LA AMENAZA DE LOS CIBERATAQUES
'Hackers', un riesgo posible en un SNS indefenso
La prisa por digitalizar el sistema y la falta de financiación han hecho que la ciberseguridad no sea prioritaria. Robos de identidad, acceso a información sensible y fraudes a compañías de salud son algunos riesgos. Nuevas tendencias como el 'internet de las cosas' y el 'BYOD' aumentan la posibilidad de ciberataques.
Rosalía Sierra. Madrid | rsierra@diariomedico.com | 07/12/2015 00:00
Hace pocos meses, los sistemas de información sanitaria pasaron a tener el dudoso honor de encabezar la lista de ataques informáticos en Estados Unidos, siendo víctimas del 26,9 por ciento de las brechas de seguridad, muy por encima de sectores tradicionalmente más codiciados como el Gobierno (15,9 por ciento) o la banca (2,8), según un informe realizado por la empresa de ciberseguridad Trend Micro.
Esta nueva tendencia tiene dos razones fundamentales: el alto valor de la información sanitaria (hasta diez veces más que el número secreto de una tarjeta de crédito en el mercado negro estadounidense) y la facilidad con que los piratas informáticos pueden acceder a los sistemas de un sector que no se ha tomado tan en serio la protección de sus datos como las administraciones públicas, el financiero o el bancario.
En cuanto a la utilidad, "debemos pensar que un registro médico contiene un número de identificación o del seguro médico, su historial, en algunos casos la tarjeta de crédito... Con ello, es posible acceder a medicamentos con recetas falsas para venderlos en el mercado negro, realizar fraudes a seguros médicos utilizando clínicas que falsifican consultas y tratamientos, por no hablar de chantajes, pues pueden arruinar la reputación profesional de alguien", según ha explicado a Diario Médico Guillermo Fernández, ingeniero y experto en seguridad de WatchGuard.
Asimismo, los sistemas recogen información suficiente para "realizar robos de identidad o de información confidencial de empresas como las aseguradoras", según Juan Díaz, responsable de la Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud.
Sistemas obsoletosEn lo que respecta a la debilidad de los sistemas, "muchos equipos médicos se instalaron hace diez años con sistemas operativos de entonces. El equipo sigue funcionando correctamente, por lo que a nadie le preocupa que el sistema no se pueda parchear o proteger correctamente para evitar ataques", ha reconocido David Sancho, responsable del equipo de investigación de Trend Micro en España.
A su juicio, "la información de salud es muy sensible y requiere el más alto grado de seguridad -según la Ley de Protección de Datos-, pero lo que encontramos es que estos sistemas se convierten en objetivos potenciales porque no están bien protegidos. Puede ser más rentable atacar al sector financiero, pero también mucho más difícil, fundamentalmente porque el presupuesto que invierte en ciberseguridad es muy alto".
- Existen sobradas soluciones tecnológicas, pero es imprescindible incidir en el factor humano: el 70 por ciento de los problemas vienen de la organización
Ahí, según los expertos, está la clave, especialmente en el caso de España: la seguridad cuesta, y no es precisamente el mejor momento para inversiones que no se perciben como necesarias. "El Sistema Nacional de Salud (SNS) aún está inmerso en un proceso de digitalización y corren malos tiempos económicamente hablando, por lo que la inversión en seguridad es muy difícil de mantener cuando la prioridad es acabar primero con el papel", afirma Díaz, que también es miembro del Comité Técnico de Seguridad de la Sociedad Española de Informática de la Salud (SEIS).
El problema, en su opinión, es que esta forma de ordenar las prioridades va a derivar "en que los sistemas informáticos del SNS sean como coches deportivos de los años 50: puede que corran mucho, pero no tendrán ninguna medida de seguridad".
Un futuro ya presenteLas nuevas tendencias en materia de acceso a la información en el SNS pueden, según Rilo, "suponer un pequeño caos de seguridad".
Por ejemplo, el auge del internet de las cosas: "Supone añadir conectividad a internet a los dispositivos médicos que llevan en el mercado algún tiempo. Estos dispositivos no se crearon para estar conectados a una red, por lo que no cuentan con protección de ciberseguridad", explica Díaz. Por ello, "protecciones como los servicios de inspección de paquetes de firewall avanzados tales como anti-malware y prevención de intrusiones en los puntos de entrada de la red deben considerarse un mínimo".
Por ejemplo, el auge del internet de las cosas: "Supone añadir conectividad a internet a los dispositivos médicos que llevan en el mercado algún tiempo. Estos dispositivos no se crearon para estar conectados a una red, por lo que no cuentan con protección de ciberseguridad", explica Díaz. Por ello, "protecciones como los servicios de inspección de paquetes de firewall avanzados tales como anti-malware y prevención de intrusiones en los puntos de entrada de la red deben considerarse un mínimo".
Por otro lado, el creciente movimiento BYOD (bring your own device, es decir, acceder a información protegida desde dispositivos móviles personales) "puede traer como consecuencia la interceptación de las comunicaciones, la pérdida de información por falta de realización de copias de seguridad, el acceso no consentido de terceros a información confidencial, la introducción de virus o gusanos en los sistemas de información corporativos y, en definitiva, la quiebra de la seguridad de los sistemas de información, por lo que la adopción de esta política lleva aparejada la necesidad indiscutible de elaborar una estrategia efectiva de seguridad", sostiene Olga Peñascal, consultora de Áudea Seguridad de la Información.
SolucionesSoluciones existen y son de sobra conocidas en otros sectores como la banca: "Es fundamental mejorar los sistemas de identificación de usuarios y de firma electrónica", afirma Díaz. Son óptimos sistemas como el de Cl@ve, creado por Agencia Tributaria, y que dota al usuario de claves de fácil manejo pero seguras al estar basadas en certificados de seguridad en red.
"También resultan de gran utilidad los sistemas de doble factor, es decir, que sea necesario un código específico además del pin, de modo que no se pueda acceder a la información sin ambos". Es un sistema muy utilizado en comercio electrónico, donde el usuario introduce su clave y recibe un SMS con un código de un solo uso en su móvil.
Se debe tratar, en cualquier caso, de soluciones sencillas, porque "seguridad y comodidad están en desacuerdo", según Fernández. "Tendemos a hacerlo por comodidad, pero no es conveniente seleccionar la opción recordar contraseña en sitios o app que incluyen información sanitaria protegida. A pesar de que sea práctico, no se debe habilitar esta opción ya que cualquier atacante que consiga entrar en el dispositivo (físicamente o de forma remota) podrá acceder a todos los datos sin necesidad de conocer las contraseñas".
El eslabón más débilY es que, por muchos y muy caros sistemas de seguridad que se creen, el eslabón más débil de la cadena de la seguridad sigue siendo el humano: "Debemos huir del mito de que la tecnología es la solución. La ciberseguridad es una cuestión poliédrica que se asienta en tres pilares: un buen gobierno de seguridad, un adecuado análisis de riesgos y el cumplimiento normativo", explica Julio Rilo, responsable de I+D de Inixa Security & Communication.
Rilo sostiene que la ciberseguridad es una cuestión "que debe gestionarse en todas las entidades, porque puede hundirlas". Para ello, es preciso "contar con personal bien formado e implicar a todos los profesionales". Y es que la formación interna es básica, dado que "hasta el 70 por ciento de los problemas de seguridad surgen dentro de la organización, intencionadamente o no".
No hay comentarios:
Publicar un comentario