El Sistema Europeo de Ciberseguridad sobre Criterios Comunes (EUCC) fue adoptado por la Comisión Europea en consonancia con la Ley de Ciberseguridad de la UE. Este es el primer sistema de certificación de ciberseguridad a escala de la Unión Europea que proporciona un reconocimiento formal de que los productos TIC protegerán tanto el hardware como el software que los ciudadanos utilizan a diario. “En la UE se ha tomado muy en serio la ciberseguridad y muestra de ello es la gran actividad regulatoria y normativa que encontramos en este momento”, explica en una entrevista para ConSalud.es, Laura Prats Abadía, Cyber Risk Manager de Relyens, grupo mutualista europeo especializado en seguros y gestión de riesgos.
La industria sanitaria es un sector especialmente sensible en temas de ciberseguridad. La alta disponibilidad necesaria de los servicios, la calidad de la operación y la sensibilidad de los datos manejados, lo convierten en un objetivo para los ciberataques. “Esto se debe a que la evolución de la digitalización ha sido más rápida que el ciclo de actualización de los equipos y tampoco ha habido una normativa que lo exigiera”, declara la experta.
Por ello, se ha convertido en un problema de primer nivel, ya que, actualmente, muchos de estos equipos conectados no incluyen seriamente la ciberseguridad en su diseño. Y este es precisamente el foco del EUCC: reforzar la ciberseguridad desde la concepción de los productos TIC y la actualización del parque de equipos de electromedicina. “El sector sanitario se verá afectado y, en mi opinión, se verá muy beneficiado”, afirma Prats Abadia. “La ciberseguridad es clave para mantener la seguridad física de ciudadanos en caso de un ciberincidente en un hospital”, añade la Cyber Risk Manager de Relyens.
“La ciberseguridad es clave para mantener la seguridad física de ciudadanos en caso de un ciberincidente en un hospital”
No obstante, la ciberseguridad no se basa en una sola acción, por muy alto que sea su impacto. Es esencial implementar una estrategia de evaluación de riesgos para identificar qué otras acciones complementarán la defensa contra los vectores de ataque identificados. Por ejemplo, es crucial proporcionar una formación adecuada a los equipos de trabajo para que comprendan cómo utilizar las tecnologías de manera segura, establecer planes para la detección y respuesta a incidentes, disponer de sistemas de respaldo supervisados y probados, entre otros aspectos.
“No debemos olvidar que la ciberseguridad debe formar parte de la estrategia de gestión de las organizaciones sanitarias, alineada con las necesidades del servicio. Solo de esta forma se establecerán estrategias adecuadas, se coordinarán las responsabilidades y se asignarán los recursos necesarios para implementar todas las medidas necesarias”, añade Prats Abadía.
Estas evaluaciones de la seguridad en la red sigue el modelo de "Common Criteria", un marco de certificación internacionalmente reconocido que evalúa el cumplimiento de las especificaciones de seguridad establecidas en un contexto de uso de los productos. Todo este proceso está supervisado por las entidades y organismos de certificación, encargados de velar por la calidad de las evaluaciones, el buen uso de los certificados y el mantenimiento de los requisitos declarados para mantener el certificado en vigor.
“Estos requisitos los debe cumplir el fabricante de los productos conectados a las redes, no directamente las compañías farmacéuticas o sanitarias, a no ser que desarrollen este tipo de dispositivos como parte de sus actividades”, explica la experta en ciberseguridad. “En las empresas recae la responsabilidad de exigir al mercado los mayores estándares e integrar la ciberseguridad en sus requisitos de compra para cualquier componente del sistema de información”, matiza la especialista.
“Estos requisitos los debe cumplir el fabricante de los productos conectados a las redes, no directamente las compañías farmacéuticas o sanitarias"
Para abordar esta nueva normativa, la colaboración de todos los agentes es fundamental para garantizar una implementación efectiva y coherente de las medidas de ciberseguridad en toda la Unión Europea. Concretamente, el EUCC prevé que todas las entidades europeas implicadas en la certificación de productos colaboren en el desarrollo del sistema de certificación, compartiendo información sobre los requisitos y mejores prácticas de ciberseguridad, armonizando normas y procedimientos y coordinando el mantenimiento de los certificados a nivel europeo.
En este sentido, la experta explica que, aunque el EUCC no exige colaboración en estos sectores, establecer un desarrollo normativo y de prácticas seguras debe animar al sector a colaborar en este proceso.
El objetivo final de implementar este nuevo sistema es la consecución de una menor frecuencia e impacto de los incidentes en los sistemas. Recordemos que los ciberataques repercuten en la paralización del servicio que a su vez afecta a la salud de los ciudadanos, tanto por falta de suministro de medicamentos como imposibilidad de presentar los servicios médicos.
Sin embargo, estos ataques también afectan a la reputación de las organizaciones y en la confianza de los pacientes debido a la sensibilidad de los datos sanitarios, ya que su divulgación afecta a la privacidad de los ciudadanos. Además, puede conllevar de posibles sanciones por las autoridades o por demandas de responsabilidad civil. “El impacto en la reputación y en la confianza de los ciudadanos es un valor difícil de medir, pero sin duda es enorme”, concluye la experta.