És el nostre sistema de salut (ciber)segur?
Augmenta l’esperança de vida a Europa i la població envelleix. La proporció de gent gran als nostres països s’està incrementant, alhora que el nombre de ciutadans amb malalties cròniques (prop del 40 % de la població de més de 15 anys).
Aquests factors fan créixer els costos en matèria de salut a Europa. La sanitat és, en la majoria dels països europeus, un component en augment del PIB, en alguns casos encara és una part creixent de la despesa pública, i representa entre el 4 % i el 12 % del PIB dels estats membres de la UE.
És crucial la cerca de maneres més eficients de prestar una bona assistència mèdica a un cost menor i, per a això, poden servir de gran ajuda l’aplicació de tecnologies d’informació i comunicació i una explotació ètica de les dades. Dit d'una altra manera, la salut en línia (eHealth) seria sens dubte una de les millors iniciatives per mantenir avui serveis sanitaris de qualitat d’una manera econòmicament sostenible. Per tant, s’espera que en els pròxims anys augmenti de manera significativa l’adopció de solucions i tecnologies digitals en el camp de la sanitat.
Tanmateix, també creixen les ciberamenaces. Els atacs en mitjans digitals tenen com a objecte principalment el robatori d’informació financera i d’informació relacionada amb mitjans de pagament i comptes bancaris utilitzant dispositius robats amb dades no xifrades, així com l’accés fraudulent a dades mitjançant la suplantació d’identitats, o phishing, i l’enviament de correu brossa per correu electrònic. Els avenços tecnològics han comportat també la sofisticació de les tècniques que fan servir els ciberdelinqüents, amb infiltracions per mitjà d’injeccions SQL, amenaces avançades persistents (APT), atacs de dia zero i programari maliciós avançat. El sector de la salut en línia no és cap excepció en aquesta tendència creixent de ciberdelinqüència i ja ha patit les conseqüències d’alguns atacs de gran impacte mediàtic.
Un altre aspecte crucial que cal tenir en compte aquí és el dels riscos per a la seguretat de la vida dels pacients associats a la manipulació d’equips sanitaris físics o digitals. Cada vegada és més freqüent que productes sanitaris la seguretat dels quals és vital per als pacients funcionin amb sistemes operatius estàndard, en els quals amb prou feines es corregeixen les vulnerabilitats i sovint estan interconnectats a les xarxes de l’hospital. També, quan aquests productes són dispositius personals, sovint són actualitzables mitjançant el sistema OTA (Over the Air), cosa que els fa susceptibles de manipulació i hacking, amb el risc consegüent per a la salut, i fins i tot la vida, del pacient. És, per tant, de summa importància l’aplicació de mesures de ciberseguretat no només durant el disseny i el desenvolupament d’aquests dispositius, sinó també durant la seva utilització.
L’escenari que acabem de descriure posa de manifest la necessitat de dissenyar i implantar solucions de ciberseguretat específiques per al sector sanitari que donin resposta a les seves necessitats presents i futures.
Tenint en compte el que s'ha exposat fins aquí, aquestes són, en resum, les principals necessitats del sector dels serveis sanitaris digitals:
- Resiliència dels serveis sanitaris digitals davant els atacs cibernètics. Garantir la disponibilitat del sistema i la continuïtat de l’activitat en cas de desastre és fonamental per a una prestació ininterrompuda i segura de serveis sanitaris electrònics. L’accés a informació mèdica crítica per part de professionals autoritzats, així com un control segur de l’accés per part dels usuaris finals han d’estar garantits per al manteniment dels millors serveis sanitaris.
- Supervisió en temps real de la seguretat i la confiabilitat.
- Atès que el factor humà és una de les principals amenaces a la seguretat en l’àmbit de la salut en línia, és primordial que el personal tingui coneixement de les amenaces bàsiques a la ciberseguretat a què està exposat.
- La investigació mèdica pot beneficiar-se de manera significativa de l’accés a un gran nombre de dades procedents no només d’assajos clínics, sinó també del seguiment dels paràmetres reals de salut de pacients i de la seva correlació amb característiques mediambientals, dades de població, ubicació, etc. La digitalització dels serveis sanitaris pot proporcionar aquestes dades en un volum i d’una qualitat sense precedents, tot i que també hi ha la imperiosa necessitat de protegir la seguretat d’aquestes dades i la seva integritat, a més de garantir que els interessats puguin controlar l’ús de les seves dades. Una condició prèvia essencial és la transparència en l’ús de dades.
- Solucionar la manca d’harmonització en els serveis i els registres electrònics de salut (EHR) a Europa.
- Incloure seguretat i privacitat per disseny en el desenvolupament i la millora dels serveis hospitalaris i, encara més important, dels productes sanitaris.
- En el llançament de nous dispositius o sistemes, cal planificar i implantar els aspectes de ciberseguretat des del principi, és a dir, que s’han de definir amb temps els processos de contractació, externalització i manteniment de nous sistemes.
GMV presideix el Subgrup de Treball 3.6 en l’àmbit sanitari a ECSO (European CyberSecurity Organization), a la recerca de solucions publicoprivades a aquests reptes.
Autor: Julio Vivero Millor