El sector sanitario es una de las víctimas favoritas para los ciberdelincuentes, entre otras razones, esto se debe a que cuentan con una información muy delicada en sistemas informáticos especialmente desactualizados y vulnerables. Por ello, desde la Comisión Europea (CE) se han puesto manos a la obra y han presentado hoy un plan de acción de la UE destinado a reforzar la ciberseguridad de todos los cetros que se dediquen a prestar atención sanitaria.
Este plan forma parte de las prioridades que anunció la presidenta Úrsula Von der Leyen para los 100 primeros días del nuevo mandato. Según explican desde la CE, se trata de un paso importante para proteger al sector sanitario, ya que al mejorar la detección de amenazas, la preparación y las capacidades de respuesta de los hospitales, “se creará un entorno más seguro no solo para los pacientes, sino también para los profesionales de la salud”, indica la CE.
Este plan de acción de la UE forma parte de las prioridades que anunció la presidenta Úrsula Von der Leyen para los 100 primeros días del nuevo mandato
Esta idea del organismo europeo surge en un momento claramente influenciado por la revolución a la asistencia sanitaria, que supone una mejora clara en los servicios que ofrecen a los pacientes, como los historiales médicos electrónicos, la telemedicina y los diagnósticos impulsados por la IA. Sin embargo, no todo podía ser bueno, estas herramientas digitales exponen el sector a los ciberdelincuentes que pueden provocar retrasos en los procedimientos médicos, crear bloqueos en las salas de emergencia e interrumpir los servicios vitales que, en caso grave, podrían tener incluso un impacto directo en la vida de los europeos.
Según los datos de la Agencia de la UE para la Ciberseguridad (ENISA), el sector sanitario es el que más ataques recibe solo por detrás de las Administraciones Públicas. Más concretamente, suponen el 8% de todos los ciberataques, superando a otros sectores que de primeras parecen más llamativos, como la banca. Esta tendencia resalta la existencia de dos problemas principales, la falta de profesionales cualificados en este ámbito y la escasez de actualizaciones que monitorizan la actividad de las estructuras tecnológicas del centro.
Precisamente, el plan que proponen desde la CE designa a ENISA como responsable para establecer un Centro paneuropeo de apoyo a la ciberseguridad para hospitales y proveedores de asistencia sanitaria, proporcionándoles orientación, herramientas, servicios y formación a medida. Este nuevo organismo será el encargado de trasladar el plan de acción de ciberseguridad, que se centra en cuatro prioridades: mejora de la prevención; progreso en la detección de amenazas; respuesta a los ciberataques; y disuasión para proteger los sistemas sanitarios europeos.
El sector sanitario es el que más ataques recibe solo por detrás de las Administraciones Públicas. Suponen el 8% de todos los ciberataques, superando a otros sectores que de primeras parecen más llamativos, como la banca
Según explican desde la CE, el plan ayuda a desarrollar las capacidades del sector sanitario para prevenir incidentes de ciberseguridad a través de medidas de preparación, como pueden ser consejos sobre la aplicación de estas prácticas o asistencia financiera a los pequeños hospitales que lo necesiten para protegerse. En cuanto a la mejora de la detección de estos problemas, El Centro de Apoyo a la Ciberseguridad para hospitales y proveedores de asistencia sanitaria desarrollará un servicio de alerta temprana a escala de la UE, que ofrecerá alertas casi en tiempo real sobre posibles ciberamenazas, de aquí a 2026.
Por parte de la respuesta a los ciberataques para minimizar el impacto, el plan propone un servicio de respuesta rápida en el marco de la Reserva de Ciberseguridad de la UE. Además, animan a los Estados miembros a que soliciten a las entidades la notificación de los pagos de rescate, para poder proporcionarles el apoyo que necesitan y permitir el seguimiento por parte de las autoridades policiales. Por último, la CE propone disuadir a los ciberdelincuentes a través de uso del conjunto de instrumentos de ciberdiplomacia.
CIBERSEGURIDAD ESPAÑA
En el caso de España, el Consejo de Ministros aprobó en el día de ayer el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Una legislación que tiene como meta reforzar la protección de las redes y sistemas de información que son ya cruciales para el desarrollo de la inmensa mayoría de las actividades sociales y económicas actuales, como es el caso del sector sanitario.
Según anunció el Ministerio de Interior, a través de esta iniciativa buscan que aquellas entidades, tanto públicas como privadas, realicen una evaluación individualizada de su riesgo para poner en marcha actuaciones que garanticen y eleven los niveles de seguridad de sus redes y sistemas de información.
Además, en esta misma línea, el anteproyecto señala que las entidades están obligadas a notificar los incidentes significativos que se produzcan en su operativa o en la prestación de servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos. Asimismo, se deberá comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.