7 cosas que tienes que saber sobre los ciberataques en salud

Hoy, 20 de Junio de 2017, he tenido la oportunidad de participar en la mesa redonda que ha organizado AON sobre la ciberseguridad en los sistemas de información de las compañías de salud.

0a6ad30f-e868-4fd0-996c-98f64af777ee-medium

A través de las siguientes palabras quiero compartir lo mucho que he aprendido en un tema al que siempre he estado ‘amenazado’ pero en el que no había tenido la oportunidad de profundizar.

Lo primero que me gustaría destacar es la composición de los miembros de la mesa redonda que demuestra la importancia de sumar experiencias diversas alrededor de un tema. Hoy la mesa la conformábamos un experto en la digitalización de la salud, un abogado de Garrigues para conocer la responsabilidad legal de los potenciales ciberataques y una experta en seguro que asegura todos estos riesgos.

Lo segundo es que el sector de la salud es uno de los sectores más atractivos para recibir ciberataques. ¿por qué? Por qué al digitalizar la gestión de la salud, se están generando millones de datos y éstos los estamos convirtiendo en conocimiento. Y mucho de estos datos son muy valiosos por qué o bien, son de carácter personal o bien, son de carácter empresarial.

Lo tercero es que hoy me han convencido del riesgo y sobretodo del impacto que puede tener un ciberataque para las compañías de salud. Para los que creíamos que este tema no va con nosotros, sólo recordad que Bayer se vio perjudicada por el virus Wanacry el pasado Mayo de 2017, como le sucedió a muchas otras organizaciones. Estamos expuesto a que ciberdelincuentes puedan robarnos nuestra intimidad profesional, nuestra propiedad intelectual o descubrir secretos profesionales. Estos ciberataques pueden ser de origen digital (brecha digital) u off-line por el robo o la pérdida de dispositivos digitales (como smartphones o portátiles o tablets).

Además en España somos el tercer país en el ranking por el número de ciberataques con un crecimiento del +400% en el último año. La compañía de software anti-virus, McAffe en un estudio del 2016 cuantificaba que el coste mundial de los cibercrimenes costó unos 445 billones de euros.

El cuarto mensaje es que entendemos por un ciberataque. Se trata de cualquier praxis donde un ciberdelicuente puede descubrir una brecha digital que ponga en riesgo la privacidad de los datos atacando las infraestucturas de las empresas que gestionan datos de salud. Y estos ataques tienen un doble objetivo:

  1. Acceder a información relevante como información sobre desarrollo de nuevos medicamentos, conocimiento sobre patentes de nuevos servicios de salud o descubrir planes estratégicos de negocio del futuro.
  2. Dinero: 3 potenciales impactos económicos:
    • pedir rescate a la organización secuestrada para que a cambio de dinero nos devuelvan el uso adecuado de los sistemas de información afectados y no revelen la información secuestrada.
    • impacto en la reputación de la organizada atacada.
    • Indemnización por revelación de información + coste reputacional + costes de interrupción de un sistema informático.

El quinto mensaje es el impacto que tienen estos ciberataques. No sólo afectan al acceso a la información de estos datos, sino que afecta principalmente en el funcionamiento normal de los sistemas de información afectados. Esto significa que tecnología sanitaria puede dejar de funcionar de forma adecuada y por tanto, eso genera un alto riesgo en la salud de los pacientes.

La sexta conclusión es que para que no seamos objeto de un ciberataque debemos ser proactivos y proteger nuestros sistemas de información y a nuestra gente. Para ello todas las organizaciones deberían poner planes de prevención de delitos (a modo de escudo penal), un programa de cumplimiento normativo de lo que pueden o no hacer los empleados y la contratación de ciber-seguros que nos protegan del coste del ciber-ataque.

Igualmente, debemos tener muy en cuentan como gestionamos determinados activos corporativos que pueden ser el vehículo para estos ciberataques. Por ejemplo, debemos cuidar el correo electrónico corporativo y el uso que hacen nuestros empleados, o las tecnologías móviles para teletrabajar o los servicios wifi que ofrecemos a clientes.

Y el séptimo y último aprendizaje que me llevo en mi mochila de esta mesa redonda es que las autoridades están poniendo medidas para minimizar los riesgos de que las organizaciones padezcan ciberataques. Así, en Mayo de 2018, entra en vigor un nuevo Reglamento Europeo para la protección de datos, en qué sino se cumplen determinados requisitos, las organizaciones con brechas digitales pueden recibir altas multas de hasta los 20 Millones de Euros o el 4% de su facturación.

No puedo acabar sin antes volver a insistir que los ciberataques ahora mismo son uno de nuestros principales riesgos de todas las organizaciones que trabajamos datos de salud y que debemos no sólo concierciarnos de protegernos sino de poner medidas que minimizan el riesgo.


Xavi Olba