Ciberseguridad en el sector sanitario: “El reto no solo reside en el plano financiero, sino también en el humano”
“Para proteger las infraestructuras informáticas de los establecimientos sanitarios, necesitamos presupuesto para invertir en soluciones adecuadas, pero también competencias técnicas pertinentes. En Francia, el plan de recuperación del gobierno, France Relance, es un primer paso a la hora de prestar apoyo financiero a las empresas. Sin embargo, los proyectos no pueden ejecutarse eficazmente sin recursos humanos adecuados. Por lo tanto, hay que poner el foco en la contratación de profesionales especializados, pero también en la formación y sensibilización de todo el personal hospitalario. La ciberseguridad es ahora una cuestión de gobernanza.”
En una entrevista exclusiva concedida a Health & Tech Intelligence, François Lancereau, experto en sanidad de WALLIX, editor europeo de software de ciberseguridad especializado en la gestión de accesos e identidades digitales, habla de los problemas y retos a los que se enfrentan los establecimientos sanitarios.
“La UE debe tener interés en imponerse y dictar sus propias normas”
📌 Puntos clave de la entrevista:
- François Lancereau cree que los presupuestos actuales de los hospitales en materia de ciberseguridad “no son suficientes”, pero señala que el plan de recuperación francés ha sido un salvavidas para muchas instituciones sanitarias, ya que les ha permitido adquirir soluciones que antes estaban fuera de su alcance.
- Otro de los puntos que destaca es la importancia de contratar profesionales de la ciberseguridad.
- “La cuestión de la seguridad informática debe abordarse de forma holística dentro de la organización”, y no solo por el CISO, señala. “Es necesario que todos los empleados de la empresa aborden la cuestión para evitar infracciones”.
- Uno de los principales retos que Lancereau resalta es la concienciación de todo el personal sobre las mejores prácticas de seguridad: “Sin una verdadera gestión del cambio, el proyecto de ciberseguridad fracasará”.
- Si en el pasado algunos fabricantes estadounidenses o japoneses podían eludir determinadas normas y controles, hoy en día esto ya no es posible. “Gracias a la normativa europea, poco a poco estas empresas ‘ya no tienen elección’. Esto quiere decir que ya no son las instituciones las que se adaptan a los fabricantes, sino los fabricantes los que se ajustan a las necesidades de las instituciones”.
- François Lancereau también insiste en la importancia de integrar la seguridad “desde el diseño”: “Tenemos que controlar todo lo que entra en el hospital y asegurarnos de que los equipos son seguros”.
- Por otro lado, Lancereau considera que el pago de rescates es una aberración: “Europa debe tener un gran interés en afirmarse y dictar sus propias normas […]. Es necesario un ‘no’ claro de parte de toda la UE”.
- Por último, subraya la importancia de que las nuevas generaciones desarrollen buenos conocimientos de seguridad informática ya desde la escuela primaria.
“Organizaciones seguras según el principio del menor privilegio”
¿Podrías presentar a WALLIX brevemente y, más concretamente, vuestra actividad en el sector sanitario?
François Lancereau: Nuestra especialidad es proteger los accesos y las identidades digitales. En la actualidad, estamos presentes en más de 90 países y tenemos más de 2000 clientes a nivel mundial. Contamos con una fuerte presencia en Francia, pero hemos sido capaces de expandirnos internacionalmente en los últimos 20 años, desde la fundación de nuestra empresa en 2003. Así hemos aprendido a lidiar con las diferentes normativas del mercado: para un mismo producto, no hay necesariamente las mismas aplicaciones según que nuestro cliente sea de Estados Unidos o de Europa, por ejemplo.
Estamos especialmente activos en el sector sanitario, el financiero y en el entorno industrial, y contamos con un nivel de experiencia bastante elevado en el ámbito del IIoT, es decir, el Internet industrial de las cosas. Se trata de dispositivos conectados a la red o tecnologías críticas, como máquinas de producción en fábricas, escáneres, robots de laboratorio o resonancias magnéticas, que a menudo siguen funcionando con versiones muy antiguas de Windows.
Nuestra solución de gestión de accesos privilegiados, WALLIX PAM4ALL, tiene como objetivo proteger todos los accesos de usuarios, ya sean humanos o máquinas, de una organización según el principio del menor privilegio. Esto permite determinar quién hace qué, dónde, cuándo y cómo.
En el sector sanitario, esto se traduce en términos concretos: los hospitales que utilizan nuestra solución pueden, por ejemplo, analizar los tiempos de conexión de sus empleados o proveedores de servicios externos para sistemas críticos o identificar los dispositivos de su propio sistema que tienden a fallar con regularidad. De este modo, no solo hacemos más seguros los sistemas informáticos, sino que también aumentamos la productividad en las instalaciones.
