![\"Ciberseguridad](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1053072032-300x210.jpg\" "\\"Imagen")
<\/p>\n<\/p>\n
El volumen de incidentes de seguridad en las instituciones sanitarias se ha disparado entre 2020 y 2021: un aumento del 35\u00a0% en Estados Unidos, del 45\u00a0% en Espa\u00f1a y de hasta un 50\u00a0% en Alemania y Francia... Se trata de una situaci\u00f3n cr\u00edtica, dado que estos entornos sensibles necesitan una media de 28 d\u00edas para volver a la actividad normal. A pesar de la ayuda y el apoyo de los Estados, \u00bfpor qu\u00e9 los hospitales siguen siendo vulnerables en la actualidad?<\/strong><\/p>\n An\u00e1lisis y reacci\u00f3n de los expertos sobre un fen\u00f3meno que preocupa a los profesionales de la salud y al p\u00fablico en general.<\/p>\n <\/p>\n La fragilidad de las instituciones sanitarias se puso de manifiesto\u00a0con la pandemia de COVID-19 a principios de 2020. En ese momento, los hospitales se vieron afectados y paralizados por los ciberataques casi a diario, independientemente de su tama\u00f1o o ubicaci\u00f3n geogr\u00e1fica. AP-HP en marzo de 2020, Dax, Oloron-Sainte-Marie y Villefranche-sur-Sa\u00f4ne en febrero de 2021, Arles en agosto de 2021, GHT C\u0153ur Grand-Est en abril de 2022, y Corbeil-Essonnes m\u00e1s recientemente, en agosto de 2022. Una lista que parece interminable...<\/p>\n Sin embargo,\u00a0la vulnerabilidad de las instituciones sanitarias no es una novedad y lleva m\u00e1s de una d\u00e9cada preocupando a los profesionales<\/strong>.\u00a0La primera iniciativa para hablar de ciberseguridad en las instituciones sanitarias se puso en marcha en Francia en 2011, en la ciudad de Le Mans. Con el deseo de reunirse e intercambiar opiniones, se organiz\u00f3 el primer Congreso Nacional de Seguridad de los Sistemas de Informaci\u00f3n Sanitaria bajo la batuta de\u00a0Vincent Trely<\/strong>, CISO del Hospital Universitario de Le Mans. En 2013, tambi\u00e9n en Francia, la Ley de programaci\u00f3n militar (LPM) consagr\u00f3 la noci\u00f3n de OIV\u00a0(operadores de importancia vital). Este acr\u00f3nimo clasifica un conjunto de empresas y organizaciones esenciales para la supervivencia de la naci\u00f3n. Si bien la lista no difundi\u00f3 p\u00fablicamente, los grandes hospitales m\u00e1s importantes est\u00e1n incluidos. Ese mismo a\u00f1o, la American Association Hospital (AHA) comenz\u00f3 a publicar\u00a0alertas e informes<\/a>\u00a0sobre ciberataques a centros sanitarios en Estados Unidos. Unos a\u00f1os despu\u00e9s, en julio de 2016, se adopt\u00f3 a nivel europeo la Directiva NIS (Network and Information Security<\/em>)<\/em>. En particular, prev\u00e9 el refuerzo de la ciberseguridad para los operadores de sectores clave mediante la creaci\u00f3n del concepto de OES (operadores de servicios esenciales), otro acr\u00f3nimo que viene a complementar al de OIV. En 2017, la reestructuraci\u00f3n de los Groupements de Coop\u00e9ration Sanitaire (GCS) de los centros sanitarios franceses permit\u00eda facilitar y desarrollar los intercambios entre los CISO de los grupos sanitarios.<\/p>\n Por tanto, la concienciaci\u00f3n parece venir relativamente de lejos, al menos en cuanto a los profesionales del sector sanitario (como los CISO o la ANSSI).\u00a0\u00bfGarantiza esto una cierta protecci\u00f3n contra las ciberamenazas?<\/strong>\u00a0Por desgracia, la crisis sanitaria y la explosi\u00f3n de los ciberataques han minado este optimismo. Seg\u00fan el analista estadounidense\u00a0Brett Callow<\/strong>, casi 170 ataques de ransomware<\/em> han infectado\u00a0casi 1800 cl\u00ednicas y centros sanitarios<\/a>\u00a0en Estados Unidos durante el periodo 2020-2021. En Francia, la ANSSI inform\u00f3 de una media de un incidente por semana en un centro sanitario en 2021 y anunci\u00f3 que 27 centros hab\u00edan sido v\u00edctimas de un ciberataque en el mismo periodo. Se trata de un triste r\u00e9cord.