Ciberseguridad e Inteligencia en el sector sanitario: mejor prevenir que curar

Editar noticia  Redacción

Pedro Sebastián de Erice, Managing Director de K2 Intelligence en Madrid, es el autor del último paper elaborado por IIDC que aborda la Ciberseguridad e Inteligencia en el sector sanitario, documento del que les hacemos un resumen a continuación:

En los últimos años se han incrementado los ataques cibernéticos, a nivel global, contra el sector sanitario. De acuerdo con las estimaciones del sector, cada año el número de ciberataques contra esta industria aumenta en un 20%4. Además, a medida que se implementan soluciones para contrarrestar esta amenaza, los ataques a través de dispositivos electrónicos se van perfeccionando más con el fin de burlar la seguridad.
Los hackers son capaces de dañar equipos y sistemas informáticos y, en ataques más sofisticados, llegar a controlar procesos industriales, desviar pagos a terceros y causar daños físicos a maquinaria. Aparte del coste económico que supone pagar el rescate de los archivos secuestrados o reparar el daño producido por otros tipos de ciberataques, se suman las posibles demandas de clientes o accionistas, el impacto negativo sobre la reputación de la compañía e incluso sanciones por parte de los reguladores. En consecuencia, cada vez más empresas se dan cuenta de la importancia de destinar suficiente presupuesto y personal al área de ciberseguridad.

En la actualidad, existen especialistas que ofrecen el llamado “Crimen como Servicio” (Crime-as-a-Service)5, consistente en proveer de herramientas cibernéticas a individuos u organizaciones con las que estos pueden llevar a cabo ciberataques contra, por ejemplo, una empresa a precios razonables y con casi total impunidad (debido a la dificultad de atribución del ataque al ser perpetrado desde el anonimato). Estos criminales usan herramientas comerciales de Big Data para identificar la capacidad de pago de empresas medianas y pequeñas y para llevar a cabo cientos de ataques simultáneos perfectamente dirigidos, además de trabajar por encargos específicos. La mayoría de ciberataques en la industria sanitaria (extrapolable a otros sectores) son perpetrados por: individuos o pequeños grupos de hackers, activistas, organizaciones criminales y terroristas y, también, Estados. A esta lista cabría añadir empresas de la competencia que recurren al espionaje industrial, a pesar de ser una actividad ilegal.

¿Por qué el sector sanitario?

De acuerdo con el Center for Internet Security, los informes médicos de los pacientes tienen más valor en el mercado negro que la información financiera de las personas. Esto se debe a que, por un lado, al contrario que ocurre con la información de las tarjetas de crédito, no se puede alterar el historial médico. Es decir, si nos roban o perdemos, por ejemplo, el teléfono móvil, siempre podemos cambiar de número. Por otro, McAfee Labs señala que el hecho de que los informes médicos no tengan caducidad les hace ser más valiosos9. De este modo, los criminales pueden engañar a un paciente haciéndose pasar por una aseguradora del sector sanitario (cometiendo, así, un fraude) o incluso revendiendo prescripciones médicas.

En el caso de la industria sanitaria, los ciberdelincuentes buscan tener acceso no solo a la información personal de los pacientes, sino, también, a investigaciones y estudios de carácter confidencial, a información interna de la entidad y a activos protegidos por los derechos de propiedad intelectual, como las patentes. A modo de ejemplo, el robo de información en un laboratorio de investigación puede suponer la desaparición de años de trabajo y dinero invertido. De igual modo, la alteración del contenido puede, por un lado, confundir a los investigadores, obstaculizando su trabajo, y, por otro, causar daños a los pacientes durante ensayos clínicos.

La transición tecnológica que se está llevando a cabo en el sector sanitario y la vulnerabilidad de los sistemas implantados, sumado al valor y volumen de los datos que almacenan y a la falta de medidas preventivas implementadas en materia de ciberseguridad, suponen un atractivo para los ciberdelincuentes. Laboratorios, hospitales, clínicas, etc., cuentan con una red de dispositivos y sistemas que, además de estar conectados entre sí a nivel interno, la mayoría suelen estar conectados a sistemas externos, lo que propicia el interés de los hackers. Así, existen dispositivos conectados por sistema remoto, aparatos médicos interconectados, sistemas de identificación de pacientes, empleados y material médico, así como sistemas de información interconectados. Un ciberataque podría impedir el correcto funcionamiento de escáneres de resonancia magnética, equipos de cardiología o equipos médicos radiactivos13. También, no hay que olvidar que las instalaciones disponen de luz, aire acondicionado y calefacción, servicios que pueden ser alterados por un ciberataque.

