La ciberseguridad, un problema de salud
La seguridad de la información afecta a la seguridad del paciente.
Hace unos días se produjo la segunda alerta de la AEMPS sobre una aplicación móvil, si no me fallan las cuentas. La primera fue en diciembre de 2016.
Esto es sólo una muestra de qué importancia adquiere la seguridad de los sistemas de información en la seguridad del paciente. Sin embargo, las Apps son sólo la punta del iceberg, lo que acompaña al usuario final, el paciente, en el cuidado de su enfermedad, pero hay muchos otros ejemplos de cómo la seguridad de la información afecta a la seguridad del paciente, ejemplos que van, desde asegurar que un citostático se administra en la dosis correcta al paciente correcto, al impacto que una vulneración de la privacidad de historias clínicas, como la más reciente de Singapur, puede tener en un paciente con problemas de salud mental o sexual, o el secuestro digital de las infraestructuras de un hospital.
La superficie de exposición es grande por los sistemas heredados, muy vulnerables, y por la interacción con múltiples dispositivos y sistemas diferentes, pero no vamos a hablar de ransomware, porque ya conocemos sus consecuencias, y porque hay otras cosas más preocupantes: en cualquier otra ingeniería, la seguridad forma parte de los criterios de calidad de un producto, pero cuando hablamos de software, aún omitimos esos requisitos de seguridad en demasiadas ocasiones, y si hablamos de salud esto es algo inadmisible. En ningún caso.
El uso de sensores, de Big Data, de inteligencia artificial, etc. hace que los algoritmos cada vez tengan más peso en el diagnóstico y en el tratamiento de los pacientes, así como en las decisiones clínicas. Un ejemplo son los parches para la diabetes, que comunican por bluetooth o RFID con el teléfono móvil dándole al paciente consejos de salud, y confiando el paciente y el profesional en estas mediciones para el control diario de su enfermedad.
En resumen, las TIC están introduciéndose cada vez más en el cuidado de nuestra salud, y sería negligente no valorar el impacto que pueden tener en la seguridad del paciente. En el software médico debemos tener en cuenta tanto los casos de uso, como los casos de abuso, porque a los problemas que pueden producir errores humanos, debemos sumar los ataques dirigidos, por sabotaje, terrorismo, espionaje o fraude. Según Ponemon Institute, la salud fue el quinto sector por pérdidas económicas por ciberataques en 2017: 11 millones de euros, siendo el malware, los ataques vía web y el phishing y la ingeniería social los ataques más frecuentes en Europa.
En el contexto de un hospital, por ejemplo, según ENISA (EU Agency for Network and Information Security), existen múltiples “activos” susceptibles de ataque: sistemas de telemedicina, dispositivos médicos o modalidades conectadas en red, los sistemas de identificación de pacientes, el equipamiento de red, dispositivos móviles utilizados por el personal sanitario, los sistemas de información y su interoperabilidad, los datos propiamente dichos de los pacientes, y los edificios y las infraestructuras que los soportan (aire acondicionado, generadores, conducciones de agua, etc.).
La buena noticia para los CISOs es que ahora mismo hay una conjunción de factores regulatorios que obligan al sector de la salud a tomar medidas rápidamente: La entrada en vigor del RGPD, la puesta en marcha de la directiva europea NIS, y los plazos para que las Administraciones Públicas cumplan el Esquema Nacional de Seguridad (ENS), entre otros. Lógicamente, los servicios de salud tienen que dedicar un tiempo y un presupuesto, porque hay camino por recorrer. Pero los proveedores de salud cuentan con algunas ventajas: el marco regulatorio es convergente, no duplica los esfuerzos, y el Centro Criptográfico Nacional (CCN) da apoyo al sector a través de su CERT y sus herramientas.
 |
Juan Carlos Muria TarazónPhD CISA CGEIT - Subdirector Sector Salud S2 Grupo |