<\/p>\n Ante estos nuevos ataques, el sector ha vuelto a movilizarse. A partir de febrero de 2020, algunas empresas privadas de ciberseguridad ofrecen acciones gratuitas de apoyo a las instituciones sanitarias. Al mismo tiempo, la ENISA ha publicado una gu\u00eda en la que se enumeran las 10 mejores pr\u00e1cticas que deben aplicarse en las instituciones sanitarias para hacer frente a las ciberamenazas. Posteriormente, en marzo de 2020, m\u00e1s de 3000 profesionales de la ciberseguridad se reunieron en la COVID-19 Cyber Threat Coalition para compartir an\u00e1lisis e indicadores de peligro. Los flujos de informaci\u00f3n sobre amenazas se producen de forma voluntaria y se comparten a trav\u00e9s de la comunidad. En septiembre de 2020, el Estado franc\u00e9s se dot\u00f3 de un fondo de 136 millones de euros con el plan\u00a0France Relance, cuyo componente de ciberseguridad pretende intensificar la seguridad de las infraestructuras cr\u00edticas, como las de los centros sanitarios. Unos meses m\u00e1s tarde, el Ministerio de Sanidad franc\u00e9s aument\u00f3 este presupuesto en 350 millones de euros para los hospitales. En abril y junio de 2021, el Gobierno alem\u00e1n public\u00f3 una ordenanza destinada a obligar a los proveedores de servicios que utilizan infraestructuras cr\u00edticas, incluidos los hospitales, a reforzar su ciberseguridad, mientras que las autoridades francesas incluyeron a 135 grupos hospitalarios en la lista de operadores de servicios esenciales (OSE). Por \u00faltimo, en agosto de 2022, el Gobierno franc\u00e9s anunci\u00f3\u00a0un presupuesto adicional de 20 millones de euros\u00a0para la ANSSI con el fin de reforzar el apoyo a los centros sanitarios.<\/p>\n Ante la amenaza ciber, los hospitales no est\u00e1n solos. Pero \u00bfes suficiente?<\/p>\n <\/p>\n Frente a estos recursos, apoyos e iniciativas, las instituciones sanitarias siguen siendo vulnerables. Pero \u00bfpor qu\u00e9? De hecho,\u00a0la raz\u00f3n principal parece ser simple, ya que la superficie de ataque de los hospitales es muy significativa<\/strong>.<\/p>\n La renovaci\u00f3n de los equipos inform\u00e1ticos en los entornos sanitarios genera las primeras limitaciones.<\/strong>\u00a0Mientras que los equipos inform\u00e1ticos convencionales se renuevan cada 5 a\u00f1os, los dispositivos m\u00e9dicos tienen modelos de rentabilidad que pueden durar hasta 15 a\u00f1os. En consecuencia, los sistemas actuales incorporan tecnolog\u00edas de final de vida \u00fatil que ya no se mantienen. \u00abEstas inversiones de decenas o cientos de miles de euros se realizan a lo largo de diez o quince a\u00f1os<\/em>\u00bb<\/em>, explica\u00a0Charles Blanc-Rolin<\/strong>, antiguo CISO de un centro sanitario y responsable del proyecto de seguridad sanitaria digital en el GCS e-sant\u00e9 Pays de la Loire.\u00a0No es raro encontrar sistemas Windows o Windows XP que no tiene soporte desde 2014. A veces incluso con versiones a\u00fan m\u00e1s antiguas de Windows para las que ya no hay parches de seguridad. Encontramos verdaderos coladeros y sistemas muy vulnerables. A esto se a\u00f1ade el marcado CE, que es un requisito reglamentario para el fabricante. Pero tambi\u00e9n resulta restrictivo para el centro sanitario, que no puede aplicar ninguna modificaci\u00f3n a este dispositivo, como la actualizaci\u00f3n de un parche de seguridad, sin perder este marcado CE<\/em>\u00bb. Para evitar el riesgo de utilizar sistemas operativos sin mantenimiento, las pol\u00edticas de seguridad inform\u00e1tica deben poder adaptarse, como se\u00f1ala Charles Blanc-Rolin: \u00abEs importante tener un plan de continuidad de la actividad y un plan de recuperaci\u00f3n, pero tambi\u00e9n es igual de primordial tener procedimientos degradados<\/em>. En la actualidad, disponemos de muchas herramientas de seguridad, pero nos olvidamos de lo b\u00e1sico y de la flexibilidad necesaria<\/em>\u00bb.