¿Qué tipos de ciberataques se producen contra el sector sanitario?

Los ciberataques a empresas del sector sanitario son de distinta índole. Se pueden producir, entre otros, a través de un virus o malware, que ponga al descubierto la información de los pacientes, por ejemplo; de una denegación de servicio (DoS, por sus siglas en inglés), que impida el funcionamiento correcto a las máquinas utilizadas en un hospital; o con la ayuda de un insider, un empleado de la propia empresa que facilite información al hacker o que dañe o filtre información interna.

Un tipo de malware que ya ha afectado a varios hospitales de distintos países es el llamado ransomware, por el que los hackers solicitan el pago de una cantidad de dinero para liberar los archivos secuestrados. Junto con el concepto de ransomware cabe destacar el de “ingeniería social”: el ciberdelincuente se gana la confianza de su víctima (por ejemplo, un empleado) y la manipula para obtener la información que necesita o para que lleve a cabo una determinada acción (por ejemplo, descargarse un programa). El INCIBE indica que “más de la mitad de las infecciones con ransomware tienen lugar por medio de ataques de ingeniería social”. Ante este tipo de ataques, los Gobiernos recomiendan evitar pagar el rescate por diferentes motivos: aparte de que el pago fomenta la actividad delictiva, no hay forma de garantizar que los ciberdelincuentes nos den acceso a la información secuestrada ni de que no nos vayan a pedir una cifra más alta una vez hayamos efectuado el pago. Por tanto, para recuperar la información secuestrada, es aconsejable haber hecho de antemano, como mínimo, una copia de seguridad.

Contra quién se dirigen los ciberataques en el sector

Todas las empresas del sector están expuestas, ya que son un componente vital de la economía y mueven sumas de dinero importantes. Algunos de los focos de ataque son las operaciones de fusiones y adquisiciones ya que se pueden comprometer a través los sistemas tecnológicos de las empresas implicadas. La integración tecnológica de ambas compañías es un proceso lento en el que, además, quedan al descubierto vulnerabilidades al compartir la información, lo que está siendo aprovechado por los hackers.

Aunque es frecuente pensar que solo las grandes empresas llaman la atención de los hackers por el volumen de información sensible que poseen, la realidad es que cualquier entidad puede ser atacada a través de Internet. Hay que tener en cuenta que el sector sanitario está fuertemente interconectado y que no todas las empresas tienen suficientes recursos económicos para disponer de buenos equipos (tanto bienes físicos como capital humano) que se encarguen de la ciberseguridad. Es vital por ello que se defina bien la estrategia de seguridad IT de la empresa, que se defina cuál es la información que se ha de proteger y que las diferentes capas de protección (los procesos internos, la seguridad Interna, la vigilancia externa etc.) estén coordinadas.

Conclusiones

Los riesgos y amenazas a través de Internet para la seguridad de las empresas deben ser considerados y abordados desde una perspectiva estratégica:

 El gran reto de la regulación global para hacer frente a los cibercriminales.

 Su velocidad de adaptación de las nuevas tecnologías y herramientas, como, por ejemplo, el uso de Big Data para llevar a cabo ataques focalizados masivos.

 La estrategia frente a este tipo de peligros ha de estar dirigida desde el más alto nivel de la compañía, ya que conlleva la coordinación de varias unidades (IT, Seguridad, RRHH, Legal, etc.) que no siempre cuentan con la concienciación necesaria ni responden de la misma forma ante situaciones sensibles.

 Para prevenir, detectar y actuar ante un ciberataque es crucial que los decisores dispongan de la inteligencia precisa, para lo que pueden nutrirse del asesoramiento de terceras empresas especializadas en estos servicios. La recopilación, el análisis y la gestión de la información debe llegar a tiempo a los encargados de las tomas de decisiones, quienes podrán obtener mejores resultados y soluciones al contar con una visión global del problema.

 La ciberdefensa se ha de basar en varias capas de protección y se ha de identificar la información más crítica y priorizar su defensa.

 No es cuestión SI se sufrirá un ciberataque, sino CUANDO.

Para más información: ponz@iidc.es
.

MÁS NOTICIAS

Mercado

Acierto advierte de que cinco millones de españoles conducen de forma imprudente

Acierto informa que durante los últimos días numerosos medios de comunicación y usuarios se …

Compañías

Asefa renueva su compromiso con Fundación Inade

Asefa Seguros ha renovado el convenio de colaboración que mantiene con Fundación Inade desde 2012 …

Salud

DKV alerta del avance de la obesidad infantil

DKV señala que la obesidad infantil se ha convertido en uno de los mayores problemas …