¿Es nuestro sistema de salud (ciber)seguro?
Aumenta la esperanza de vida en Europa y la población envejece. La proporción de personas ancianas en nuestros países se está incrementando a la vez que el número de ciudadanos con enfermedades crónicas (cerca del 40% de la población de más de 15 años).
Estos factores hacen crecer los costes en materia de salud en Europa. La sanidad es, en la mayoría de los países europeos, un componente en aumento del PIB, en algunos casos todavía una parte creciente del gasto público, representando entre el 4% y el 12% del PIB de los Estados miembros de la UE.
Es crucial la búsqueda de formas más eficientes de prestar una buena asistencia médica a un menor coste y, para ello, pueden servir de gran ayuda la aplicación de tecnologías de información y comunicación y una explotación ética de los datos. En otras palabras, la salud en línea (eHealth) sería sin duda una de las mejores iniciativas para mantener hoy servicios sanitarios de calidad de una manera económicamente sostenible. En consecuencia, se espera que aumente de manera significativa en los próximos años la adopción de soluciones y tecnologías digitales en el campo de la sanidad.
Sin embargo, también crecen las ciberamenazas. Los ataques en medios digitales tienen como objeto principalmente el robo de información financiera y de información relacionada con medios de pago y cuentas bancarias utilizando dispositivos robados con datos no cifrados, así como el acceso fraudulento a datos mediante la suplantación de identidades, o phishing, y el envío de spam por correo electrónico. Los avances tecnológicos han supuesto también la sofisticación de las técnicas empleadas por los ciberdelincuentes, con infiltraciones por medio de inyecciones SQL, amenazas avanzadas persistentes (APT), ataques de día cero y malware avanzado. El sector de la salud en línea no es ninguna excepción en esta tendencia creciente de ciberdelincuencia y ya ha sufrido las consecuencias de algunos ataques de gran impacto mediático.
Otro aspecto crucial que se ha de tener en cuenta aquí es el de los riesgos para la seguridad de la vida de los pacientes asociados a la manipulación de equipos sanitarios físicos o digitales. Cada vez es más frecuente que productos sanitarios cuya seguridad es vital para los pacientes funcionen con sistemas operativos estándar, en los que apenas se corrigen las vulnerabilidades y a menudo interconectados a la redes del hospital. También, cuando esos productos son dispositivos personales, son actualizables a menudo mediante el sistema OTA (Over the Air), lo que los hace susceptibles de manipulación y hackeo, con el consiguiente riesgo para la salud, e incluso la vida, del paciente. Es, por tanto, de suma importancia la aplicación de medidas de ciberseguridad no solo durante el diseño y el desarrollo de estos dispositivos, sino también durante su utilización.
El escenario que acabamos de describir pone de manifiesto la necesidad de diseñar e implantar soluciones de ciberseguridad específicas para el sector sanitario que den respuesta a sus necesidades presentes y futuras.
Teniendo en cuenta lo expuesto hasta aquí, estas son, en resumen, las principales necesidades del sector de los servicios sanitarios digitales:
- Resiliencia de los servicios sanitarios digitales frente a los ciberataques. Garantizar la disponibilidad del sistema y la continuidad de la actividad en caso de desastre es fundamental para una prestación ininterrumpida y segura de servicios sanitarios electrónicos. El acceso a información médica crítica por parte de profesionales autorizados, así como un control seguro del acceso por parte de los usuarios finales deben estar garantizados para el mantenimiento de los mejores servicios sanitarios.
- Supervisión en tiempo real de la seguridad y la confiabilidad.
- Dado que el factor humano es una de las principales amenazas a la seguridad en el ámbito de la salud en línea, es primordial que el personal tenga conocimiento de las amenazas básicas a la ciberseguridad a las que está expuesto.
- La investigación médica puede beneficiarse de manera significativa del acceso a un gran número de datos procedentes no solo de ensayos clínicos, sino, también, del seguimiento de los parámetros reales de salud de pacientes y de su correlación con características medioambientales, datos de población, ubicación, etc. La digitalización de los servicios sanitarios puede proporcionar estos datos en un volumen y de una calidad sin precedentes, aunque también existe la imperiosa necesidad de proteger la seguridad de esos datos y su integridad, además de garantizar que los interesados puedan controlar el uso de sus datos. Una condición previa esencial es la transparencia en el uso de datos.
- Subsanar la falta de armonización en los servicios y los Registros Electrónicos de Salud (EHR) en Europa.
- Incluir seguridad y privacidad por diseño en el desarrollo y la mejora de los servicios hospitalarios y, aún más importante, de los productos sanitarios.
- En el lanzamiento de nuevos dispositivos o sistemas, deben planificarse e implantarse los aspectos de ciberseguridad desde el principio, es decir, que deben definirse con antelación los procesos de contratación, externalización y mantenimiento de nuevos sistemas.
GMV preside el Subgrupo de Trabajo 3.6 en el ámbito sanitario en ECSO (European CyberSecurity Organization), en busca de soluciones público-privadas a estos retos.
Autor: Julio Vivero Millor