<\/p>\n No es raro encontrar sistemas Windows o Windows XP que no tiene soporte desde 2014. A veces incluso con versiones a\u00fan m\u00e1s antiguas de Windows para las que ya no hay parches de seguridad.<\/em><\/p>\n Al mismo tiempo,\u00a0los hospitales est\u00e1n sometidos a una digitalizaci\u00f3n a marchas forzadas desde hace m\u00e1s de una d\u00e9cada<\/strong>, lo que genera otras limitaciones.\u00a0Jean-Sylvain Chavanne<\/strong>, CISO del\u00a0Hospital Universitario de Brest\u00a0y del Grupo Hospitalario de Breta\u00f1a Occidental, explica: \u00abPor poner un ejemplo<\/em>,\u00a0el per\u00edmetro que hay que proteger para el Hospital Universitario de Brest est\u00e1 formado por 140 aplicaciones, 350 servidores virtuales, 6000 puestos de trabajo, 10\u00a0000 objetos conectados a la red, 20\u00a0000 equipos biom\u00e9dicos (como bombas de jeringa, resonancias magn\u00e9ticas, c\u00e1maras hiperb\u00e1ricas, etc.) y 2,7 petabytes de datos brutos que hay que guardar<\/em>. Esto hace que el per\u00edmetro sea muy amplio. Al mismo tiempo, Los hospitales han sufrido un proceso de digitalizaci\u00f3n a marchas forzadas desde la d\u00e9cada de 2010, financiado por una sucesi\u00f3n de concursos de compra p\u00fablica, sin presupuestos asociados para su mantenimiento. Esto ha provocado que los hospitales se encuentren con una gran deuda t\u00e9cnica que deben compensar sobre la marcha\u00bb.<\/em>\u00a0A ra\u00edz de\u00a0esta digitalizaci\u00f3n, las\u00a0instituciones sanitarias tambi\u00e9n se han visto debilitadas por la democratizaci\u00f3n de los productos conectados<\/strong>. La medicina y sus usos est\u00e1n en constante evoluci\u00f3n y los campos diagn\u00f3stico por imagen, la hospitalizaci\u00f3n a domicilio y la identificaci\u00f3n de pacientes han protagonizado una revoluci\u00f3n gracias a estas innovaciones, como recuerda Charles Blanc-Rolin: \u00abCon los nuevos usos, como el seguimiento de pacientes con pulseras RFID, podemos saber exactamente d\u00f3nde se encuentra el paciente dentro de un hospital para mejorar su atenci\u00f3n<\/em>. Por tanto, es necesario enmarcar estos nuevos usos digitales y a\u00f1adir una capa de seguridad sin generar una deuda t\u00e9cnica<\/em>\u00bb. Ante la multiplicaci\u00f3n de estos objetos en los servicios sanitarios, la expansi\u00f3n incontrolada de la superficie de ataque es un problema que Jean-Sylvain Chavanne analiza a trav\u00e9s de tres grandes riesgos: \u00abEl primer riesgo es la falta de control sobre los objetos conectados que se despliegan en el sistema de informaci\u00f3n de un hospital<\/em>. Este es el caso cuando un proveedor llega y se conecta a la red sin ninguna medida de seguridad. El segundo riesgo est\u00e1 en las relaciones contractuales. Si no hay contratos con subcontratistas o proveedores, no se exigen obligaciones de seguridad, como la actualizaci\u00f3n del software correspondiente. Y por \u00faltimo, el tercer riesgo es el propio software, una aut\u00e9ntica \u00abcaja negra\u00bb. Si no sabemos lo que contienen, no podemos controlar la seguridad ni parchear las vulnerabilidades. El pasado mes de diciembre, esto ocurri\u00f3 con Log4Shell, donde tuvimos que ponernos en contacto con 200 proveedores de equipos m\u00e9dicos para averiguar si su software lo llevaba incorporado o no<\/em>\u00bb.<\/p>\n Los hospitales han sufrido un proceso de digitalizaci\u00f3n a marchas forzadas desde la d\u00e9cada de 2010, financiado por una sucesi\u00f3n de concursos de compra p\u00fablica, sin presupuestos asociados para su mantenimiento. Esto ha provocado que los hospitales se encuentren con una gran deuda t\u00e9cnica que deben compensar sobre la marcha.