Ciberseguridad y salud: “el reto no es sólo financiero, sino también humano”

“Para asegurar las infraestructuras informáticas de las instituciones sanitarias, se necesita un presupuesto para invertir en soluciones adecuadas, pero también se necesitan competencias.
El plan France Relance es un primer paso con apoyo para el aspecto financiero.
Sin embargo, sin recursos humanos, los proyectos no pueden llevarse a cabo con eficacia.
Por tanto, hay que hacer hincapié en la contratación, pero también en la sensibilización y la formación de todas las profesiones hospitalarias.
La ciberseguridad es ahora una cuestión de gobernanza”.
En una entrevista exclusiva con Health & Tech Intelligence, François Lancereau, experto en sanidad de WALLIX, empresa europea de software de seguridad informática especializada en acceso digital y gestión de identidades, habla de los problemas y retos de la ciberseguridad en las instituciones sanitarias.

“La UE tiene todo el interés en imponerse para dictar sus normas”

📌 Elementos clave del debate :

– François Lancereau cree que los presupuestos actuales de ciberseguridad de los hospitales “no son suficientes”, pero señala que el Plan de Recuperación de Francia ha sido un salvavidas para un gran número de instituciones sanitarias: les ha permitido adquirir soluciones que antes no podían obtener;

‍
– Insiste en que también es esencial la adquisición de recursos humanos competentes en informática;
“El tema de la seguridad informática debe abordarse globalmente” dentro de la organización (cuestiones de gobernanza), y no sólo por el CISO, por ejemplo, señala: “es necesario que todas las personas de la organización se apropien del tema para evitar infracciones”;
– Una de las dificultades es sensibilizar a todo el personal sobre las buenas prácticas: “sin una verdadera gestión del cambio, el proyecto de ciberseguridad podría ser un fracaso”;
– En el pasado, algunos fabricantes estadounidenses o japoneses podían evitar determinados controles o normas, pero hoy esto ya no es posible. “Aquí es donde ayuda la normativa europea: avanzamos hacia el principio de “ya no tienen elección”. Ya no son las instalaciones las que se adaptan a los fabricantes, son los fabricantes los que se adaptan a las necesidades de las instalaciones”. WALLIX ya ha iniciado conversaciones con muchos de ellos “para iniciar este cambio”;
– François Lancereau también insiste en la importancia de integrar los aspectos de seguridad “desde el diseño”: “Tenemos que supervisar todo lo que va a entrar en el hospital, asegurarnos de que los equipos pueden hacerse seguros y/o protegerse”;
– Para François Lancereau, el pago de rescates es “una aberración”: “Europa tiene más que ningún otro interés en imponerse para dictar sus normas (…) Es necesario un “no” masivo en toda la UE”;
Por último, subraya la importancia de desarrollar buenos reflejos de seguridad informática entre las nuevas generaciones, empezando en la escuela primaria.

‍

¿Podrías presentarnos en pocas palabras a WALLIX y, más concretamente, vuestras actividades en el sector sanitario?

François Lancereau: Nuestra especialidad es la seguridad de los accesos y las identidades digitales.
Estamos presentes en más de 90 países, con más de 2.000 clientes en todo el mundo.
Tenemos una fuerte presencia en Francia, pero hemos sido capaces de expandirnos internacionalmente en los últimos 20 años (la empresa se fundó en 2003).
Esto nos permite hacer frente a las diferentes disparidades que existen en términos de reglamentación en el mercado: con el mismo producto, no tenemos necesariamente las mismas aplicaciones según el origen de nuestro cliente (Estados Unidos o Francia, por ejemplo).
Nuestra solución, WALLIX PAM4ALL (PAM: Gestión de Accesos Privilegiados), tiene como objetivo asegurar todos los accesos de los usuarios -humanos o máquinas- de una organización, según el principio del menor privilegio.
Esto permite identificar quién hace qué, dónde, cuándo y cómo.
Nuestros sectores preferidos son la industria, la sanidad y los servicios financieros, con una gran experiencia en IoT industrial (equipos conectados / ejemplos: máquinas de producción en fábricas, escáneres, robots en laboratorios, resonancias magnéticas, etc.): tecnologías críticas que a menudo funcionan con versiones muy antiguas de Windows.
Algunos de los hospitales con los que hemos contratado en los últimos años se dieron cuenta -cuando instalaron WALLIX PAM4ALL- del comportamiento de sus usuarios, en particular de sus proveedores de servicios: informando de los periodos de conexión, identificando los equipos que solían tener fallos con regularidad.
Desde que el bastión está instalado, se han dado cuenta de que estos equipos ya no tienen fallos, que todo va bien.
Con nuestra solución, hacemos responsables a las personas: no les impedimos trabajar, el objetivo es que estén seguras.

