Pedro Alberto González, moderador y responsable de Registro y Auditoría de Ficheros Agencia Vasca de Protección de Datos, ha realizado una pequeña introducción acerca de lo que significa la protección de datos y la seguridad de los sistemas de información. En este sentido, ha señalado que "preservar la información de las personas es algo necesario, pero no es el objetivo en sí mismo, es algo instrumental".

En algunos casos es necesario establecer medidas de seguridad para hacer frente a "amenazas que tenemos en nuestra propia organización", en otras ocasiones existen "empleados torpes, que no hacen bien su trabajo, empleados desleales", aunque también se reciben amenazas por parte de responsables cuando se hace un uso excesivo o inadecuado de estos datos", ha detallado González.

En este sentido, ha manifestado que la solución no pasaría por aplicar la "ciberseguridad" para defenderse, sino que la medida más correcta sería aplicar la "responsabilidad proactiva, es decir, que los responsables de los tratamientos hagan un uso adecuado de la información".

El siguiente en tomar su turno de palabra ha sido Juan Díaz García, coordinador Comité Técnico de Seguridad de la Información de Salud, quien se ha lamentado que "los profesionales sanitarios no son conscientes de los riesgos", en relación a los "últimos ataques y amenazas que tenemos" en el sistema sanitario.

Con la irrupción del Big Data en los centros hospitalarios surge la necesidad de proteger aún más los datos de los pacientes y el tratamiento que se pueda hacer. Así, el experto ha reconocido que se deberían "establecer buenas prácticas a la hora de implementar los consentimientos". Ha alabado y puesto como ejemplo la labor que están realizando desde la Comunidad gallega en materia de consentimientos, ya que pueden ser de "tipo administrativo, médico y de investigación".

Bloqueando al enemigo
Por su parte, Javier Candau, jefe del departamento de Ciberseguridad, CCN y representante de INCIBE, ha indicado que entre el año 2005 y 2006 se creó el CCN-CERT (El Centro Criptológico Nacional Computer Emergency Response Team), con la finalidad de "intentar que nuestras administraciones sean lo más difíciles de atacar posible. Seamos capaces de detectar los máximos números de ataques posibles y, en caso de que sufra un ataque, ayudar a las administraciones a recuperarse".

El marco de actuación de este organismo tiene que ver con "todas las normativas que tienen que cumplir las administraciones, la protección de datos también, pero sobre todo nuestro Esquema Nacional de Seguridad, un Real Decreto que se publicó en 2010 y que nos afecta a todos los servicios de salud pública, pero también afecta a los privados", ha destacado Candau.

Además, ha explicado que el Esquema Nacional de Seguridad está compuesto por "6 principios básicos, 7 requisitos mínimos y 75 medidas de seguridad, y las tenemos que cumplir todas. Nos permite pasar de ser un objetivo fácil de atacar a ser un objetivo difícil de atacar".

En cuanto a las amenazas que se registran diariamente en los hospitales ha comentado que se producen "42.997 incidentes. Los clasificamos en 5 niveles: bajo, medio, alto, muy alto y crítico". Pero quizás, la amenaza con más repercusión es Ransomware o, también reconocida, como "secuestro de datos".

De izda. a dcha.: Alfredo Díez, José Luis Rojo de Luque, Pedro Alberto González, Juan Díaz García, Javier Candau y Juan Carlos Muria-Tarazón.

Para alertar de su alcance en el sistema sanitario el jefe del departamento de Ciberseguridad, CCN ha puesto como ejemplo el caso de "Wannacry, en el que se infectaron 5 hospitales ingleses y llegaron a un momento que tuvieron que echar abajo el hospital y las ambulacias que llegaban las tenían que derivar a otro. ¿Por qué se infectaron los cinco? Porque compartían ficheros con protocolos internos de Windows expuestos en Internet".

Un problema que se paga
Y ha puesto sobre la mesa datos estadísticos para concienciar a los profesionales sobre lo que supone amenazas de este tipo para el sistema sanitario de salud: "En dos años estamos viendo campañas dirigidas. Las estadísticas nos dicen que prácticamente 100% paga cuando tiene un problema grave". Además, jefe del departamento de Ciberseguridad, CCN, ha anunciado que desde "Del tercer trimestre de 2019 al cuarto trimestre, los pagos han pasado de los 41.000 a los 84.000 euros. Y no hay herramientas de cifrado como teníamos antes".

