ser conscients del risc que es té i com pot afectar el centre. I aquest ha de ser un convenciment de la direcció del centre, s’ha de tenir clar que digitalització va de la mà de ciberseguretat».

Des d’aquest punt de partida, les empreses s’han d’assegurar que compten amb polítiques i «procediments de seguretat clarament definits», indica el director regional d’OpenText per a Espanya i Portugal. Això suposa abordar l’educació dels empleats, «que constitueix la base de totes les estratègies eficaces de ciberresiliència i protecció de dades». També comporta comptar amb unes directrius de bones pràctiques per protegir la informació, «especialment quan s’emmagatzemen dades sensibles en la investigació», a més, de fer còpies de seguretat contínues per ser capaços de restablir ràpidament el servei operatiu.

Notícies relacionades

Un atac informàtic paralitza els serveis del SEPE a tot Espanya

¿Cal declarar els bizums a Hisenda en la renda 2021-2022?

Jorge Martínez recomana a més desplegar «controls de ciberseguretat multicapa per ajudar a detectar o bloquejar qualsevol acció que trenqui la primera línia de defensa: les persones de l’organització» i enumera els ‘bàsics’: tenir sempre actualitzats tant els sistemes operatius com els ‘softwares’ de seguretat o antivirus, a més fer servir serveis de detecció d’amenaces i anomalies. 

I des de Sham recorden que, tot i que de moment a Espanya no hi ha fons específics per a ciberseguretat en Sanitat, sí que és un dels eixos per als projectes dels Fons NextGenerationEU, on hi haurà partides específiques per a assumptes derivats de la ciberseguretat. «Esperem a veure com es concreta en els projectes de cada comunitat i en el sector en general, però és una oportunitat que no es pot desaprofitar», conclouen.