$theme.include($top_head_include)

Ciberseguretat en salut: claus per gestionar els punts d'exposició en entorns crítics

09/10/24

cibersalud

Els entorns sanitaris són blancs altament atractius per als ciberatacants a causa de la gran quantitat de dades sensibles que gestionen. La informació dels pacients, com històrials mèdics, resultats de proves i dades personals, és altament valuosa en el mercat negre digital: un historial mèdic pot costar entre 28 i 938 euros.

Pol Pérez, Director de l'Àrea de Sistemes d'Informació al Servei Català de la Salut (CatSalut), assenyalava que el 2022 un 53% de les 543 entitats sanitàries consultades havien patit atacs de ransomware produint-se una parada de l'activitat assistencial. L'Institut Nacional de Ciberseguretat (INCIBE) també suma una xifra preocupant: els incidents de ciberseguretat el 2023 han augmentat un 24%.

El risc està ahí i les conseqüències són demolidores per a un hospital: impossibilitat d'accés a històrials mèdics, diagnòstics erronis, pèrdua de dades sensibles de pacients, interrupció dels serveis mèdics, intervencions ajornades, filtracions massives de dades i dany a la reputació de les institucions afectades.

"Però cada organització ha d'avaluar les seves necessitats específiques i dissenyar una estratègia de ciberseguretat personalitzada", apunta Jordi Campo, Director de Salut de Costaisa Group, "i és necessària la col·laboració entre els equips de TI, els de seguretat i els clínics, per garantir una implementació exitosa". 

Invertir en ciberseguretat permet assegurar la continuïtat dels serveis mèdics i reforçar la protecció de pacients i professionals. "Una visió holística de la ciberseguretat et prepara per detectar vulnerabilitats i poder fer-hi front", apunta David Rodríguez, Director de Ciberseguretat de Costaisa Group, "i lamentablement no hi ha garantia de que no tornis a ser atacat, però sí de que estiguis millor preparat".

Disposar d'una visió 360° de la ciberseguretat és l'única forma efectiva d'afrontar aquesta amenaça:

  • és essencial mantenir els sistemes informàtics actualitzats i parchejats de manera regular, i identificar i protegir tots els punts d'exposició existents, tant físics com digitals, minimitzant el temps d'exposició i limitant el dany potencial
  • les actualitzacions de programari corregeixen vulnerabilitats conegudes que poden ser explotades pels atacants
  • la xifrat de les dades, tant en repòs com en trànsit, és crucial per protegir la informació confidencial dels pacients
  • implementar polítiques d'accés i privilegis robustes, com l'autenticació multifactor i la limitació d'accessos a les dades estrictament necessàries per a cada funció, és una altra mesura de seguretat fonamental
  • realitzar periòdicament auditories de seguretat (pentesting), ajuda a les organitzacions a conèixer els seus punts febles, conèixer les vulnerabilitats existents en els seus sistemes i el més important, com mitigar-les i corregir-les
  • i també és fonamental realitzar còpies de seguretat periòdiques de les dades i emmagatzemar-les de forma segura per garantir la recuperació en cas d'incident

Ciberseguretat i biotecnologia

D'altra banda, els dispositius mèdics, cada vegada més connectats, també requereixen una atenció especial. Molts d'aquests dispositius solen tenir sistemes operatius obsolets i vulnerabilitats conegudes. Per mitigar aquests riscos, és necessari inventariar tots els dispositius mèdics i avaluar el seu estat de seguretat. Així mateix, és fonamental establir polítiques d'actualització de firmware i segmentar les xarxes de dispositius mèdics per aïllar-los d'altres xarxes corporatives.

Finalment, la formació contínua del personal sanitari és essencial per conscienciar sobre les millors pràctiques de seguretat i prevenir errors humans que puguin comprometre la seguretat dels sistemes. És imprescindible sensibilitzar-los sobre els riscos inherents al seu treball i dotar-los de les eines necessàries per identificar i evitar amenaces comunes com el phishing o el malware. La formació contínua és clau per mantenir actualitzats els coneixements del personal i garantir que estiguin al dia de les últimes tàctiques utilitzades pels ciberdelinqüents.