Conciencia de la necesidad de contratar perfiles expertos

Los ciberataques están aumentando en el sector sanitario, el último de los cuales ha sido el muy publicitado ataque al Centre Hospitalier Sud Francilien (CHSF).
En tu opinión, ¿son suficientes las asignaciones presupuestarias de los hospitales para garantizar su ciberprotección?
Los presupuestos actuales de los hospitales no son suficientes.
También es importante comprender que cuando al principio era necesario nombrar directores de informática en los hospitales, esta función se solía asignar automáticamente a médicos que tenían más o menos afinidad con la informática.
Esta organización ha cambiado mucho desde entonces: o bien algunos de estos médicos se han convertido en expertos en TI, o bien el cargo se ha asignado a personas cuyo trabajo era ese.
El proceso comenzó antes de la pandemia de Covid, y después, debido a los diversos ataques que se han producido en el sector durante la crisis y desde entonces, hemos conseguido integrar en el inconsciente colectivo que es necesario asignar este papel a personas expertas que sepan de lo que están hablando.
Antes, los CISO eran vistos como agoreros, advirtiendo de la necesidad de disponer de un presupuesto dedicado a la ciberseguridad, de implantar tal o cual práctica, de concienciar al personal, etc.
Generalmente se les decía que no había ni presupuesto ni tiempo para aplicar sus recomendaciones.
Generalmente se les decía que no había ni presupuesto ni tiempo para aplicar sus recomendaciones.
Hasta que sobrevino el desastre y se les dio la razón.
Si se les hubiera escuchado desde el principio, algunas situaciones podrían haberse evitado o, al menos, contenido.
Los medios financieros nos permiten disponer de medios materiales, pero también humanos.
El plan France Relance ayuda a las instituciones en el aspecto “capital”, pero deben comprender que también necesitan disponer de medios humanos para hacer frente a estos problemas.
Así que la cuestión no es sólo el presupuesto, sino el aspecto “medios” en el sentido más amplio: disponer de personas competentes y formadas… La ventaja hoy es que ahora tenemos una verdadera atención a las cuestiones de ciberseguridad, una atención que antes no teníamos.
Todo el mundo comprende que un ciberataque podría tener efectos catastróficos en los servicios hospitalarios.
Por ejemplo, si los piratas informáticos anulan el sistema de ventilación de los quirófanos, tienen que cerrarlos inmediatamente, porque un quirófano sin ventilación ya no es estéril: si hay un paciente en la mesa de operaciones en el momento del ataque y todo se para, las consecuencias pueden ser dramáticas.

La necesidad de una verdadera gobernanza para que la cuestión se convierta en común

¿Quién crees que debería hacerse cargo de esta cuestión en los centros sanitarios para evitar este tipo de ataques?

El problema no es “quién”, de lo contrario todo el mundo se pasa la pelota hasta que uno de ellos la pilla, por ejemplo el CISO: y si pasa algo, tendrá que asumir toda la responsabilidad.
El tema debe abordarse con una verdadera cuestión de gobernanza para que se convierta en un asunto común.
Ya no es posible que cada uno actúe en su rincón.
El tema debe abordarse de forma global.
El CISO tendrá un papel que desempeñar en la formulación de recomendaciones, porque es su trabajo asegurar las distintas profesiones, pero necesita el apoyo del departamento de TI y del personal (enfermeras, médicos, personas que trabajan en el laboratorio, etc.).
Lo complicado es conseguir que todo el mundo esté de acuerdo.
Es difícil cambiar los hábitos de trabajo.
Por eso, la sensibilización y la formación son esenciales a la hora de poner en marcha proyectos de ciberseguridad.
Sin una verdadera gestión del cambio, el proyecto podría fracasar.
Todas las personas de la organización deben apropiarse del tema para evitar infracciones.
En cuanto a la anticipación de los ataques, hay un cierto número de establecimientos que pueden utilizar actualmente soluciones como la VPN (Red Privada Virtual) para saber quién entra y quién sale.
Por ejemplo, cuando una persona viene a limpiar, puede fichar para entrar y fichar para salir.
Pero, ¿qué garantía tenemos de que es la persona que está limpiando?
Sobre todo porque con este tipo de placa, esta persona puede ir a cualquier parte del establecimiento.
Ése es uno de los principales problemas: no sabemos qué hacen realmente las personas en la organización.
No hay retroalimentación.
Por ejemplo, Uber fue pirateada a finales de 2016 (y también el pasado septiembre…).
Es una gran empresa estadounidense, con muchos recursos, pero tardaron 2 años en saber que habían sido pirateados.
No tenían pruebas.
Hoy en día, debemos ser capaces de asegurar todos los posibles puntos de entrada de los piratas informáticos.
Mientras haya humanos, habrá riesgos.
No es cuestión de “si” me van a atacar, sino de “cuándo”.

