La sanidad se reinventa en la nube y queda expuesta a ciberataques. ¿Cómo prevenirlos?
Los avances tecnológicos en el sector sanitario han conducido a una mayor interconectividad e infraestructuras basadas en la nube como respuesta a la necesidad de mantener una distancia física nacida del COVID-19 y la urgencia de hacer frente a los abrumadores volúmenes de pacientes a través de la asistencia telemática.
Según los datos de Global Markets Insights, el mercado de la computación en la nube en el sector salud fue valorado en más de 29.000 millones de dólares en 2020 y se espera que para el 2027 tenga un valor de 79.300 millones, con una tasa de crecimiento anual del 13,4%. Por tanto, nos encontramos ante una industria y un proceso de migración a la nube importantes, una situación que no pasa desapercibida entre los cibercriminales.
¿Qué buscan los cibercriminales cuando atacan al sector sanitario?
Los registros sanitarios son uno de los tipos de información más valiosos porque existen muchas maneras de usarlos en la Dark Web, lo que les permite obtener grandes sumas por ellos. Por ejemplo, puede utilizarse para comprar recetas, recibir tratamientos o hacer reclamaciones médicas falsas y traer consigo caos generalizado, lo que a largo plazo afectará a las personas cuya información fue robada.
Los resultados del Verizon’s Data Breach Investigation Report, indican que entre las motivaciones que encuentran los ciberdelincuentes para atacar a este sector están, en primer lugar, las cuestiones financieras (95%), seguido por el espionaje (4%), la conveniencia (1%) y, por último, el rencor (1%).
Una vez que los atacantes logran acceder al sistema de un centro sanitario, entre los datos comprometidos suelen encontrarse datos personales (58%), datos médicos (46%), credenciales (29%) y otros (29%).
Principales tipos de ciberataques al sector sanitario
Además del valor de la información sensible de identificación personal (PII), el sector sanitario es, muchas veces, un blanco relativamente fácil para los black hat. El aumento del Internet de las Cosas Médicas (IoMT), la protección insuficiente como el uso de portales para compartir la información médica de los pacientes que pueden ser una vía de entrada a través de las contraseñas débiles, no hacer uso del MFA, no contar con soluciones de ciberseguridad capaces de detener amenazas avanzadas, el uso de sistemas heredados y la formación ineficaz de los empleados, generan una mayor susceptibilidad a un ataque.
En una encuesta realizada en marzo de este año, Health-ISAC determinó las cinco principales amenazas de ciberseguridad para el sector sanitario entre 2021 y 2022:
- Ransomware
- Phishing
- Brechas de datos de terceros
- Brechas de datos propias
- Amenazas internas
Asimismo, los hallazgos del estudio 2021 HIMSS Healthcare Cybersecurity Survey, concuerdan con estos datos, ya que, según sus resultados, el phishing y el ransomware se encuentran en los primeros resultados con un (45%) y (17%) respectivamente. Le siguen las brechas de datos (7%) y el social engineering (5%).
La autenticación multifactor (MFA): un imperativo para la sanidad
Si los profesionales sanitarios deben acceder a la historia clínica electrónica de un paciente a través de un portal clínico, es crucial que sigan un protocolo que asegure el acceso a la información únicamente de las personas autorizadas para verla. Los datos sanitarios deben restringirse al personal imprescindible, y los accesos deben ser revisados con frecuencia.
Además, si se trata del acceso a la nube, implementar una solución de MFA es estrictamente obligatorio. La privacidad de los datos es tan crítica que incluso dentro de sus redes, la MFA no debería pasar desapercibida. Algunas empresas eliminan el requisito de MFA cuando los usuarios están físicamente dentro de la red, ignorando el riesgo de ataques y movimientos laterales. Por ejemplo, en el 2021 un hospital holandés recibió una multa por 440.000 € de la Autoridad neerlandesa de protección de datos (DPA), debido a la protección inadecuada de las historias clínicas de los pacientes entre 2018 y 2020, al no contar con la seguridad suficiente para evitar el acceso no autorizado a los historiales dentro de la propia red.
Aun así, el HIMSS reveló en los resultados de su estudio global que solo el 34% de los encuestados afirmó haber implementado el uso de la autenticación multifactor en su organización. En cambio, otros encuestados indicaron que este tipo de autenticación se aplica en menor medida en sus instituciones. Esto genera un riesgo innecesario en la confidencialidad, la integridad y la disponibilidad de la información.
Como MSP, es importante establecer el uso de esta solución y aconsejar a los clientes dedicados al sector sanitario sobre cuál es la más adecuada para ellos. La sanidad maneja una de las informaciones más sensibles que es la información médica de los usuarios, y la MFA para acceder a ella es fundamental, además de un requisito dentro de las regulaciones desde hace mucho tiempo. Las organizaciones médicas que lo han incluido están dentro del cumplimiento de las normativas como es el caso de la Generalitat Valenciana. Por el contrario, como se demostraba en los casos anteriormente expuestos, no tenerla puede traer consigo sanciones o brechas de seguridad importantes.