Generando conciencia: Una mirada integral a la ciberseguridad en sector salud

Por: Ingeniera Mónica Moreno - Profesional de Sistemas

La transformación digital de las empresas vinculas al sector de la salud se encuentra en pleno crecimiento, tanto en el país como en el mundo entero, esto promovido en gran medida por la emergencia sanitaria mundial presentada por la COVID-19, y por los constantes avances tecnológicos tanto en la medicina como en las telecomunicaciones, y también en la industria 4.0 con la incorporación de sistemas IoT, y su variante medica IoMT (Internet of Medical Things). Pero ¿cómo afecta esta transformación a los pacientes y las dinámicas internas de operación en las empresas del sector salud?

Regularmente cuando hablamos de ciberdelincuentes o ciberataques pensamos en pérdidas de dinero en forma de transacciones electrónicas fraudulentas y desalojo de nuestras cuentas bancarias.

A nivel corporativo pensamos en el secuestro de las plataformas, y la solicitud de dinero por el rescate de los datos, y todos estos riesgos son equivalentes en el sector salud, con el agravante del riesgo de la exposición de información confidencial y sensible de los pacientes (desde datos generales, información de exámenes, historial médico hasta información genética, etc).

Lo anterior, en su estado más crítico, llega a poner en riesgo la vida de una persona, cuando estos ataques generan fallas en los sistemas de información, alteración de resultados médicos, hardware sensorios o dispositivo al que se encuentre conectado un paciente.

¿Qué tan reales son estos temores?, de acuerdo con lo presentado en el informe “The State of Ransomware in Healthcare 2022” por la empresa de software y hardware de seguridad Sophos, se destaca la cantidad de ransomware que afectaron a las empresas del sector salud en el 2021, los cuales crecieron casi el doble en comparación con el año 2020[1], además el mismo informe indica un aumento sustancial en la cantidad y complejidad de los ciberataques presentados2, lo que muestra que los cibercriminales están despertando un interés por la información que tienen los hospitales y empresas del sector salud.

ESET, compañía líder en detección de amenazas, resalta en su comunicado los efectos negativos en las dinámicas de operación de las entidades de salud presentadas con el brote de WannaCry en 2017, “el cual infectó a 700.000 equipos en 16 hospitales y centros de salud en Reino Unido”3, así como el ataque a Francia en el 2019 que “provocó un apagón informático en 120 hospitales del país, y si bien no tuvo consecuencias para los pacientes, obligó a los profesionales a tener que recurrir al lápiz y al papel”4.

Si bien, hasta el momento las estadísticas muestran un impacto relativamente bajo en afectaciones o complicaciones directas a la salud de los pacientes, estas si han tenido un efecto crítico en la operación de los sistemas de salud, además, es importante recalcar que existe un interés creciente en las información que contienen el sector salud, como lo plantea Arne Blystad Helme en el XIV Congreso Internacional de Hospitales y Clínicas en Colombia, donde abordó el tema del “mercado negro de la información, en el cual, un lote de datos de salud cuesta aproximadamente US$250”6, [1]lo que motiva a los atacantes a encaminar sus ciberataques a este sector.

Estos datos muestran claramente que el riesgo es creciente para las empresas del sector salud, pero no es para alarmarnos sino para ocuparnos, tanto a nivel corporativo con acciones efectivas y mejoras continuas de la seguridad de la información, como a nivel personal, generando conciencia del capital humano de las empresa, por que como lo plantea el mismo Helme, “el 95% de los problemas de ciberseguridad es causado por errores humanos” 7.

La recomendación es clara, debemos resaltar la importancia de las capacitaciones e implementaciones en pro del aprendizaje significativo, para la adopción de la seguridad de la información de forma natural, como parte de las dinámicas corporativas, porque el objetivo siempre será mitigar el factor humano como elemento de ciber vulnerabilidad. Por todo esto, en cada correo o enlaces que abrimos, información que compartimos o memorias que ingresamos a los equipos corporativos, debemos recordar siempre la responsabilidad que tenemos con la información y la salud de nuestros pacientes.

 

1 2 US Healthcare Cybersecurity Market, 2020 - Frost Radar Report

3 4 5 https://www.welivesecurity.com/la-es/2020/04/22/por-que-hospitales-blan…

6 7 Ataques cibernéticos a la salud: retos, amenazas y soluciones