El 48% de las empresas sanitarias ha recibido un ciberataque en el que se han filtración datos de pacientes

Publicidad

Los piratas informáticos se han dado cuenta de que los datos sanitarios tienen un éxito sin comparación en el mercado negro. El precio de una base de datos con información privada de pacientes puede multiplicar hasta 10 veces el que los compradores están dispuestos a pagar por datos de tarjetas de crédito. De ahí que el número de ciberataques propiciado a empresas sanitarias haya aumentado considerablemente en los últimos años. Según un estudio llevado a cabo por ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, el 48% de las organizaciones sanitarias ha sufrido algún incidente relacionado con la pérdida o la filtración de información sobre pacientes en el último año; y una cuarta parte de la muestra afirma que ni siquiera sabe si ha sufrido este tipo de incidentes.

Para realizar el estudio, ESET preguntó a 535 responsables de tecnología de organizaciones sanitarias públicas y privadas de todo el mundo, además de organismos públicos, como consejerías o ministerios del área. Los peligros que más acechan a estas organizaciones son, según los encuestados: fallos del sistema (79%), dispositivos médicos no seguros (77%), ciberataques (77%), dispositivos móviles de los trabajadores (política del denominado “BYOD”) (76%), robos de identidad (73%) o dispositivos móviles no seguros (72%). A pesar de que se citen los dispositivos móviles como uno de los elementos más problemáticos de sus estrategias de seguridad, sólo el 27% de los profesionales encuestados confirman que cuentan con una política de seguridad para este tipo de aparatos.

Los siete ciberriesgos más importantes que sufren las empresas

Un ataque al mes. Las organizaciones que han respondido al estudio sufren de media 11,4 ataques al año, es decir, aproximadamente uno al mes; sin embargo, el 13% no es consciente de la cantidad de ataques que ha sufrido. Casi la mitad (48%) de los encuestados afirman que su organización experimentó en los últimos doce meses incidentes relacionados con filtraciones de información confidencial o pérdida de datos de los pacientes. Como consecuencia, los historiales y datos clínicos de los pacientes quedan al descubierto. Por su parte, la encuesta revela que los centros médicos reciben ataques avanzados persistentes (APTs) cada tres meses, de media.

Vulnerabilidades de software y malware web son las infecciones más comunes. Según el 78% de los profesionales que participaron en el estudio, el incidente de seguridad más común es el derivado de vulnerabilidades del software que utilizan sin actualizar, seguido muy de cerca por los ataques de malware procedentes de webs infectadas.

Sistemas de seguridad débiles. El 49% de los encuestados confirma que ha experimentado situaciones complicadas cuando los ciberdelincuentes han sido capaces de traspasar sus sistemas de prevención de intrusiones, mientras que el 27% desconoce ese dato. Por su parte, el 37% de los profesionales preguntados aseguran que los delincuentes han sido capaces de saltarse sus soluciones antivirus o controles de seguridad tradicional (el 25% desconoce si ha ocurrido ataques de ese tipo).

Pérdidas millonarias. Los costes derivados de un ataque de denegación de servicio ocasionan pérdidas por valor de 1,16 millones de euros de media al año, debido principalmente a la interrupción de los servicios y/o a la caída de los sistemas.

Planes de contingencia desactualizados. Tan sólo el 50% de las empresas relacionadas con la sanidad afirma que cuenta con un plan de respuestas ante incidentes acorde con sus necesidades. En el plan suele incluirse al consejo asesor de la compañía y al responsable de seguridad.

La tecnología es uno de los mayores riesgos para la información de los pacientes. La mayoría de los profesionales consultados confirma que los sistemas informáticos anticuados y las nuevas tecnologías como el cloud, dispositivos móviles de todo tipo, el Big Data o el Internet de las Cosas ayudan a incrementar las vulnerabilidades y las amenazas para la información del paciente, incluso por encima de las negligencias del personal o las ineficiencias del centro sanitario a la hora de velar de su información.

La amenaza más preocupante es un fallo en el sistema. Los profesionales aseguran que las tres amenazas que más les preocupan en cuanto a la seguridad de su organización son los fallos en los sistemas (79%), los ciberataques capaces de provocar que los dispositivos médicos funcionen incorrectamente (77%) y el uso de los dispositivos móviles personales por parte de los trabajadores (76%).

¿Cómo resolver estos riesgos del ciberataque?

Las organizaciones sanitarias cuentan con datos e información confidencial que debe ser salvaguardada por ley y son conscientes de que un mal uso de la información de los pacientes o la caída de los sistemas puede no solo poner en peligro datos reservados, sino incluso la vida de los pacientes. Sin embargo, la mayoría de los encuestados son pesimistas sobre sus posibilidades a la hora de resolver cualquier tipo de riesgo cibernético: sólo el 33% cree que su empresa podría hacer frente a una amenaza de forma efectiva pero necesitarían más colaboración de otros departamentos (76%), más personal (73%) o más presupuesto (65%).

Con respecto a este último aspecto, las empresas encuestadas han afirmado que cuentan con unos presupuestos de algo más de 20 millones de euros de media para el departamento de tecnología, del cual cerca del 12% se emplea exclusivamente en seguridad. “Creemos seriamente que las organizaciones sanitarias deberían realizar inversiones más productivas en tecnología que proteja sus activos. No olvidemos que la información que guardan debe estar debidamente custodiada por ley”, afirma Josep Albors, director del laboratorio de ESET España.

Seguiremos informando…

Publicidad
Publicidad
Salir de la versión móvil