<\/em><\/p>\n Sin embargo, las personas tambi\u00e9n son un factor de vulnerabilidad en los hospitales<\/strong>. Ante la carencia de personal, los equipos de TI se centran en proporcionar informaci\u00f3n con rapidez. A veces esto puede significar ignorar las normas de seguridad obvias. En este contexto, los equipos de SSI de los hospitales conciencian a su personal y, en ocasiones, recuerdan libertades que los profesionales de la salud no deber\u00edan tener y que hay que deconstruir, como analiza Jean-Sylvain Chavanne: \u00abActualmente, nuestro equipo de seguridad bloquea un mensaje de spam cada 50 segundos y un virus cada hora<\/em>. Es necesario concienciar y educar sobre el hecho de que no tenemos plena libertad para utilizar el software que almacena y gestiona los datos sanitarios. Por ejemplo, el personal m\u00e9dico no deber\u00eda tener los diagn\u00f3sticos de sus pacientes en sus tel\u00e9fonos personales. Recordamos las buenas pr\u00e1cticas durante todo el a\u00f1o\u00bb.<\/em>\u00a0Contamos con un personal m\u00e9dico sometido a una presi\u00f3n constante, que tiende a tomar atajos para centrarse en su deber de atenci\u00f3n y al que hay que hacer que sea receptivo al tema de la ciberseguridad. Un verdadero reto para los CISO, que pueden inspirarse en\u00a0la comunicaci\u00f3n<\/a>\u00a0que el director de un hospital parisino envi\u00f3 a sus empleados.<\/p>\n Obsolescencia de los equipos, una cultura del riesgo que se debe perfeccionar, los problemas de contrataci\u00f3n... A\u00fan quedan muchos puntos por resolver en los hospitales para garantizar una verdadera ciberseguridad de estas infraestructuras vitales.<\/p>\n <\/p>\n Ante estas diversas dificultades, Charles Blanc-Rolin pone de manifiesto que\u00a0la cuesti\u00f3n vital de la seguridad en los centros sanitarios se refiere a los datos de los pacientes y a su tratamiento<\/strong>. \u00abLos ciberataques de ransomware, en particular, pueden paralizar un hospital y reducir las posibilidades de tratamiento de los pacientes<\/em>. Sin acceso a datos y diagn\u00f3sticos, los profesionales sanitarios tienen que hacer medicina de guerra. Ello da lugar a un deterioro de la calidad de la atenci\u00f3n. Este es el verdadero peligro<\/em>\u00bb.<\/p>\n Sin acceso a datos y diagn\u00f3sticos, los profesionales sanitarios tienen que hacer medicina de guerra. Ello da lugar a un deterioro de la calidad de la atenci\u00f3n. Este es el verdadero peligro.<\/em><\/p>\n Sin embargo, los datos sanitarios tambi\u00e9n tienen otro inter\u00e9s para los ciberdelincuentes. M\u00e1s all\u00e1 del car\u00e1cter personal y habitual de ciertos datos como el nombre, el apellido y la fecha de nacimiento, estos datos pueden contener a veces un aspecto mucho m\u00e1s personal que puede generar situaciones de solicitud de rescates aterradoras para las v\u00edctimas. Esto es precisamente lo que les ocurri\u00f3 a los pacientes de Vastaamo en 2020. Esta agrupaci\u00f3n de 25 centros de psicoterapia de Finlandia fue v\u00edctima de una filtraci\u00f3n de datos que conten\u00eda el seguimiento psiqui\u00e1trico de estos pacientes. Seg\u00fan inform\u00f3\u00a0VICE<\/em><\/a>, 30\u00a0000 pacientes hab\u00edan recibido una solicitud de rescate que deb\u00eda pagarse en 24 horas o se revelar\u00edan los datos. Se trata de una evoluci\u00f3n en el m\u00e9todo de los ciberataques, dado que el rescate se suele asociar generalmente a una empresa. Sin embargo, en este caso, los pacientes estaban en primera l\u00ednea. Se han presentado m\u00e1s de 25\u00a0000 denuncias ante las autoridades, lo que hace que este ciberataque sea el mayor caso penal de la historia de Finlandia. Unos meses m\u00e1s tarde, la autoridad finlandesa de protecci\u00f3n de datos mult\u00f3 a la empresa con 608\u00a0000 euros por infringir el Reglamento General de Protecci\u00f3n de Datos. Francia no queda exenta, ya que durante el mismo periodo se robaron 500\u00a0000 historiales m\u00e9dicos de un grupo de laboratorios del oeste del pa\u00eds. Seg\u00fan\u00a0un estudio estadounidense<\/a>, en marzo de 2022,\u00a0los datos sanitarios val\u00edan 25 veces m\u00e1s que una tarjeta de cr\u00e9dito<\/strong>.