Punto de vista preocupación por los ciberataques en el sector sanitario

Un año después de WannaCry: la gestión de datos en el sector sanitario

Hace un año, los titulares de las noticias de todo el mundo hablaban de las repercusiones de gran magnitud del ataque tipo ransomware del WannaCry. Afectó a más de 300.000 ordenadores en 150 países y la epidemia fue tal que alertó a los gobiernos de que los sectores público y privado no contaban con una adecuada protección y gestión de datos.

Un año después, el sistema público de sanidad del Reino Unido, la NHS, ha tenido que hacer frente a otra noticia poco alentadora: Rob Shaw, su subdirector general digital, informó al Comité Británico de Cuentas Públicas que ninguno de los 200 centros del sistema en los que se analizó la ciberseguridad, tanto antes como después del ataque, había pasado la evaluación.

WannaCry ha supuesto un aviso para los departamentos TI que trabajan en el sector sanitario en todo el mundo

Si queremos ver el lado bueno de lo sucedido, WannaCry ha supuesto un aviso para los departamentos TI que trabajan en el sector sanitario en todo el mundo, dado que ha dejado muy claro cuáles pueden ser los efectos devastadores en caso de producirse un ataque avanzado y sostenido contra la ciberseguridad. No deberíamos permitir que esto pase de nuevo.

Ciberseguridad y atención sanitaria

Dado que otros sectores ya cuentan con una tecnología más sofisticada para detectar y bloquear ciberataques, los delincuentes han empezado a buscar de forma activa nuevas fuentes de datos valiosos y se han dado cuenta de que un candidato potencialmente interesante es el sector sanitario.

Las instituciones sanitarias como conjunto gestionan enormes cantidades de información sensible sobre la gran mayoría de la población y, en algunos casos, sus sistemas TI también se conectan a datos de los servicios financieros.

Las instituciones sanitarias han tardado en adoptar el tipo de prácticas de prevención que han funcionado en otros sectores

En lo que respecta a la seguridad TI, las instituciones sanitarias han tardado en adoptar el tipo de prácticas de prevención que han funcionado en otros sectores. Gran parte del personal médico desconoce los riesgos de la seguridad de datos (a pesar del énfasis que este sector pone desde siempre en la privacidad del paciente). Las instituciones sanitarias también suelen tener presupuestos y equipos de seguridad más limitados que las empresas de otras áreas, lo que obviamente plantea otros retos.

A medida que instituciones y empresas adoptan y aceptan las nuevas tecnologías para impulsar la flexibilidad, la rentabilidad y el crecimiento, es importante que los directores de los departamentos de informática construyan infraestructuras TI seguras, capaces de soportar un ataque y que, además, cuenten con procesos de backup instalados para garantizar que los datos sigan disponibles para todo aquel que los necesite.

La necesidad de prevenir

Gran parte del personal médico desconoce los riesgos de la seguridad de datos (a pesar del énfasis que este sector pone desde siempre en la privacidad del paciente)

El axioma “prevenir es mejor que curar” es una verdad en el campo de la seguridad TI del mismo modo que lo es en la atención sanitaria. Es preciso insistir en lo eficaz que es una acción preventiva contra las amenazas de la ciberseguridad. Los backups offsite y offline mitigan los efectos del ransomware y, si además los combinamos con el paquete de seguridad adecuado y con formación para concienciar a los empleados, se puede prevenir por completo el problema. Sin embargo, en el tema de la seguridad y los backups de datos, la diferencia entre lo que se debería haber hecho y la realidad es sorprendente.

Un estudio de Veeam sugiere que menos de la mitad de los responsables de la toma de decisiones TI ponen a prueba los backups cada mes. Permitir que pasen largos periodos de tiempo entre cada prueba puede incrementar las posibilidades de tener problemas cuando sea necesario recuperar los datos. Y si nos fijamos en los que sí llevan a cabo pruebas de backup, apenas un 26 % prueba más del 5 % de sus backups.

Hay varias formas de hacer backup externo de datos, de discos de sistema y unidades extraibles de disco duro, a dispositivos de cinta offline y backups en cloud. Independientemente de la opción elegida por la empresa o institución, el repositorio de backup debe estar protegido contra ataques.