“La normativa es buena, hacerla cumplir es mejor”

¿Deberían establecerse normativas específicas?
¿Crees que debería ampliarse la Ley de Ciberresiliencia, que se está redactando actualmente a nivel europeo para los objetos conectados?
Las normativas son buenas, hacerlas cumplir es mejor.
Si te pido que hagas 50 tareas en un día, no es posible.
Pero sí que hay cosas que deben legislarse.
Por ejemplo, hay muchos dispositivos biomédicos fabricados por editores extranjeros que están sujetos a leyes distintas de las nuestras.
Algunos de ellos tendrán que ajustarse a la legislación francesa: ya no pueden actuar como quieran, pero hay un periodo de incertidumbre.
Algunos de nuestros clientes ya están en contacto con nosotros (WALLIX) precisamente para que veamos cómo interconectar nuestras soluciones para poder rastrear lo que hacen, porque hoy en día se supone que cualquier establecimiento sanitario debe saber lo que pasa en casa.
Hasta ahora, estos fabricantes tenían la posibilidad de escapar a ciertos controles o normas.
Hoy, esto ya no es posible.
Aquí es donde ayuda la normativa europea: estamos convergiendo hacia el principio de “Ya no tienen elección”.
Ya no son las instituciones las que se adaptan a los fabricantes, sino los fabricantes los que se adaptan a las necesidades de las instituciones.
Por eso ya hemos iniciado conversaciones con muchos de ellos para iniciar este cambio.
En este contexto, la legislación francesa y europea son muy importantes.
Por otra parte, internamente, para los hospitales, como decía, son sobre todo los medios lo que necesitan.

“El Plan de Recuperación de Francia ha sido un salvavidas para un gran número de hospitales.

Se está elaborando una versión actualizada de la norma de certificación HDS, y la nueva hoja de ruta francesa para la salud digital 2023-2027 debería situar la ciberseguridad entre las prioridades: ¿Cuáles son tus expectativas respecto a estos cambios normativos?

Tienes que pensar en la seguridad “desde el diseño”: cuando construyes una solución, tienes que preguntarte desde el principio cómo garantizar que sea segura, o al menos cómo hacer que sea fácil de asegurar.
En el quirófano, si instalas una cámara y la conectas a la infraestructura informática, ¿cómo sabes de dónde viene y si el sistema es seguro?
Tienes que controlar todo lo que entra en el hospital, asegurarte de que el equipo es “seguro” y/o está protegido.
En WALLIX, por ejemplo, hemos desarrollado sesiones de sensibilización en las principales escuelas para los que serán los líderes empresariales del mañana, los futuros responsables técnicos y administrativos.
Cuando alguien se conecta a su correo electrónico y ve un mensaje extraño, su primer instinto debería ser no abrirlo, avisar a su departamento informático y borrarlo.
Cuando realizamos una prueba de phishing en organizaciones, nos damos cuenta de que las personas que responden al phishing no son siempre las que pensamos.
Puede ser un directivo o un recepcionista: los impactos no son los mismos según el perfil.
Nuestro objetivo es desarrollar estos reflejos en las nuevas generaciones jóvenes, yendo más allá del aprendizaje de lo básico.
Se trata de sensibilizar desde la más tierna infancia, a partir de la escuela primaria, porque los niños empiezan a utilizar las herramientas digitales muy pronto.
Las buenas prácticas de ciberseguridad deben convertirse en un reflejo, como enseñar a los niños a cruzar la calle mirando a derecha e izquierda.

¿Crees que ya se ha producido una evolución en la concienciación general sobre el tema de la ciberseguridad?

Además, hasta ahora, todo el mundo pensaba que las soluciones PAM (Gestión de Acceso Privilegiado) eran realmente útiles, pero no existía una conciencia real de su necesidad. Ese ya no es el problema: ahora es obvio que necesitas estas soluciones para gestionar las identidades y saber lo que ocurre internamente, pero también lo que hacen los proveedores de servicios, porque un hospital tiene varios cientos de proveedores de servicios que se conectan todos los días. Es un hervidero de gente entrando y saliendo. Disponer de este tipo de soluciones nos permite tener cámaras, controles de acceso, detectar comportamientos extraños y poner en marcha mecanismos de bloqueo.

En este sentido, el plan France Relance es realmente útil: ha permitido a los hospitales adquirir soluciones que antes no podían comprar por falta de recursos financieros. El único inconveniente es que permite la financiación en un momento “T”. Hay un elemento recurrente que cabe esperar en los próximos años.

En cualquier caso, el plan France Relance ha sido un salvavidas para un gran número de instituciones sanitarias. Es una pena que haya tardado tanto, pero ahora que está aquí, es un paso adelante.

Pago de rescates: “Se necesita “un no masivo en toda la UE

¿Cuál es tu opinión sobre el pago de rescates?

Personalmente, me parece una aberración pagar el rescate exigido por los hackers.
En cuanto el Estado valide el principio del pago del rescate por las compañías de seguros (esto puede interesar a estas compañías), desde el punto de vista de un ciberatacante, es una bendición.
¡Todos los hackers del mundo se volverán hacia Francia!
Aquí es donde la normativa europea es esencial.
En Francia estamos muy avanzados en este tema, pero en el otro lado tenemos a los gigantes americanos (GAFAM) que hasta ahora han hecho lo que han querido.
Europa tiene más interés que nadie en imponerse para dictar sus normas.
Francia sola no puede hacer nada: hace falta un “no” masivo a nivel de toda la Unión Europea.

Lee la entrevista en el sitio web Health & Tech Intelligence (en francés)