<\/p>\n Si los datos de salud son una ganancia financiera para los ciberdelincuentes, los datos del universo sanitario pueden ser un objetivo para los poderes del Estado. Obtener informaci\u00f3n sobre el desarrollo de vacunas durante la crisis sanitaria ha sido una prioridad para algunos pa\u00edses que no dispon\u00edan de medios de investigaci\u00f3n y desarrollo. Seg\u00fan el\u00a0Wall Street Journal<\/em>,\u00a0al menos seis empresas farmac\u00e9uticas<\/a>,\u00a0incluidas Johnson & Johnson y Novavax Inc, fueron objetivo de ciberactivistas norcoreanos en el mismo periodo. A finales de 2020, el mismo grupo, haci\u00e9ndose pasar por una agencia de contrataci\u00f3n, se dirigi\u00f3 supuestamente a empleados de Astrazeneca con falsas ofertas de trabajo con el objetivo de que por la empresa circularan documentos que conten\u00edan virus maliciosos. Ese mismo a\u00f1o, en Francia, de los 24 incidentes registrados en el sector sanitario, siete afectaron a la industria farmac\u00e9utica, seg\u00fan\u00a0Charlotte Drapeau<\/strong>, responsable de la oficina de Salud y Sociedad de la ANSSI. Una tendencia subyacente seg\u00fan el\u00a0HIPAA\u00a0Journal<\/em>: el n\u00famero de brechas importantes que implican el robo de\u00a0datos sanitarios<\/a>\u00a0en Estados Unidos ha pasado de 368 en 2018 a 714 en 2021.<\/p>\n Para Jean-Sylvain Chavanne, todos los ciberataques dirigidos a las empresas farmac\u00e9uticas francesas no son obra de los cl\u00e1sicos ciberdelincuentes: \u00abTodas las empresas farmac\u00e9uticas francesas que han desarrollado una vacuna contra la COVID-19 han sido v\u00edctimas de un ciberataque<\/em>. Ante tal constataci\u00f3n, resulta complicado interpretarlo como el resultado de acciones oportunistas de los atacantes. Se trata de un deseo de desestabilizaci\u00f3n o de espionaje industrial<\/em>\u00bb.<\/p>\n <\/p>\n Las razones de la vulnerabilidad de las instituciones sanitarias son, pues, complejas. Son herencia de los problemas estructurales del sector e indudablemente no se resolver\u00e1n en unos meses. Para saldar las deudas t\u00e9cnicas, solucionar la falta de personal y reducir la superficie de ataque, el sector sanitario debe actuar desde ya. Y para ello, puede contar con el apoyo de los Estados para (re)hacer del hospital un espacio conectado y seguro.<\/p>\n","protected":false},"excerpt":{"rendered":" El volumen de incidentes de seguridad en las instituciones sanitarias se ha disparado entre 2020 y 2021: un aumento del 35\u00a0% en Estados Unidos, del 45\u00a0% en Espa\u00f1a y de hasta un 50\u00a0% en Alemania y Francia… Se trata de una situaci\u00f3n cr\u00edtica, dado que…<\/p>\n","protected":false},"author":31,"featured_media":315566,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6593],"tags":[6666],"business_size":[],"industry":[6594],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[6589,6590,6591],"class_list":["post-317759","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vigilancia-de-seguridad","tag-la-ciberseguridad-por-stormshield","industry-health-and-healthcare-facilities-es","listing_product-sds-es","listing_product-ses-es","listing_product-sns-es"],"acf":[],"yoast_head":"\nIniciativas para hacer frente a las ciberamenazas<\/h2>\n
\u00bfPor qu\u00e9 los hospitales siguen siendo vulnerables?<\/h2>\n
Charles Blanc-Rolin<\/strong>, director del proyecto de seguridad sanitaria digital del GCS e-sant\u00e9 Pays de la Loire<\/pre>\n<\/blockquote>\n
Jean-Sylvain Chavanne<\/strong>, CISO del Hospital Universitario de Brest<\/pre>\n<\/blockquote>\n
Hacia un frente ampliado de ciberamenazas en torno a los datos sanitarios<\/h2>\n
Charles Blanc-Rolin<\/strong>, director del proyecto de seguridad sanitaria digital del GCS e-sant\u00e9 Pays de la Loire<\/pre>\n<\/blockquote>\n