La Ciberseguridad y el sector Sanitario
"Tres Hospitales de Barcelona afectados por un ciberataque"....¿les suena?. Esto ocurrió hace pocos días y tuvo sus consecuencias, quizás no tan graves como se esperaban, o al menos eso parece tras el sutil silencio después de sacar la noticia. Posteriormente esos datos fueron publicados en Internet, nóminas de empleados, informes médicos de pacientes, datos de pacientes...no creo que sea para pasar desapercibido el tema, y menos dejarlo en el olvido o dar información a cuenta gotas ya cuando la gente ni se acuerde del caso.
Los CIOs, CISO y demás responsables de la seguridad de la sanidad.
Aludo a mi experiencia con los responsables de los departamentos de IT de este sector, tanto público como privado, y vaya por delante que puede parecer una crítica, y lo és, pero me gustaría que se tomara como algo constructivo, porque de lo contrario seguiremos en el mismo paradigma.
Los responsables de los departamentos de IT de este sector, llámense #CIO, #CISO, #DirectoresIT o como lo definan en los diferentes centros, han de ser conscientes de donde trabajan, de que responsabilidad tienen con respecto a los datos que gestiona este sector y a veces me da la sensación de que están más por implantar un cambio de sistema (como podría ser pasar a #SAP) o crear un nuevo software de gestión interna que de la propia seguridad de los datos.
Cuando me he reunido con alguno de estos responsables y les he preguntado ¿cómo tenéis la seguridad? la respuesta ha sido de lo más sorprendente, desde "bien, lo tenemos cubierto" (típica respuesta para sacarte de encima) hasta "ahora no estamos por esa labor, tenemos otros proyectos que acometer más prioritarios"....¿MÁS PRIORITARIOS?.... ¿más que la seguridad de los datos de los pacientes o incluso del propio personal del #hospital o #clínica? Me parece sorprendente y denota que no saben en que sector se encuentran.
Voy a poner un ejemplo, y lo pongo con conocimiento de causa. Imaginemos una clínica de #embriología o lo que es lo mismo de #reproducciónasistida, en este tipo de clínicas los datos de los #pacientes son super delicados, se tratan desde temas genéticos hasta datos de donantes, y sobre todo la intimidad que requiere este tipo de tratamientos. Imaginemos que sufre un ataque de #ransomware donde los #cibercriminales solicitan un pago a cambio de la clave de desbloqueo de este ataque y la recuperación de los datos "secuestrados". La clínica tiene dos opciones, no pagar e intentar recuperar los datos, siempre y cuando tengan un plan de recuperación de datos establecido y una copia de seguridad fiable con un modelo de #backup que garantice un mínimo RPO (Recovery Point Objective) el volumen de datos en riesgo de pérdida que la organización considera tolerable, es decir, cuantos datos está dispuesta la empresa a perder hasta la introducción de la última copia de seguridad en el sistema y el máximo RTO (Recovery time objective) el tiempo durante el cual una organización puede tolerar la falta de funcionamiento de sus aplicaciones y la caída de nivel de servicio asociadas, sin afectar a la continuidad del negocio posible, con lo que si no hay un buen DRP (Disaster Recovery Plan), un DRS (Disaster Recovery System) y un BCP (Business Continuity Plan) las consecuencias serán nefastas. O tienen la opción de pagar para conseguir esa contraseña con lo que entran en el juego de los ciberdelincuentes y estarán atrapados por siempre, ya que estos pueden dar una parte de la información extraída y dejar otras partes para solicitar otro "rescate" y así entrar en un bucle donde al final la #clinica tendrá que optar por perder ciertos datos y asumir sus consecuencias. si no quiere "arruinarse" a base de pagos desorbitados.
En este caso, ficticio y con esperanzas de que nunca ocurra, si los sistemas de protección fueran lo adecuados, estuvieran apoyados por un #SOC (Security Operation Center) y se hubiera creado un sistema de seguridad robusto apoyado y gestionado por empresas especializadas en el sector de la #ciberseguridad, se podría evitar cualquier incidente de este estilo.
Los ciberataques son como bacterias o virus que atacan a un organismo vivo y precisan de ayuda externa para poder ser repelidos
Recomendado por LinkedIn
La casuística de la sanidad
Pero nos encontramos en un escenario muy delicado. Por un lado está la #sanidadpublica y por otro la #sanidadprivada. En la primera nos encontramos con los típicos problemas de presupuestos, ya conocemos lo que el Estado invierte en sanidad, aunque sí en tecnología pese a todo, el funcionamiento de los presupuestos a veces es algo ambiguo, si te dan presupuestos en sanidad ya va incluida la partida dedicada a la tecnología o quizás hay una partida de tecnología dedicada a la sanidad (que si no existe a partir de estos últimos incidentes seguro que existirá), con lo que los responsables de los departamentos de #IT o #tecnología se encuentran con las manos atadas y dedican los recursos a lo que consideran más prioritario, que hasta hace poco no era la protección exhaustiva de los datos y la ciberseguridad. Realmente hacen lo que pueden.
