La ciberseguridad, un reto común y urgente: “Los enemigos son formidables, están coordinados y sacan rentabilidad”

“Hace una década, sería impensable implantar sistemas de ciberseguridad en los hospitales, centros de salud y organizaciones sanitarias. Ahora, todos los tienen”. Así ha comenzado la mesa de debate sobre ciberseguridad e ingeniería sanitaria de este 10 de octubre, con las palabras de su moderador, Miguel Ángel Benito Tovar, subdirector de Transformación, Innovación y Salud Digital de IB-Salut; y que han hecho referencia a la enorme evolución en materia de seguridad tecnológica en el ámbito de la salud. “Es que es importante destacarlo. Tenemos que decirlo bien alto: en los últimos tres años hemos avanzado más que en toda la historia”, ha señalado Benito Tovar.

Junto a él, en el auditorio del 42º Congreso de Ingeniería en el Sector de la Sanidad, cuatro expertos: Jorge Prado Casal, Jefe del Servicio de Protección de Datos de la Consejería de Sanidad de la Junta de Galicia; Tomás Gómez Pérez, responsable de Ciberseguridad del Gobierno de la Rioja; Enrique Rando González, responsable del Centro de Ciberseguridad de la Agencia Digital de Andalucía; y Eva Jorquera Leris, responsable del Ámbito de Salud de la Agencia de Ciberseguridad de Cataluña. Todos ellos han puesto en común sus estrategias territoriales en el campo de la ciberseguridad de los dispositivos sanitarios y han abogado por la colaboración entre autonomías, cada vez más importante para hacer frente a la creciente oleada de ciberataques.

“Esta es una jornada de concienciación, sensibilización y de unión entre los grupos de trabajo de ciberseguridad e ingeniería en el sector de la sanidad, ya que son 12 las comunidades que cuentan con protocolos y recursos para monitorizar la vulnerabilidad de los sistemas de salud. Es una mesa dedicada a la estrategia”, ha explicado el moderador.

La Rioja, la autonomía más pequeña

Tomás Gómez Pérez ha comenzado el turno de palabras, con la confesión ante todos los asistentes de que para él “es un honor ser el único responsable de ciberseguridad en sanidad de La Rioja”. “Somos la comunidad autónoma más pequeña de España y no nos podemos permitir el lujo de tener varios responsables”, explicaba. Esta área, que es muy específica y tiene unas necesidades muy particulares, ha puesto todos sus esfuerzos en la prevención, detección y respuesta ante las amenazas ya que, como ha manifestado Gómez Pérez, “se trazó una estrategia que no fuera excesivamente ambiciosa para alcanzar un porcentaje alto de los objetivos planteados”.

El profesional también ha hecho hincapié en que, cuando se creó su protocolo autonómico en 2022, se tuvo en cuenta que se pudiera integrar de manera fiel y adecuada en la estrategia nacional. Además, advertido de la necesidad de unir esfuerzos entre los diferentes territorios para mejorar en el ámbito de la ciberseguridad en sanidad. “Debemos de trabajar de manera conjunta y con unos objetivos similares”, ha afirmado.

Andalucía, “en el ojo del huracán”

Por su parte, Enrique Rando González ha explicado que esta comunidad autónoma se ha especializado en la ciberseguridad en el ámbito de la salud, “porque tenemos el sistema sanitario más grande de España y que ahora está en el ojo del huracán”.

Entre las diferentes líneas de trabajo en las que se centran sus estrategias actualmente está la contratación, “a través de una guía para comprar un equipamiento que cumpla con los requisitos de ciberseguridad”; el análisis, “mediante auditorías que sirven para coger información sobre un diagnóstico real de lo que hay en Andalucía”; la formación, ya que “se considera imprescindible de cara a un futuro”. En este sentido, Rando González ha destacado: “Por cierto, también tenemos que mirar adelante, al final de la vida del producto y a cómo deshacernos de las máquinas que tienen información y pueden revelarla a terceros”.

La ciberseguridad de Galicia

Respecto a Galicia, Jorge Prado Casal ha explicado que sus primeros pasos en ciberseguridad de las organizaciones sanitarias llegaron tiempo después que la creación del Plan Estratégico de Ciberseguridad de la Xunta de Galicia. “Primero se trazaron las líneas generales, y luego nos especializamos en salud porque vimos que era un ámbito fundamental”.

Este ha hecho referencia a la necesidad prioritaria de abordar las ciberamenazas en el sector sanitario de manera coordinada y urgente. “Ahora el alcance ha cambiado y las fronteras se han diluido. Hasta se pueden atacar los controles de acceso de un hospital y tenerlo que desalojar o dejar encerrados a los pacientes”, ha comentado.

También ha explicado a los allí presentes que el aumento de ciberamenazas está motivado por otros factores: “Hay muchos más aparatos tecnológicos, no solo los del propio hospital, sino también los que llevan los pacientes en sus corazones o en su piel instalados; y hay que tener en cuenta que los hospitales siempre están abiertos, no tienen horarios, lo que facilita la entrada de los ciberatacantes”. Respecto a estos delincuentes digitales, el experto ha afirmado: “Ahora los atacantes se han multiplicado y han aparecido nuevos perfiles que hacen un negocio hiperrentable y colaboran entre ellos. La gran llamada de atención es que los enemigos son formidables y están coordinados”.

Cataluña y su Comité Estratégico

En el caso de Cataluña, Eva Jorquera Leris ha admitido que, “aunque contaban con gran nivel de especialización, les faltaba relación directa con los profesionales de la salud”. Por ello, crearon un Comité Estratégico de Cibersegurodad con siete hospitales representados para implantar líneas de trabajo que sean capaces de proteger a los dispositivos médicos, “que es una preocupación que todos compartimos”.

Además, Jorquera Leris ha concluido poniendo en valor la importancia de la concienciación y se ha referido a las amenazas como “una oportunidad de mejora”. Así lo ha explicado: “Cuando hay incidentes, se abre un pico de concienciación para cambiar los protocolos. Si no hubiera habido ninguna falla en el sistema, nos hubiera costado más visibilizar la importancia de la ciberseguridad en la salud porque no podemos trabajar solos. Tenemos que seguir yendo acompañados del equipo de salud para generar conocimiento compartido entre los expertos y las comunidades”.

---