Concienciación de profesionales bien formados
Los ciberataques no dejan de aumentar en el sector sanitario. El caso más reciente fue el sonado ataque al Centre Hospitalier Sud Francilien. En su opinión, ¿son suficientes los recursos de los que disponen actualmente los hospitales para garantizar la ciberseguridad?
No, y hay dos razones principales para ello: En primer lugar, los presupuestos actuales de los hospitales son sencillamente insuficientes. En segundo lugar, cuando comenzó a ser necesario nombrar directores de informática en los hospitales, esta función solía asignarse a médicos más o menos familiarizados con la informática. Desde entonces, la situación ha cambiado mucho: o bien algunos de estos médicos se han convertido en expertos en IT, o bien se ha contratado a personas específicas para ocupar dichos puestos. Aunque estos cambios comenzaron antes de la pandemia de COVID-19, los diversos ataques que se produjeron en el sector durante la crisis y después de ella consiguieron cambiar la conciencia colectiva y quedó patente la necesidad de contratar a profesionales que realmente le puedan hacer justicia al papel de un CIO.
¿Qué importancia crees que tiene el papel del Director de Seguridad de la Información (CISO)?
En el pasado, el CISO era visto como un agorero, alguien que hablaba constantemente de la necesidad de un presupuesto especial para ciberseguridad, abogaba por la formación y concienciación de los empleados y advertía contra la introducción de tal o cual tecnología por razones de seguridad. Por regla general, a esta persona se le decía entonces que no había ni presupuesto ni tiempo para aplicar sus recomendaciones, hasta que, en el peor de los casos, se producía el desastre. Ahí es cuando se daban cuenta de que si se le hubiera escuchado desde el principio, algunas situaciones podrían haberse evitado o, al menos, contenido.
Volvamos a tu primer punto: ¿Qué nos puedes contar sobre el presupuesto hospitalario?
Los recursos financieros permiten a los hospitales invertir en seguridad. Aquí es donde el plan France Relance ayuda a los centros sanitarios. Pero además del aspecto financiero, los recursos humanos también desempeñan un papel importante a la hora de afrontar los retos de ciberseguridad. Así que no solo se trata del presupuesto, sino también de un personal competente y bien formado.
La ventaja es que, a diferencia de lo que ocurría en el pasado, hoy existe una verdadera comprensión de los problemas de ciberseguridad. Ahora todo el mundo tiene claro que un ciberataque puede tener un impacto catastrófico en los servicios hospitalarios. Por ejemplo, imaginemos que un hacker logra desactivar el sistema de ventilación de un quirófano. Acto seguido, se cerrará el quirófano, ya que, sin una ventilación adecuada, la esterilidad de la sala se puede ver comprometida. Esto quiere decir que el proceso quirúrgico se detendría bruscamente, lo que podría traer consigo consecuencias desastrosas para el paciente que está tumbado en la mesa de operaciones.
Se necesita una verdadera gobernanza para que el tema sea de dominio público
Para evitar desastres, ¿quién crees que debería ocuparse de esta cuestión en los centros sanitarios?
Debería tratarse menos del “quién”, porque de lo contrario, en el momento que se produzca un incidente, todo el mundo se pasará la pelota hasta que uno de ellos, por ejemplo el CISO, quede atrapado y tenga que asumir toda la responsabilidad. Es por ello por lo que se trata más bien del “qué”: la seguridad informática debe ser abordada por la dirección de la organización y convertirse en una verdadera cuestión de gobernanza. Solo entonces será abordada por el equipo informático en su conjunto, evitando que cada integrante del equipo de IT actúe por su cuenta.
La ciberseguridad debe enfocarse de forma holística. Por supuesto, el CISO desempeña un papel importante en la elaboración de recomendaciones; al fin y al cabo, es su trabajo. Pero también necesita el apoyo del departamento de IT y del personal en general, desde las enfermeras hasta los médicos y el laboratorio.
Por supuesto, es complicado conseguir el apoyo de todos. Y sí: es difícil cambiar los hábitos de trabajo. Por eso, la concienciación y la formación también son esenciales a la hora de implementar proyectos de ciberseguridad. Sin una verdadera gestión del cambio, el proyecto fracasará. Por tanto, es imprescindible que todos los empleados de una organización se responsabilicen del asunto para evitar infracciones.
¿Aumentaría la seguridad en los centros sanitarios si se utilizaran redes privadas virtuales?
Para prevenir los ataques, actualmente varias instituciones emplean soluciones como VPNs para registrar quién tiene acceso a sus sistemas. Por ejemplo, cuando una persona viene a limpiar, registra su entrada y salida del edificio. Pero, ¿quién nos garantiza que se trata realmente de la persona que se encarga de limpiar? Sobre todo porque esa persona tiene acceso a todas las zonas del centro gracias a su tarjeta de identificación. El principal problema es el siguiente: los hospitales que utilizan una VPN no saben qué hacen realmente las personas dentro de la organización una vez que han obtenido acceso. Aquí no hay mecanismos de control. Es lo que le ocurrió a Uber, por ejemplo, cuando fue hackeado por primera vez en 2016. Aunque se trate de una gran empresa estadounidense con muchos recursos técnicos, tardó casi dos años en darse cuenta de que había sido pirateada.
