Redacción Farmacosalud.com

Para Ricardo de Andrés, Country Manager de ICU Medical -compañía con amplia experiencia en dispositivos médicos seguros- la protección que existe hoy en día frente a ciberataques en los hospitales públicos y privados españoles es “mejorable y depende de cada caso en concreto, ya que el tema de la ciberseguridad siempre ha estado presente y se ha invertido, pero en un marco de recortes de recursos y de inversión, al final se nota que estamos en peores condiciones que la banca o las empresas de telecomunicaciones”. Más que nunca, pues, hay que potenciar y mejorar los sistemas de seguridad de las redes internas, y hacer lo mismo con las encriptaciones, contraseñas, antivirus informáticos, copias de seguridad de las historias clínicas… “El tema es el porcentaje de recursos que se necesitan para abordar una seguridad razonable, y la mejor referencia es la banca, que ha sido uno de los objetivos preferentes” de los grupos de ciberdelincuentes, señala De Andrés en declaraciones a www.farmacosalud.com.

Por lo menos, en los hospitales españoles hay protocolos de actuación ante varios tipos de contingencias, incluida la posibilidad de un ciberataque, tal y como recoge De Andrés: “Dentro de las políticas de seguridad de la información hay un apartado dedicado a planes de contingencias y continuidad de la organización, donde se definen los actores, responsabilidades, procedimientos y recursos necesarios cunado se producen incidentes que pueden afectar a la organización, de manera que se sepa reaccionar de manera ordenada y eficiente para mantener la prestación de los servicios sanitarios”.

“Estos planes -prosigue- se tienen que integrar junto con otros planes de seguridad que afectan a las organizaciones, incluidos los relativos a catástrofes y emergencias. Es, por tanto, importante alinear los objetivos de la organización y las pruebas que permitan evaluar el nivel de preparación y respuesta ante eventos adversos. En general, las pruebas de este tipo (simulacros) están presentes en las organizaciones sanitarias, lo que demuestra la importancia de estar preparado para cuando ocurran los incidentes, que tarde o temprano siempre nos afectarán”.

El anonimato de las transacciones con criptomonedas, ventaja para los ciberdelincuentes
Cualquier organización con ánimo de lucro o terrorista puede estar interesada en perpetrar un ataque informático contra un centro hospitalario. Si bien detrás de esas acciones puede haber una guerra de competencia empresarial o meras intenciones desestabilizadoras, muchos ataques se llevan a cabo para secuestrar información y pedir rescate por ella (ransomware), es decir, los motivos serían fundamentalmente económicos. Además -recuerda De Andrés-, los ciberdelincuentes aprovechan los mecanismos de la red que facilitan el secretismo de los pagos y los cobros dinerarios, como “el uso de criptomonedas, que permite el anonimato de las transacciones”.

Un claro ejemplo de exigencia de recibir dinero a cambio de devolver la ‘normalidad’ a los sistemas informáticos remite al bloqueo y paralización de 16 hospitales del Reino Unido, a los que se les exigió un rescate por sus datos. Con todo, también es cierto que, en ocasiones, y dependiendo del tipo de asalto y de las consecuencias que genere, los daños provocados pueden ser anecdóticos.

La cuestión ya no es si se va a producir una ciberincidencia, sino cuándo va a ocurrir
Sea como fuere, el panorama de las garantías informáticas en el ámbito hospitalario no es muy halagüeño que digamos. Así, el gerente del Hospital Universitario de Fuenlabrada (Fuenlabrada, en Madrid) y miembro de la junta directiva de SEDISA, Carlos Mur de Viu, asegura que “la cuestión fundamental referente a las amenazas que se ciernen sobre la seguridad cibernética de los hospitales no radica en si se va a producir una incidencia, sino, más bien, en cuándo va a ocurrir y en la gravedad que ello va a comportar para el sector sanitario en su conjunto”. Asimismo, Mur revela que, tras realizar un estudio piloto en dos hospitales madrileños con investigadores de la Universidad de Oxford, “concluimos que somos más vulnerables de lo que preveíamos. Y los motivos de los ataques cibernéticos a hospitales son ya muy diversos”.  Este y otros expertos han participado en la Jornada ‘Ciberseguridad y riesgos en hospitales’, celebrada recientemente gracias al impulso de ICU Medical.

Por su parte, Alberto Francoso Figueredo, jefe de Análisis del Servicio de Ciberseguridad del Centro Nacional de Protección de Infraestructuras y Ciberseguridad, comenta que ya se está trabajando en un esquema de Certificación para Infraestructuras. Según De Andrés, esta iniciativa “aporta un marco de referencia que, junto con otros estándares, definen claramente las metas a alcanzar y los requerimientos de seguridad para dar las mejores garantías a los pacientes y profesionales para el desarrollo de la asistencia sanitaria”.

La relevancia de aplicar el blockchain
Juan Díaz García, delegado de Seguridad y Protección de Datos de la Sociedad Española de Informática de la Salud (SEIS), resalta la importancia de que en Europa se adopten certificaciones como la UL2900 -que ya ha sido aprobada por la FDA en EEUU para garantizar la ciberseguridad en los hospitales-, así como la aplicación de la ISO27000 en las organizaciones privadas, y la aplicación del Esquema Nacional de Seguridad en la Administración Pública. “Esto permitiría evitar el enorme coste económico y social que supone la falta de disponibilidad del equipamiento o su mal funcionamiento, que puede llevar a los errores de medicación en el ámbito hospitalario, especialmente en oncología, y afectando de esta manera sobre la Seguridad del Paciente”, señala.

“Un marco normativo y de buenas prácticas sobre la seguridad de la información es fundamental para asegurar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de los dispositivos médicos, sistemas de información y procedimientos operativos en las organizaciones sanitarias”, asevera el Country Manager de ICU Medical en relación a los conceptos UL2900 y ISO27000. “Sobre todo -añade-, ayuda a disminuir el riesgo de ciberincidentes y, por tanto, asegura una mejor prestación de la asistencia al no sufrir interferencias por indisponibilidad de la historia clínica electrónica, sistemas de imágenes, servicios de soporte o equipamiento”.

Por último, José Manuel Martínez Sesmero, director de investigación e innovación de la Sociedad Española de Farmacia Hospitalaria (SEFH), remarca la relevancia de aplicar el blockchain en el ámbito farmacéutico: “Dentro de la cadena de producción de los fármacos es muy importante tener la seguridad de cómo un medicamento ha sido creado, se ha distribuido y ha llegado a su punto final. El blockchain, debido a su inmutabilidad y trazabilidad, garantiza que todo fármaco que un paciente tome y sea distribuido por una farmacia, independientemente del canal de distribución, sea el medicamento que dicen que es y además pueda ser utilizado en el momento adecuado”.