Y por otro lado nos encontramos en el segundo caso, la sanidad privada. En este caso como en cualquier empresa los responsables de IT o tecnología van a anotarse méritos profesionales, realizando cambios sustanciales en los sistemas de información, aplicando nuevas políticas de procesos, implantando un nuevo #CRM o #aplicación específica del sector, adquiriendo algún que otro firewall para justificar parte de esa protección de los datos de la clínica u hospital, en definitiva proyectos que lo único que aportan son inconvenientes a los trabajadores, retrasos en los proceso e incluso pérdida de datos importantes. Desde hace no mucho tiempo, se ha incorporado la figura del #CISO (Chief Information Security Officer) que es la persona responsable de la ciberseguridad de la empresa, esta persona es la que se encarga de proteger la información ante posibles ciberataques y fugas de datos, pero lamentablemente en el sector sanidad no está implantada esta figura así como en otras grandes empresas, la decisión de la seguridad recae en los CIOs o estos delegan a alguien de su equipo que por lo general no tienen los conocimientos ni la experiencia para abarcar dicha responsabilidad.
La conclusión para el sector sanidad
Para concluir este artículo, simplemente dar un toque de atención. Existen empresas especializadas en ciberseguridad, con personal altamente cualificado que pueden ayudar al sector a mejorar toda su seguridad. Entiendo que cada día es posible que los CIOs, CISOs o responsables de IT o Tecnología reciban mil llamadas (que no creo que sean tantas) de Account Managers de empresas ofreciendo sus servicios, no las descarten, escuchen lo que les puede aportar, inviertan un tiempo de su jornada a bajarse del pedestal que algunos parecen haber adquirido para ser conscientes de la realidad del siglo XXI, que los atracos, los robos, los chantajes y toda la maldad se está ciber adaptando y que cada día más estos #ciberdelincuentes se vuelven más "profesionales" de manera que cada vez el sistema que utilizan es más complejo. Los fabricantes de software de ciberseguridad como Sophos o CrowdStrike ya lo dicen, "nunca se está protegido al 100%, cada día los modelos de ataques y los ciberatacantes van modificando sus estrategias, sacando nuevas formas de ataques y has de estar constantemente cada día, 24 horas los 365 días realizando análisis constantes para conseguir frenar los nuevos ataques que han de venir". Con más motivo hay que estar a la máxima ultima en materia de seguridad y eso solo se consigue con un equipo de desarrollo de planes de ciberseguridad profesional, conocimiento de la red y contratando los servicios que ofrecen estas empresas.
Para hacer un símil sanitario, imaginemos que los ciberdelincuentes son como malas bacterias (o virus) que atacan a un organismo, este se ha de defender pero necesita de ayuda externa (personal cualificado, análisis, vacunas, medicamentos, tratamientos, etc) para poder "derrotar" a dichas bacterias, pues lo mismo en la ciberseguridad.
Lo sé, sé que no es tan sencillo en algunos casos, pero hay que ser consecuentes con los datos que estamos manejando, la delicadeza de estos y las consecuencias que producirían que cayeran en manos de ciberdelincuentes. Hay que realizar un estudio exhaustivo del sector donde nos encontramos, y en este caso en uno de los más delicados, el de la sanidad. Una modificación de datos, una sustracción de estos, una publicación en Internet, cualquier ataque o manipulación de estos, en el sector sanitario, puede provocar un caos considerable, unos daños irreparables y unas consecuencias nefastas. Seamos conscientes de ello y actuemos en consecuencia.
Soy consciente que este artículo puede levantar mucha "polseguera", como decimos en Catalunya, pero simplemente pretendo dar un toque de atención para poder remedio a unas consecuencias que pueden ser muy perjudiciales para mucha gente. Llevo varios años tratando "conectar" con este sector y siempre me he encontrado con muros y trabas, incluso asistiendo a reuniones a las que después no se han presentado. Creo que con las noticias y lo acontecido estos últimos días, es momento para ponerse las pilas y manos a la obra en el sector sanidad.
Félix Carnero (Specialty Account Manager Cibersecurity & IT )
(Algunas de las fotos de este artículo han sido extraídas de Internet. Los derechos son de cada autor. Gracias por la aportación)