Según los últimos datos del estudio de Check Point Software, durante el primer trimestre de 2023 el sector sanitario experimentó una media de 1.684 ciberataques por semana en el primer trimestre de 2023 lo que le sitúan en el tercer puesto por debajo del sector de investigación y educación, y del gobierno e industria militar. Unos datos que ponen en relieve como el sector salud ha sufrido un aumento interanual en este aspecto, llegando a un 22% más que el periodo anterior.
Pero bien, ¿Cuáles pueden ser los motivos de este incremento sostenido? Datos provenientes de la Sociedad de Sistemas de Información y Gestión Sanitaria (HIMSS por sus siglas en ingles) pone de manifiesto que un total de 73% de las organizaciones sanitarias utilizan sistemas informáticos heredados, teniendo un mantenimiento costoso y que a menudo presentan lagunas de seguridad. Sin embargo, esta vulnerabilidad no se debe únicamente al software y los sistemas, sino también a la forma en que se gestionan los datos y los dispositivos, con una ciberseguridad pobre y descuidada.
Además, a esto hay que añadirle que el sector sanitario genera un gran interés para los ciberdelicuentes debido a que a través del mismo pueden acceder a una gran cantidad de datos personales que se vulneran con facilidad debido, a lo que ya se ha mencionado, que los sistemas informáticos están obsoletos.
¿Cómo prevenir los ciberataques? El principio de Zero Trust
En este contexto, se ha desarrollado el modelo Zero Trust con el objetivo principal de reducir el gran número de ciberataques en la industria del sector salud. En concreto, este modelo cimienta la prevención de los ataques en mantener un nivel de confianza cero, lo que implica que nunca se da por sentado la seguridad a la hora acceder a información, ni siquiera cuando el acceso se realiza desde el propio seno de la red de la institución o corporación en cuestión.
En concreto, se han desarrollado “siete pilares de la confianza cero” definidos por los marcos de Forrester y del Instituto Nacional de Normas y Tecnología (NIST). “Los pilares de la estrategia Zero Trust pueden desplegarse y aplicarse de diversas formas, pero el objetivo es siempre el mismo: nunca hay que confiar, siempre hay que verificar”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Un hospital medio con una media 500 camas puede tener hasta 10.000 dispositivos que se comunican con la nube para la supervisión, almacenamiento y transmisión de información de los pacientes. La aplicación de una política Zero Trust comienza con el “descubrimiento” de estos dispositivos, y continúa con la aplicación automática de una política de privilegios mínimos, de modo que solo los sistemas y personas pertinentes tengan acceso a estos datos para asegurar la seguridad de los datos.
Por tanto, la clave para hacer frente a la complejidad de los ataques en red, los expertos señalan que hay que centrarse en un efoque preventivo. Aunque, esta no es la única medida a tener presente. Dado que las organizaciones sanitarias siguen digitalizando sus servicios, es importante segmentar la red en grupos más manejables y además, Para lograr que los controles de seguridad sean eficaces, deben seguir el ritmo de la innovación.
Seguiremos informando…