España ocupa el segundo puesto en episodios de ataques de ciberseguridad en el sector sanitario en Europa con 25 incidentes registrados entre 2021 y 2023, según datos del informe ENISA Threat Landscape: Health Sector. En un 68% de los casos, la puerta de entrada se debe a una mala configuración de seguridad.
En un contexto de máxima exigencia y necesidad de prevención de riesgos, la sanidad, en línea con otras industrias, ha apostado por la digitalización de sus procesos y servicios. Si bien esta transformación tecnológica implica muchas ventajas, también supone una mayor vulnerabilidad frente a ataques cibernéticos. De hecho, esta industria ha registrado un 8% del total de incidentes de ciberseguridad, por delante de sectores como la banca, el transporte o la energía.
Durante el periodo analizado por el informe de ENISA se comprobó que los centros asistenciales, y más específicamente, los hospitales, son la principal víctima de los ataques en este sector, con un 53% y un 42% del total. Le siguen las autoridades públicas de salud con un 14%. Esto es especialmente relevante debido a que los ataques en hospitales pueden tener consecuencias críticas. De esta forma, es vital tomar medidas para proteger sus sistemas. nettaro, consultora especializada en ciberseguridad y observabilidad, ayuda a los hospitales a diseñar y desplegar su esquema de seguridad, personalizado para cada necesidad concreta.
A la hora de enfrentar esta amenaza, es clave la falta de presupuesto para la instalación de medidas de seguridad, así como para la formación del personal en protocolos y buenas prácticas en este ámbito, ya que un 16% de los ataques se debe a errores humanos en la operación, como la instalación accidental de malware vía phishing. Esta falta de recursos es especialmente acentuada en el sector público, que durante el periodo analizado (2021-2023) recibió más de 40 ciberataques de alta peligrosidad, como denegación de servicio o ransomware. Los servicios consultoría estratégica de ciberseguridad de nettaro analizan la situación de cada empresa para implementar soluciones adaptadas que aseguren la máxima seguridad con los recursos disponibles.
Consecuencia del aumento de ciberataques, ha nacido la Directiva NIS2, una normativa de la Unión Europea para aumentar el nivel de ciberseguridad. Esta es de obligado cumplimiento tanto para grandes organizaciones de salud que facturen por encima de los 50 millones de euros y tengan más de 250 empleados, así como para Pequeñas y Medianas empresas, independientemente de su facturación o su número de empleados, al tratarse de un sector de alta criticidad. Para cumplir con la nueva normativa y aumentar la seguridad, nettaro ayuda a las organizaciones de salud a definir su estrategia de ciberseguridad, implementando los marcos de seguridad y cumplimiento más reconocidos, como ISO27001, ISO27701, RGPD o ENS.
nettaro realiza todos los pasos necesarios para reforzar el esquema de seguridad del hospital, servicio público o centro asistencial, mediante el análisis, integración e implementación de la solución de seguridad de la información más adecuada para cada situación.
El sector de la salud genera un interés especial en los ciberdeliencuentes por el alto valor de los datos obtenidos en su venta en el mercado negro. Según recoge Incibe, un historial médico puede llegar a valer desde 30$ hasta 1.000$ mientras que, por ejemplo, el valor de los datos de una tarjeta de crédito se sitúan únicamente entre 1 y 6$ de media.
Un ciberataque en un hospital no solo incurre en grandes costes económicos —se estima entre 94.000 y 470.000 euros para rescatar datos y restaurar operaciones—, sino que puede interrumpir los servicios del centro mediante un ataque DDoS (denegación de servicio distribuido). Esto supone la falta de conexión a la red, interrupción de comunicaciones entre departamentos, falta de acceso a los historiales, o el aplazamiento forzoso de intervenciones, poniendo en riesgo la vida de los pacientes.
El incremento exponencial de ataques ransomware en el sector sanitario, en el que desde 2018 se han registrado en todo el mundo hasta 500 incidentes, generando costes económicos de 92.000 millones de dólares, ha puesto de manifiesto la importancia de la protección de los datos. Esto se debe a que en un 43% de los casos, además de la disrupción de los servicios, los ataques ransomware implican robo de datos. Para hacer frente a este hecho, nettaro incluye PDD (Prevención de Pérdida de Datos) como servicio, realizando la gestión de riesgos de privacidad según lo establecido en la ISO 29134, normativa clave para proteger la privacidad en los procesos TIC que traten información de identificación personal (PII).
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
