2024 llega a su fin con no pocos desafíos pendientes en materia de fiabilidad digital y promesa de nuevas soluciones tecnológicas para los pacientes. Razón por la que responsables del área de ciberseguridad de diferentes territorios participaron en la mesa de gestión de datos en la nube que formó parte de la última edición de la Spain Healthcare Innovation Summit organizada por la Fundación Bamberg y Bamberg Health.

Bernardo Plaza Trillo

En un contexto en el que, como expresó el consultor senior de la firma QARA, Bernardo Plaza Trillo, se habla de "lasaña" normativa por la acumulación de reglamentos y regulaciones comunitarias directamente relacionadas con la protección de datos, la gestión de la calidad y la seguridad de los algoritmos de IA, dado que el 60% de las aplicaciones que se usan en los entornos hospitalarios no están en parte, o absolutamente, reguladas con el riesgo que representa esto para sus responsables directos.

Pol Pérez Sust

En primer lugar, Pol Pérez Sust, director del área de sistemas de información del CatSalut y coordinador de TIC en el departamento de Salud del mismo Servei Català de Salut, evocó la dura experiencia que supuso el ataque sufrido por el Hospital Clínic en marzo de 2023 y que fue cuantificado en 4,5 TB de datos sustraídos de pacientes y profesionales.

Destacó la gran exposición de los hospitales a este tipo de ataques que resultan expecialmente dañinos porque bloquean la actividad asistencial desde las urgencias al resto de los servicios, sin que los planes de contingencia puedan ser poco más allá de un salvavidas momentáneo. Si se tiene en cuenta que los sistemas se sobrecalientan al superponerse la información sobre las necesidades cotidianas de las personas ingresadas como, por ejemplo, su medicación.

Eventualidades para las que se plantea la protección en "capas de cebolla", mediante segmentación de la red, doble factor de autentificación, monitorización continuado de tráfico para detectar comportamientos anómalos y especialmente, haber pensado muy bien las estrategias de recuperación de actividad. Algo que, en Cataluña, se organiza bajo el paraguas de la agencia catalana de ciberseguridad y una estrategia de copias inmutables porque es imposible evitar todos los incidentes o ataques, de los que la sanidad catalana recibe uno cada ocho minutos. Fenómeno agravado por la obsolescencia de la propia red que no permite su segmentación en los términos que sería necesario y un ritmo de actualizaciones de aplicaciones médicas incapaz de seguir el dictado por los propios proveedores. A la espera del cambio cultural que está pendiente de asentarse en el personal desde la conciencia de que la seguridad absoluta nunca es posible del todo.

Destacó Pérez Sust que este nuevo paradigma de securización aterriza en unas infraestructuras lógicamente algo añosas, junto a las exigencias en materia de protección de datos que resultan difíciles de implementar en un panorama que se complica con los algoritmos de IA. En un camino de adopción de medidas en sintonía con la transposición de la normativa europea que todavía no es cumplida al 100% presumiblemente por ningún, o casi ningún, hospital.

Tomás Gómez

Por su parte, el responsable del área de seguridad CISO del Gobierno de La Rioja, Tomás Gómez, redujo los ciberataques conocidos que padece su región a unos 40 diarios. A los dos años de haber desarrollado en su territorio su primera estrategia de seguridad muy basado en la prevención, que siempre es más eficiente. Para lo que se implantan herramientas que se anticipen a posibles incidentes por las amenazas potenciales. Además de hacer un trabajo muy centrado en la protección de datos. Con la vista puesta en la transposición de la normativa europea en materia de suministros al sector salud. Por lo que pidió a la industria que mejore en aquellos déficits todavía no atendidos dentro de la cadena de suministros.

Emilio Rodríguez

Seguidamente, el director de organización y sistemas de Hermanas Hospitalarias, Emilio Rodríguez, recordó que todas las facetas de la ciberseguridad son susceptibles de ser entrenadas. A lo que sumó el inconveniente de tener que parchear los espacios que puedan comprometer la seguridad digital. Citó también la necesidad de formación del personal porque no todo esto va únicamente de tecnología. Siendo, por tanto, imprescindible ejercer el necesario liderazgo.

Álex Rocha

Desde el ángulo de la industria proveedora, el country manager de la firma Armis para Iberia, Álex Rocha expuso su experiencia en hospitales de la Península, ya sea en España o Portugal. Desde la premisa de que la tecnología tiene que abrir una puerta a favor de la salud de los pacientes. Lo que requiere a la vez una estrategia digital y también humana porque estas implementaciones requieren contar con personal altamente cualificado. Aunque dicho personal se puede suplir en parte con productos innovadores basados en IA ante el gran desafío que suponen las brechas de seguridad, en virtud del gran volumen de información que se maneja cada día y el crecimiento exponencial de los ciberataques. Hasta el punto de que el sector sanitario recibe hasta diez veces más ataques que el sector bancario o financiero. De forma que el robo de una tarjeta de crédito, que apenas supone diez euros en el mercado negro, no es comparable con los grandes beneficios que se pueden sacar de los expedientes médicos una vez que son robados. Fenómeno de proporciones difíciles de cuantificar en su totalidad, a la vista de esos once millones de ataques digitales que se producen en sanidad.

Finalmente, razonó Rocha que sería deseable no tener que trabajar con plataformas windows XP, por ejemplo, ni hablar distintas jergas a la hora de establecer los sistemas de ciberseguridad. Tarea no pequeña, si se tiene en cuenta que existe un billón calculado de vulnerabilidades en el espacio digital del sector. Con inclusión de los dispositivos médicos, tal como se comprobó amargamente en Corea del Sur hace apenas unos años, tal como recordó este directivo.