IOActive es la única consultoría mundial de ciberseguridad especializada en auditorías de hardware y software que mantiene una presencia global. Jennifer Steffens, su consejera delegada, visitó la semana pasada la oficina abierta del grupo estadounidense en Madrid y analizó para elEconomista los agujeros en la seguridad de los datos sanitarios. Casi la mitad de los ciberataques a la industria española, en manos de hackers de perfil bajo.
¿Están nuestras historias clínicas gestionadas por hospitales o aseguradoras en buenas manos?
Estamos viendo un cambio significativo en la sensibilización y en la forma de actuar de la industria de la salud para asegurar nuestras historias clínicas. Mientras algunas organizaciones sanitarias están comenzando a implementar buenos controles de ciberseguridad, seguimos escuchando continuas vulneraciones de la seguridad de los datos. Algo que se está convirtiendo cada día en más frecuente en las noticias son los secuestros de datos por parte de ramsonware -programas que restringen el acceso a los archivos y piden un rescate a cambio de eliminar esta restricción-. Esto indica de forma clara que hay una falta de controles apropiados y de ciberseguridad, y que la industria de la salud está en la actualidad abrumada por el problema y también mal equipada para hacerle frente. Existen problemas importantes en los soportes que manejan los datos de salud hoy en día, y esto no se espera que cambie durante muchos años.
¿Cuáles son los principales errores que cometen las compañías o los proveedores de salud cuando intentan proteger el software y las redes de información de ciberataques?
Los proveedores de salud continúan desplegando nuevas tecnologías a un ritmo alto. Pero, al mismo tiempo, no se dan cuenta de qué importante es que estas tecnologías sean seguras y estén protegidas de forma adecuada. Esto genera lo que llamamos una superficie creciente de ataque, al exponer más tecnología a ciberataques dadas las vulnerabilidades y las protecciones inadecuadas puestas en marcha. Al hacerlo se ofrece a los atacantes más oportunidades para lanzar con éxito sus ataques contra los proveedores de salud.
¿Cómo cree que se debería responder contra este tipo de ataques y alertas?
Según nuestra experiencia, para asegurar los datos de salud tendrás que asegurar las redes del hospital, los aparatos médicos, las aplicaciones médicas y formar al personal de la industria. Cada una de ellas supone una gran tarea y garantía, y la debilidad en cualquiera de estas áreas te expone a la vulnerabilidad. En resumen, la seguridad tiene que ser una consideración para cada aspecto de la asistencia sanitaria, desde el comienzo de un proceso o producto, y que llevará bastante tiempo alcanzar este punto. No hay bala de plata o una solución para todo.
¿Están las compañías detectando todas las rupturas de sistemas y los robos de datos de los pacientes?
La respuesta es un claro ¡no! Muchas organizaciones están siendo activamente hackeadas y no lo saben. En el momento en que se dan cuenta, es demasiado tarde y los cibercriminales están intentando sacar provecho de la venta de los datos del paciente. Lo que hemos visto es que incluso las industrias más maduras respecto a la ciberseguridad no están detectando todo, y para las industrias que no lo están el número de ciberataques y violaciones es muy alto porque les falta tecnología y recursos humanos para detectarlos.
Los expertos dicen que cualquier tecnología médica es vulnerable. ¿Cómo pueden prevenir los fabricantes el potencial ataque de un marcapasos o de implantes electrónicos?
Las compañías deberían invertir en ciberseguridad en una primera fase, cuando están diseñando sus productos, y deberían seguir invirtiendo a lo largo de la vida útil del producto. Según nuestra experiencia, esto ayuda a reducir los problemas de ciberseguridad y ofrece más productos seguros al mercado. Lamentablemente pocas compañías lo hacen.
¿Están las agencias como la FDA o la EMA europea evaluando estos riesgos?
Agencias como la FDA intentan elevar el listón y requiere productos cada vez más seguros, pero no tienen capacidades para comprobar su seguridad debido a la falta de recursos. Esto lleva a que muchos productos aprobados sean vulnerables a una gran variedad de problemas de ciberseguridad.
¿Y qué me dice de los usuarios o pacientes? ¿Cuáles son los principales errores al usar tecnologías o intercambiar datos?
La gente no parece darse cuenta de lo importante que es proteger de forma adecuada sus datos. Confían ciegamente en productos pensando que son seguros y que sus datos estarán protegidos convenientemente. La asimilación de la tecnología es tan rápida y cada vez usamos tantas aplicaciones y dispositivos cada día, que se ha convertido en imposible para ellos ser conscientes de las ciberamenazas que podrían afrontar. La gente quiere continuar con sus vidas sin tener que tratar con este tipo de problemas. Se necesita más educación sobre las ciberamenazas para permitir a la gente el uso adecuado de sus datos, así como de sus dispositivos y, en última instancia, a sí mismos.
¿Debería haber más transparencia por parte de las compañías o proveedores a la hora de informar sobre este tipo de delitos a la sociedad y a los propietarios de los datos?
Sí, y dado que la seguridad de la información evoluciona en la industria de la salud veremos los mismos tipos de leyes que afectan a incumplimientos obligatorios que genera y en otros sectores. La industria de salud está muy por detrás en la actualidad y necesita ponerse al día en algunas áreas antes de que leyes como estas se conviertan en una prioridad. Informar a los ciudadanos les permite adoptar acciones necesarias que sean apropiadas y ayuda a reducir la posibilidad de que se conviertan en víctimas de otros ataques que pueden estar utilizando los datos robados.
