Punto de vista los hospitales, objetivo preferente de los ciberataques

Cuatro pasos hacia una sanidad cibersegura

Dado que los hospitales se han convertido en uno de los objetivos preferentes de los ciberataques, el autor reflexiona sobre los porqués de los mismos y apunta algunas soluciones.

Los cibercriminales han puesto la diana en la sanidad en un momento muy sensible para el sector, que aún necesita avanzar en el terreno de la ciberseguridad, para lo que se enfrenta a unos retos tecnológicos únicos. En los últimos meses hemos asistido a un incremento de las noticias relacionadas con incidentes de ciberseguridad en hospitales, en su mayoría ocasionadas por ataques de ransomware (software que secuestra los equipos mediante el cifrado de la información y por la que se pide un rescate) que han culminado con la triste noticia del fallecimiento de un paciente durante unos de estos ataques a un hospital alemán.

Vista esta situación podríamos preguntarnos: ¿se han convertido los hospitales en un objetivo de los criminales?, ¿hay alguna característica sectorial que haya conducido a esta situación?, ¿se puede hacer algo para cambiarlo?

Los hospitales, víctimas propicias

Los criminales se han fijado en los hospitales como organizaciones con un nivel de seguridad no muy alto en términos de las calificaciones de ciberseguridad

Me temo que las respuestas no son muy halagüeñas. Efectivamente, los criminales se han fijado en los hospitales como organizaciones con un nivel de seguridad no muy alto (en términos de las calificaciones de ciberseguridad que emitimos en LEET Security, digamos que estarían más cerca de la C que de la A) y que están sometidos (por desgracia) a urgencias incrementadas en este tiempo, lo que les convierte en víctimas muy propicias porque, potencialmente, estarán dispuestos a pagar los secuestros solicitados por el atacante con tal de recuperar sus sistemas.

Para intentar revertir esta situación debemos partir de la identificación de la causa raíz para, a partir de ahí, subsanar los errores que hubiéramos podido cometer en el pasado.

En primer lugar, hemos de decir que a la hora de establecer las medidas de protección de un sistema hay que partir de una valoración de la criticidad de los servicios que dichos sistemas posibilitan. Y en este punto, los centros hospitalarios enfrentan un reto que no es habitual en otras organizaciones. Normalmente, lo que nos encontramos son servicios que tienen unos requisitos muy altos desde el punto de vista de disponibilidad, pero no de confidencialidad o al revés. Por ejemplo, el sistema de control de una central nuclear es muy demandante en términos de disponibilidad (“no puede caerse”) pero, sin embargo, la información que maneja no es confidencial. Y en el extremo contrario, un sistema de recursos humanos tiene información muy sensible de los empleados, pero su disponibilidad no es tan importante, porque las nóminas se pagan una vez al mes. Sin embargo, en estos entornos tenemos requisitos muy altos tanto en confidencialidad como en disponibilidad. El mayor paralelismo que puedo encontrar serían los medios de pago: también tienen que estar disponibles 24×7 y manejan información sensible (nuestra cuenta bancaria).

Dependencia de la tecnología

Quizás la tecnología no sea condición suficiente para seguir prestando el servicio, pero desde luego es condición necesaria

El siguiente paso sería valorar la dependencia que tiene nuestro servicio de la tecnología. En este punto encontramos una gran diferencia con los sistemas de medios de pago: mientras que estos servicios no se conciben sin la tecnología, no creo que ningún gestor de un hospital tenga la sensación de que su capacidad de prestar servicio depende de la tecnología, porque el servicio nació sin tecnología y esta se ha incorporado después como algo accesorio. Lo imprescindible es el personal sanitario, las instalaciones, el aprovisionamiento de material sanitario… pero no la tecnología. O al menos, era así antes.

Y quizás aquí radique el gran problema para cambiar la situación. Aunque seguimos pensando en la tecnología como algo accesorio para el servicio, la realidad es que dependemos 100% de ella para poder trabajar. Digamos que es como si después de ser padres por primera vez pensáramos que nuestra vida va a seguir igual, cuando todos sabemos que, a partir de ese momento, todo gira alrededor de esa pequeña criatura. Pues lo mismo pasa con la tecnología, quizás no sea condición suficiente para seguir prestando el servicio, pero desde luego es condición necesaria. Y en este sentido debemos invertir en protegerla y dotarla de mecanismos de ciberseguridad que aseguren que se pueden mantener los requisitos de confidencialidad y disponibilidad que antes comentábamos.

A modo de conclusión

Por tanto, y como conclusión de esta reflexión, ¿qué deberíamos hacer?

  1. Poner a la tecnología al mismo nivel que el resto de recursos necesarios para prestar el servicio.
  2. Evaluar la criticidad de los distintos sistemas (no todos son igual de críticos) y establecer un nivel objetivo de seguridad acorde (en términos de LEET Security, por ejemplo, A A A+, es decir un nivel máximo en disponibilidad y un peldaño por debajo en confidencialidad e integridad).
  3. Realizar un análisis del nivel de protección actual (por ejemplo, usando herramientas como EQualify).
  4. Elaborar un plan de mejora de la ciberseguridad para cubrir el gap entre el nivel actual y el nivel objetivo.

No es una tarea fácil, pero cuanto más tardemos en empezar, más tardaremos en cambiar la tendencia.

Antonio Ramos

CEO y fundador de LEET Security