Hoy en día, tenemos que ser capaces de proteger todos los potenciales puntos de entrada por los que se puede colar un hacker. La regla es: mientras haya personas, habrá riesgos. Y la cuestión no es “si” te atacarán, sino “cuándo”.
“La normativa es buena, pero aplicarla es incluso mejor”
¿Debería promulgarse una normativa específica? ¿Crees que debería ampliarse la Ley de Ciberresiliencia, que se está elaborando actualmente a nivel europeo para los objetos conectados a la red?
Regular es bueno, pero hacer que se cumpla lo regulado es incluso mejor. Pero sí: hay cosas que deben regularse por ley. Por ejemplo, hay muchos productos biomédicos producidos por fabricantes extranjeros que están sujetos a leyes que difieren de las nuestras.
Hasta ahora, estos fabricantes tenían la posibilidad de escapar a determinados controles o normativas. Aquí es donde ayuda la normativa europea: nos acercamos al principio de “ya no se puede elegir”. Ya no son las instituciones las que se adaptan a los fabricantes, sino que son los fabricantes los que se ajustan a las necesidades de las instituciones. En este contexto, la legislación europea es muy importante.
El plan France Relance, “un primer paso en la buena dirección”
Se está preparando una versión actualizada de la norma de certificación HDS, y se espera que la nueva hoja de ruta de la sanidad digital francesa 2023-2027 incluya la ciberseguridad entre sus prioridades: ¿Qué esperas de estos cambios normativos?
Hay que pensar en la seguridad desde el diseño: cuando se construye una solución, hay que preguntarse desde el principio cómo hacerla segura, o al menos cómo protegerla fácilmente. Si instalamos una cámara en el quirófano y la conectamos a la infraestructura informática, ¿cómo sabemos de dónde viene y si el sistema es seguro? Hay que controlar todo lo que se integra en el sistema del hospital y asegurarse de que los equipos están protegidos.
También hay que pensar más en el futuro cuando se trata de seguridad informática. En WALLIX, por ejemplo, hemos desarrollado cursos de concienciación junto con algunas universidades que forman a aspirantes a líderes empresariales y directores técnicos. Cuando una persona descubre un email extraño en su bandeja de entrada, su primer reflejo debería ser no abrirlo, hablar con el departamento informático de su organización y borrarlo. El objetivo debe ser desarrollar estos reflejos en las nuevas generaciones más jóvenes, yendo más allá del aprendizaje de las nociones básicas. Se trata de sensibilizar desde la más tierna infancia. Por ejemplo, esta concienciación se podría comenzar a desarrollar desde la escuela primaria, dado que hoy en día los niños empiezan a utilizar las herramientas digitales a una edad muy temprana. Las buenas prácticas de ciberseguridad deben convertirse en un reflejo, como enseñar a los niños a cruzar la calle mirando antes a izquierda y derecha.
¿Crees que ya se está desarrollando una concienciación general sobre el tema de la ciberseguridad?
En el pasado, muchos pensaban que las soluciones de gestión del acceso privilegiado o PAM eran útiles pero no realmente necesarias. Esto ha cambiado: Ahora es evidente que se necesitan estas soluciones para gestionar las identidades y saber lo que ocurre internamente, pero también lo que hacen todos los proveedores de servicios externos en el propio sistema informático. Los hospitales en particular suelen tener varios cientos de proveedores de servicios que se conectan al sistema todos los días, es decir, un hervidero de gente entrando y saliendo. Aquí es donde nuestra tecnología PAM permite detectar comportamientos extraños y establecer mecanismos de bloqueo.
En este sentido, de nuevo France Relance resulta realmente útil, ya que este plan de recuperación ha permitido a los hospitales adquirir soluciones que antes no podían comprar por falta de financiación. Es una pena que se haya tardado tanto, pero ahora se ha dado un primer paso en la buena dirección.
Pago de rescates: es necesario un “no” masivo y rotundo en toda la UE
¿Qué opinas del pago de rescates?
Personalmente, creo que es una aberración pagar los rescates exigidos por los hackers. Si el Estado validara el principio del pago de rescates por las compañías de seguros, sería una bendición para los ciberdelincuentes.
Aquí, la normativa europea es crucial. Tenemos gigantes estadounidenses como Alphabet/Google, Amazon, Apple, Meta/Facebook y Microsoft, los conocidos como GAFAM, que hasta ahora han podido hacer lo que han querido. Europa, más que nadie, debe tener interés en imponerse y dictar sus propias normas. Un único país no puede hacer nada al respecto, pero toda la Unión Europea es capaz de dar un “no” claro y rotundo.
Lee la entrevista en el sitio web de Health & Tech Intelligence (sólo en francés ).