Existen dos tipos de infección "phishing y acceso remoto", pero el experto indica que "más del 50% de las infecciones son por acceso remoto a máquinas", ha destacado Candau.

Por esta razón, ha hecho un llamamiento a los profesionales de la salud porque se da pone la mano en el fuego por los proveedores y se deberían de pedir garantías de que todo va a funcionar correctamente: "El servicio de salud da por hecho que el proveedor me ha dicho que bien. Hay que pedir verificación de todo esto y, en algunos casos, certificación".

Por su parte, José Luis Rojo de Luque, Associate Partnes/Advisory Services, se ha centrado en explicar que estamos ante un "cibercrimen organizado" que se sirve del "Internet Oscuro muy (Darknet) y de las criptomonedas que permiten vender nuestra información y ponerla en valor y luego cerrarlo con transacciones económicas". Y otra de las cuestiones en la que ha hecho hincapié ha sido en que ahora estos grupos "atacantes colaboran entre ellos y que el recupera o recibe el cobro lo reparte entre los diferentes grupos".

Para evitar poner en peligro estos datos el Rojo de Luque, ha recomendado que se deben "mantener los sistemas actualizados y mitigar todas las vulnerabilidades en ecosistema de salud".

Los ciberdelincuentes no solo ponen en peligro los datos de los pacientes, sino que pueden poner en riesgo su vida ya que, según ha argumentado, el profesional "los dispositivos médicos conectados a internet pueden poner en riesgo la salud humana, así como los dispositivos conectados implantados en personas como puede ser un desfibrilador, por el impacto a la salud y por la protección de datos que pueda suponer".

Informáticos, en el centro
En su turno de palabra, Juan Carlos Muria-Tarazón, director del Sector Salud, se ha referido a las conclusiones extraídas del informe ENISA de la Agencia Europea de Seguridad, así como las recomendaciones y buenas prácticas para el equipamiento y servicios de todo tipo por parte de los profesionales de salud en general, tal y como ha reconocido el ponente.

Ente las conclusiones a las que se llegaron después de hablar con los responsables CISO de los hospitales europeos, Muria-Tarazón ha destacado la importancia de "involucrar al equipo de tecnologías de la información desde la fase temprana a la hora de adquisición de equipamientos" debido a que "se enteran de que hay un nuevo equipo cucando hay que asignar una IP y conectarla a la red".

Ha considerado que esto es un problema a tener en cuenta, ya que el departamento informático "no ha podido participar en el RCP en el pliego o en la petición de ofertas a proveedores para definir unos requisitos de seguridad que ellos pongan ahí y que se requieran al proveedor". A esto hay que añadir que se tratan de "equipamientos que informática no puede parchear porque tienen una certificación a nivel de seguridad de paciente… Al mismo tiempo estos equipos están conectados a la red del hospital porque necesitan almacenar imagen, acceder a los datos de historia clínica de un paciente, etc.".

El informe también recoge que se deberían de "crear dentro de los profesionales sanitarios una concienciación de los riesgos que introducen estas tecnologías digitales…, el impacto tiene un riesgo del mundo digital cuando pasa a ser un riesgo físico está impactando en la seguridad del paciente puede generar retrasos en la atención sanitaria".

Cambio de estrategia
Para concluir, Alfredo Díez Fernández, responsable de Ciberseguridad y DPO Grupo Oesía, ha abordado los problemas con los que se ha ido encontrado el Grupo Oesía a la hora de implantar este tipo de proyectos de Big Data e Inteligencia Artificial. Así, los ha resumido en tres puntos: "La organización sanitaria no cuenta con una política clara ni un marco claro de TEI, la necesidad de homogeneización de las fuentes de los datos para trabajar con ellos y la necesidad de establecer planes de seguridad claros dentro de las organizaciones para ver cómo encajan estas tecnologías".

Por otro lado, también ha propuesto que "fabricantes y profesionales sanitarios debemos de trabajar en conjunto para que los dispositivos vengan ya con unas medidas de seguridad de fábrica", y ha lamentado que los profesionales tengan una "deficiente o nula formación en el uso seguro de estas herramientas" y que no existan "políticas por parte de la organización que dirijan cómo se va a implementar todos los dispositivos dentro del sistema de seguridad".

FOTO PRINCIPAL: De izda. a dcha.: Alfredo Díez, José Luis Rojo de Luque, Pedro Alberto González, Juan Díaz García, Javier Candau y Juan Carlos Muria-Tarazón.