La delicada información que manejan los sistemas sanitarios es objeto de deseo para la ciberdelicuencia. El ámbito sanitario es el que más ataques recibe, un 8% del total, solo por detrás de la Administración pública según datos de la Agencia Europea para la Ciberseguridad (ENISA). La apuesta por la digitalización va acompañada del desafío de mantener protegida toda la información que día a día se maneja y comparte en este sector. En ello trabajan los distintos ejecutivos autonómicos, como el de Castilla-La Mancha.
La Dirección de Salud Digital del Servicio de Salud de Castilla-La Mancha, que cuenta solo con un año de vida, debe hacer frente a la amenaza de los cada vez más frecuentes ciberataques e implantar múltiples soluciones y medidas que vayan desde la prevención a la minimización del impacto, pasando por rápidas respuestas.
El director general de Salud Digital, Cayetano Fuentes, explica a ConSalud.es cómo trabaja el Sescam este reto cuyo efecto puede llegar a ser especialmente devastador para “la atención médica, la privacidad de los pacientes y la confianza en los servicios” de un hospital o de cualquier centro de atención sanitaria.
¿Cómo está el Sescam securizando y protegiendo sus sistemas e infraestructuras?
Ante una situación de ciberataque, el objetivo es minimizar el impacto en la continuidad de la atención médica y proteger la seguridad de los datos sanitarios y de los pacientes, y para ello, es necesario contar con un plan de acción. Este plan de acción debe identificar las acciones a realizar en función del ataque y del impacto producido. El plan de acción tiene que prever todos los casos posibles, identificados en un análisis de riesgos realizado previamente, con el propósito de implantar las medidas adecuadas para su detección y respuesta, y en caso de materializarse el ataque, para la contención y erradicación de la amenaza, a la vez que se recuperan los servicios afectados.
Hemos podido consolidar y reducir el número de proveedores y productos y simplificar la gestión de la ciberseguridad
En esta área, entre otras, contamos con la ayuda de la compañía experta en ciberseguridad Fortinet. Su enfoque de la ciberseguridad ha sido clave para proteger nuestros activos. Gracias a su plataforma Security Fabric hemos podido consolidar y reducir el número de proveedores y productos, simplificar la gestión de la ciberseguridad y disponer de una visibilidad total de todo nuestro entorno.
¿Qué dispositivos concretos y sistemas de seguridad utiliza para prevenir ciberataques?
Al igual que en cualquier otro ámbito, en el Servicio de Salud de Castilla-La Mancha, se usan diversos dispositivos y sistemas de seguridad para prevenir ciberataques y proteger la infraestructura de tecnología de la información, algunos de los cuales son:
- Firewalls o cortafuegos para controlar el tráfico de red y proteger la red interna del hospital de amenazas externas: los firewall de próxima generación FortiGate (NGFW), equipados con la funcionalidad de IPS (Intrusion Prevention System) nos permiten vigilar y proteger el perímetro de la red así como las redes internas.
- Antivirus y Antimalware para detectar y eliminar software malicioso, como virus, troyanos y ransomware, que puedan intentar infectar los sistemas.
- Soluciones de seguridad de Correo Electrónico que ayudan a prevenir el phishing y el correo no deseado, protegiendo a los empleados de hacer clic en enlaces o abrir archivos adjuntos maliciosos.
Por otro lado, la protección de los datos de los pacientes es una prioridad en un ámbito tan sensible como el sanitario. Por ello, hemos desplegado estrictas políticas de acceso basado en roles con la herramienta FortiAuthenticator, la solución de gestión de acceso a identidades e inicio de sesión única de Fortinet. Gracias al soporte de FortiAuthenticator podemos confirmar la identidad de los usuarios, así garantizaremos que solo el personal autorizado pueda acceder a información sensible.
Además, como elemento esencial en la defensa proactiva contra las ciberamenazas y en la gestión efectiva de la seguridad en la organización, contamos con un Centro de Operaciones de Ciberseguridad (CiberSOC), que vamos a integrar con la red nacional de SOC del CCN-CERT, con el propósito de compartir información y experiencias en el ámbito de la ciberseguridad. El CiberSOC es un equipo dedicado a monitorizar, detectar, responder y mitigar ciberamenazas con el objetivo de proteger los activos esenciales y la información sensible que manejamos.
¿Qué protección se está dando a los datos que como los de la historia clínica están siendo digitalizados?
La protección de los datos de salud o los datos contenidos en la historia clínica se puede ver desde diversos puntos de vista, la seguridad física, en la que el Servicio de Salud como cualquier otra organización de este tipo, cuenta con planes específicos de backup y recovery para cada tipo de dato que gestiona y en la que se tienen en cuenta de manera especial la integridad de estas copias, y desde el punto de vista lógico o legal.
