Los ciberataques en el sector sanitario son cada vez más frecuentes. Ante esta situación, Relyens ha impulsado un estudio para evaluar el nivel de madurez de las instituciones sanitarias con respecto a este riesgo cibernético. De este análisis se desprende que hay mayor sensibilización. De hecho, el 60% de los centros sanitarios cuenta con un presupuesto específico para ciberseguridad.
Así lo ha puesto de manifiesto Laura Prats Abadía, cyber risk manager de Relyens España, durante el debate de presentación del estudio organizado por EL ESPAÑOL y Relyens en colaboración con la Sociedad Española de Informática de la Salud (SEIS) y la Sociedad Española de Electromedicina e Ingeniería Clínica (SEEIC).
"La sensibilización en los centros sanitarios ha aumentado mucho desde la pandemia, porque se incrementaron los ataques. Esto se refleja también en los presupuestos", ha detallado. Sin embargo, Prats considera que falta mejorar la coordinación. "Sólo un 51% de los responsables de electromedicina consideran que están involucrados en los comités de ciberseguridad. Eso tiene que elevarse".
"Una de las cosas que se desprende del estudio es la necesidad de colaboración y coordinación entre los diferentes implicados en ciberseguridad. Queda patente que necesitamos más colaboración e implicación, además de definir los roles", ha añadido, por su parte, José Ángel Hernández Armas, jefe de Ingeniería Telecomunicaciones y Telemática en el Hospital Universitario de Canarias y tesorero de SEEIC.
En esta línea, Miguel Ángel Benito Tovar, subdirector de Transformación, Innovación y Salud Digital del Servei de Salut de les Illes Balears y representante de SEIS, ha señalado que "la colaboración y los protocolos claros son fundamentales. Hay que saber cuáles son los roles. Es fundamental que eso esté controlado y contar con personal especializado y formado".
Estudio europeo
El informe impulsado por Relyens se ha realizado a nivel europeo. Los países analizados "tienen las mismas preocupaciones y medidas de cara al futuro", ha explicado la portavoz de la compañía. En el caso español, "hay más preocupación por la certificación de productos y más demanda de desarrollo normativo".
Por su parte, Benito Tovar ha detallado que la situación de España "es similar a la de otros países europeos". Al mismo tiempo, Hernández Armas ha destacado que en nuestro país "faltan métricas para tener una ciberseguridad proactiva".
Otra de las diferencias constatadas en el análisis y que ha destacado Prats durante la presentación del estudio es la contratación de seguros 'ciber'. En España, "sólo el 10% de los centros sanitarios dicen tener contratado este tipo de productos. La penetración es baja. En Alemania, por ejemplo, está alrededor del 30%".
Unos seguros que "no sólo hacen una cobertura de los daños, sino que también acompañamos con equipos expertos de respuestas a incidentes", ha explicado Prats. Un acompañamiento que es bien recibido por parte de los hospitales. "Necesitamos esa parte", han señalado los dos portavoces de las sociedades.
El impacto de los ciberataques
La incidencia de los ciberataques en el sector sanitario es alta. Y su impacto es también importante, porque puede parar el servicio sanitario. Esto conlleva "pérdidas económicas por los gastos que implican la detección del incidente, recuperación de los sistemas y de los datos. También hay un coste reputacional", ha dicho Prats. En este sentido, Benito Tovar ha resaltado "la pérdida de confianza de los ciudadanos".
Por su parte, el representante de SEEIC ha señalado que "un ciberataque a un hospital afectará a la prestación del servicio porque todo está interconectado. Cualquier ataque genera un problema".
¿Por qué se está dando un incremento de los ataques? "Por el valor del dato y porque se ha convertido en un negocio muy rentable", ha detallado la portavoz de Relyens. "Un hospital tiene que trabajar 24/7 y eso hace que sea un sector sensible a la hora de un chantaje. Si se para el servicio, eso afecta a los pacientes. A lo que se suma que los datos personales se venden muy bien".
Este alza de los ataques precisa de medidas de prevención. Y una de estas es analizar los riesgos. Un análisis que, además, "debe ser periódico para valorar si se mantienen los mismos niveles o hay que adaptar las medidas", ha explicado Prats.
Por su parte, Benito Tovar ha señalado que "el eslabón más débil somos nosotros, pero también somos la primera medida de seguridad. Por eso, hay que capacitar a los profesionales y entrenarlos ante posibles ciberataques".
"La financiación también es un elemento fundamental para implementar las medidas necesarias", ha añadido el profesional de Baleares. "El estudio refleja la necesidad de tener una estrategia sectorial de ciberseguridad. Se ha trabajado durante estos años en tener una financiación que ha llegado fruto de los fondos europeos". Una inversión que debe continuar en el tiempo, han advertido los expertos.
Del mismo modo, han insistido en la necesidad de colaborar y coordinar todos los estamentos del hospital. Sin dejar de lado a la sanidad privada y a los proveedores. "Debemos asegurar la cadena de suministro. El área de ataque se abre cada vez más y hay que garantizar la seguridad del paciente", ha indicado el tesorero de SEEIC.
Para cerrar el debate, los ponentes han analizado los retos que vienen: la incorporación de las nuevas tecnologías, poniendo el foco especialmente en la inteligencia artificial. "Hay un contexto nuevo a gestionar", ha señalado Prats.
"La IA es un reto que viene. Hemos cubierto la parte más estándar y ahora hay que ir a dispositivos que puedan tener vulnerabilidades. Se abre un campo difícil de cubrir porque los ciberdelincuentes también invierten en IA", ha advertido Hernández Armas.