Mitigar el impacto del ransomware

Hay algunos pasos obvios que toda empresa debe dar para evitar ataques tipo ransomware. Tener todo el software actualizado y llevar a cabo un análisis de amenazas con el equipo de seguridad (incluyendo pruebas de penetración para encontrar cualquier vulnerabilidad). Una de las principales razones por las que la NHS se vio tan afectada por el ataque WannaCry fue que dentro de la organización existía una falta generalizada de parches en los sistemas. Ninguno de los 80 centros que se vieron afectados por el ataque había implantado el último parche de seguridad, a pesar de que el departamento digital de la NHS se lo había aconsejado en abril de 2017

Ahora que las amenazas de ransomware son cada vez más frecuentes y complejas, las empresas e instituciones tienen que asegurarse de que pueden mitigar el impacto de este tipo de ataques adoptando buenas prácticas comunes para la gestión de datos inteligente. Una vez se ha producido el ataque, hay dos líneas de acción: pagar el rescate (sin garantía de poder recuperar los archivos cifrados o prevenir una nueva infección) o restaurar los datos de la forma más rápida y fiable posible.

Una de las mejores y más fiables reglas de protección de datos, capaz de mitigar de manera eficaz un ataque tipo ransomware, es la regla 3-2-1 que recomienda a las empresas:

Tener al menos tres copias de los datos, la primaria y dos copias, para evitar perder datos si falla un backup.

Guardar las copias en dos tipos diferentes de medios, como cinta, disco, almacenamiento secundario o cloud. Mantener una copia en una ubicación offsite (cinta o cloud) por si se producen amenazas locales o infecciones ransomware dentro de la red.

Cumplir la regla 3-2-1 supone que las empresas o instituciones siempre tendrán un backup de los datos y sistemas disponible que pueden usar. Esta es una precaución fundamental en este mundo en el que un ataque ransomware puede dejarte offline en un instante.

Campañas de concienciación

En la actualidad la principal causa de los fallos de seguridad graves es el error humano

En la actualidad la principal causa de los fallos de seguridad graves es el error humano. Todas las empresas e instituciones deben dar prioridad a la formación obligatoria para todo el personal, esto es especialmente pertinente en el sector sanitario, en el que el personal a veces tiene que tomar decisiones de vida o muerte y, lógicamente, no puede centrarse en las mejores prácticas de ciberseguridad cuando eso ocurre.

Ahora que todavía no se ha olvidado el impacto de estos ataques y fallos de ciberseguridad, podemos aprovechar la oportunidad y asegurarnos de que el personal está preparado con el mejor conocimiento posible sobre los procesos y prácticas de prevención que han demostrado una mayor eficacia.

Un enfoque integral

Proteger la información relativa a la salud de los pacientes tras ataques como el WannaCry requerirá un esfuerzo coordinado entre entidades y empresas de atención sanitaria, así como importantes inversiones para implantar nuevas herramientas y nuevos procesos. No obstante, las líneas básicas que hemos descrito aquí pueden marcar una gran diferencia en poco tiempo.

En la actualidad, los hospitales deben enfrentarse al riesgo de infecciones en los sistemas TI con la misma seriedad con la que luchan contra las infecciones médicas

Es más, para que contemos con una gestión de datos inteligente en el sector sanitario, los directores de los departamentos de informática en este sector tendrán que hacer frente a los riesgos de ciberseguridad en toda su organización y no limitarse únicamente a un área nicho (el acceso a las historias clínicas de los pacientes, por poner un ejemplo). Además, deberán prepararse para compartir lo que aprendan con otros compañeros.

En la actualidad, los hospitales deben enfrentarse al riesgo de infecciones en los sistemas TI con la misma seriedad con la que luchan contra las infecciones médicas. Gracias a la gestión de datos inteligente, las empresas e instituciones del sector sanitario pueden garantizar los procesos necesarios para asegurar que las infecciones en los sistemas TI basadas en malware se pueden extirpar quirúrgicamente antes de que pongan en peligro la vida del paciente.

Jorge Vázquez González

Country Manager Veeam Software Iberia

Deja un comentario