Desde este punto de vista, el RGPD por sus siglas en español (Reglamento General de Protección de Datos) es el instrumento legal comunitario que regula la protección de los datos personales de los ciudadanos que viven en la Unión Europea, y por tanto el documento que contiene aquellos aspectos que, en concreto, los Servicio de Salud deben cumplir como responsables de los datos.
El Servicio de Salud dispone de la figura del DPD y Comité Técnico de Seguridad de la Información, responsables de velar por el cumplimiento de los derechos de los pacientes
Entre las principales exigencias legales que deben cumplir los responsables de los datos para el cumplimiento de este Reglamento en el ámbito sanitario estarían, entre otras:
- La obligación de llevar, a nivel interno, un registro actualizado de los diferentes tratamientos de datos de los centros sanitarios.
- Consentimiento del paciente explícito y específico para cada tratamiento, libre e informado.
- Incorporación de un Delegado de Protección de Datos, con autonomía en el ejercicio de sus funciones y la formación adecuada para el desempeño de dichas funciones.
El Servicio de Salud dispone de la figura del DPD y Comité Técnico de Seguridad de la Información, responsables de velar por el cumplimiento de los derechos de los pacientes en cuanto a la protección de sus datos.
¿Qué estrategias de ciberseguridad se están llevando a cabo o trabajando desde los servicios y sistemas sanitarios?
Los entornos sanitarios están afrontando una transformación digital. Dispositivos médicos conectados (IoMT) que amplían considerablemente la superficie de ataque. Tecnologías de telemonitorización de los pacientes que incluyen sus propios smartphones para transmitir datos obtenidos de sensores y que permiten hacer seguimiento de pacientes crónicos. Los sistemas de seguridad tienen que contemplar estos nuevos elementos fuera del perímetro, centros asistenciales distribuidos por amplias zonas geográficas de diferentes tamaños, sistemas en nube conectados a IA’s que proporcionan nuevas soluciones asistenciales y diagnósticas. Los sistemas de ciberseguridad deben proporcionar una protección homogénea y evitar fisuras por falta de medios.
En este nuevo contexto se incrementa notablemente el riesgo y las amenazas. Los proveedores de servicios conectados a las organizaciones sanitarias suponen una puerta de entrada que en muchos casos se transforma en un eslabón débil de los sistemas de ciberseguridad y que son aprovechados por agentes maliciosos para alcanzar a las organizaciones sanitarias. Son los llamados ataques a la cadena de suministro.
Los entornos sanitarios por su criticidad, importancia y repercusión mediática se convierten en un objetivo de los ciberatacantes que buscan recompensas económicas para liberar los sistemas comprometidos. Ante ello nuestras estrategias se basan en la ciberdefensa en los entornos sanitarios se centraliza mayoritariamente en los llamados SOC, Centros de Operaciones de Seguridad. Estos son el núcleo de defensa y proporcionan las capacidades de detección y respuesta ante las ciberamenazas, contribuyendo así a la protección de la integridad, confidencialidad y disponibilidad de los activos de la Organización. Los SOC son los responsables, mediante personal altamente especializado de recibir alertas desde los sistemas de seguridad y un SIEM/SOAR (Security information and Event Management), de detectar y contener las actividades maliciosas.
Actualmente los sistemas basados en IA para detección de anomalías y coordinación de respuesta están jugando un papel fundamental en las estrategias de ciberdefensa
La estrategia se basa en crear una defensa en profundidad donde cada capa; desde la capa endpoint, perimetral y de inteligencia se combinan para reducir la superficie de ataque y proporcionar mecanismos de defensa y contención. Además, actualmente los sistemas basados en IA para detección de anomalías y coordinación de respuesta están jugando un papel fundamental en las estrategias de ciberdefensa.
¿Y qué soluciones, en general, se están estableciendo en esta materia?
En este nuevo entorno entran en juego diferentes soluciones para disponer de una postura de ciberseguridad adecuada para los entornos sanitarios. Por ejemplo, a través de los firewall de próxima generación FortiGate (NGFW) y su funcionalidad de IPS (Intrusion prevention system) vigilamos y protegemos el perímetro así como redes internas, con el FortiWeb (el firewall de aplicación Web de Fortinet) protegemos los entornos web.
Contamos también con la autenticación basada en doble factor que aseguren la identidad de los usuarios en los accesos a los sistemas con FortiAuthenticator. Y la protección de los endpoints mediante sistemas EDR/XDR (Endpoint detection and Response) que identifiquen y contengan los ataques que llegan directamente a los usuarios, frecuentemente por engaños desde el correo electrónico y movimientos laterales desde otros sistemas comprometidos.
Asimismo. tenemos vigilancia y protección de los sistemas IoT e IoMT mediante bastionado y sondas alojadas en los Firewalls de nueva generación y una capa de inteligencia que incluye servicios de monitorización más allá del perímetro y que permite anticipar futuros ataques mediante el escaneo continuo de las actividades maliciosas en el ciberespacio.