La presidenta ejecutiva de Health-ISAC, Denise Anderson, ha asegurado que las amenazas de ciberseguridad en el ámbito sanitario, tanto para hospitales y centros sanitarios como para instituciones y compañías del sector, siguen en aumento. En el caso de las empresas del sector salud, el número de este tipo de amenazas ha seguido una línea ascendente en los últimos tiempos, hasta el punto de que, según explicó Anderson, los ataques cibernéticos a direcciones de correo empresariales en el sector salud han crecido un 279% solo durante el presente año.
Anderson realizó estas afirmaciones en Roche Informatics Madrid, uno de los más importantes nodos tecnológicos del grupo Roche, para abordar los principales retos en esta materia en el ámbito de la salud.
La sesión, que coincide con la celebración en Octubre del Mes Europeo de la Ciberseguridad, forma parte de un recorrido europeo organizado por la organización global Health Information Sharing and Analysis Center (Health-ISAC), entre cuyos objetivos figura el de compartir información vital sobre amenazas cibernéticas en el sector sanitario.
En lo que se refiere al ransomware, un tipo de ataque programa que restringe o impide el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de liberar de nuevo la información, afecta a prácticamente todos los países, siendo Estados Unidos el que más incidentes de este tipo registra.
Según estimaciones presentadas en la jornada, solo en un año, de junio de 2022 a julio de 2023, Estados Unidos sufrió casi 1.500 ataques de este tipo en términos generales, no solo en el terreno sanitario. En Europa el país con más incidentes de ransomware en el mismo periodo fue Reino Unido (196), seguido de Alemania (124), Italia (120), Francia (118) y España (90).
Las amenazas cibernéticas pueden llegar por varios frentes, como los ataques a los propios empleados (mediante ramsonware, robos de credenciales…), a las cadenas de distribución, a los hospitales y centros sanitarios (también vía ramsonware y extorsión), y generar daños críticos en las instituciones derivados de la filtración de datos, el daño a los derechos de propiedad intelectual, la manipulación de información sensible, la rotura de la continuidad de las operaciones de una empresa o una entidad, etcétera, lo que a su vez tiene puede tener serias consecuencias tanto financieras como reputacionales.
Detrás de estos ataques suele esconderse además un lucrativo negocio para los autores de estas amenazas, ya que en el caso de la salud existen datos muy sensibles que pueden verse comprometidos. Así por ejemplo, tal como reflejan algunos informes, mientras que los datos de una tarjeta de crédito pueden venderse por entre 8 y 22 dólares en el mercado negro, y los de una carné de conducir por 20 dólares, comerciar de forma ilícita con una historia clínica completa de un paciente puede reportar al delincuente más de 1.000 dólares.
En el caso de Roche, garantizar la seguridad de la información es fundamental para nuestro objetivo de desarrollar medicamentos, nuevas herramientas diagnósticas y también para generar nuevos conocimientos científicos que permitan ayudar a mejorar la calidad de vida y la salud de los pacientes. “Cada vez más nuestro trabajo gira en torno a los datos y por eso consideramos que es absolutamente fundamental proteger la integridad de toda esta información”, señaló Esteban Serrano, Prevention & Protection Product Line Lead en Roche Informatics Madrid, que participó en la jornada.
Garantizar la integridad de la información es clave tanto para las distintas entidades y personas con las que colabora Roche, que tienen la seguridad de que sus datos están protegidos, como para los pacientes, cuya privacidad es de suma importancia para la empresa. Es por ello que la compañía cumple siempre con todas las leyes, regulaciones, estándares y políticas globales, regionales y locales aplicables, y dispone de un amplio conjunto de certificaciones que garantiza este firme compromiso con la protección de datos y la ciberseguridad.
En este contexto, según explicó Esteban Serrano, los expertos de Roche trabajan en la mejora constante de las herramientas de ciberseguridad a través de un enfoque múltiple, a través de distintas pruebas de penetración, vulnerabilidad de sistemas y de perímetro de red, entre otras. La compañía tiene también en marcha un Programa de Recompensas por Vulnerabilidad, que invita a piratas informáticos reales a buscar errores y fallos de seguridad en las páginas web de la empresa.
Parte de esta apuesta por la ciberseguridad es el hecho de que, a diferencia de otras empresas, Roche no subcontrata la mayor parte de la organización de seguridad de la información, sino que desarrolla internamente sus capacidades de seguridad y siempre está abierta a incorporar los mejores talentos externos en este campo.
Nicolas Gonzalez Casares: