Proteger a nuestros sistemas sanitarios contra los ciberataques
Recientemente se han ido introduciendo nuevas tecnologías en el sector de la asistencia sanitaria, tales como el análisis de datos masivos, el internet de las cosas y los servicios móviles o en la nube. En conjunto, estos avances han contribuido al desarrollo de historiales médicos electrónicos y han permitido el surgimiento de la telemedicina. Los entornos sanitarios son especialmente complejos porque cuentan con numerosos terminales conectados empleados por múltiples usuarios, lo cual provoca que el uso de los sistemas de información sea propenso a errores humanos. En combinación con la falta de medidas de seguridad de la información, este comportamiento humano incrementa el riesgo de ciberataques con una potencial filtración de datos.
Soluciones técnicas para proteger los servicios de TI hospitalarios
El cometido del proyecto PANACEA, financiado con fondos europeos, era desarrollar soluciones técnicas para detectar y gestionar los riesgos en entornos de tecnologías de la información (TI) complejos, como son los hospitales. El proyecto reunió a expertos de diversas disciplinas para diseñar un juego de herramientas que aborda los puntos débiles de las TI y ofrece un servicio esencial en el sector sanitario. «PANACEA introdujo nueve herramientas para ayudar a las organizaciones sanitarias a evaluar, reforzar y gestionar su capacidad de evitar ciberataques que impiden la continuidad de las actividades y ponen en riesgo datos delicados», explica la coordinadora del proyecto, Sabina Magalini. Una de las herramientas facilita la evaluación de la seguridad por diseño de los dispositivos médicos o las aplicaciones informáticas recientemente adquiridos para, así, evitar introducir cualquier vulnerabilidad en el sistema de TI del hospital. Los investigadores desarrollaron una herramienta basada en «software» que analiza rápidamente los nuevos tipos posibles de ataques y proporciona una evaluación de riesgos dinámica de los sistemas de TI, los dispositivos médicos y las personas. Además ofrece medidas de mitigación prioritarias para las vulnerabilidades detectadas. En relación con la protección de datos, PANACEA desarrolló una solución segura basada en «software» para el intercambio de imágenes y documentos clínicos entre diferentes organizaciones, independientemente de su ubicación. Para mejorar la seguridad de las estaciones de trabajo de los hospitales, normalmente utilizadas por numerosos empleados, el proyecto propone un sistema de identificación biométrica para el reconocimiento facial mediante el teléfono inteligente del usuario.
Mejora de la sensibilización del personal y la preparación organizativa
Gran parte del proyecto se dedicó a la sensibilización acerca de las ciberamenazas y a la preparación de las organizaciones sanitarias para afrontar fallos de seguridad reales de los sistemas de TI. Los investigadores diseñaron una lista de verificación que identifica brechas de seguridad en hospitales en relación con las normas de ciberseguridad y ofrece directrices para construir una organización con unas TI seguras. Para ayudar a los hospitales a adoptar las soluciones de ciberseguridad adecuadas, el consorcio creó un método que asiste a la dirección de los hospitales a la hora de establecer la prioridad de las inversiones en ciberseguridad, maximizando así el retorno en términos de mayor conformidad con las normas de ciberseguridad. A esto se suma un conjunto de directrices que apoya a los hospitales en la selección y el despliegue de las herramientas de PANACEA en función de sus necesidades específicas. En relación con las notificaciones al personal hospitalario, PANACEA introdujo un método que identifica acciones no seguras con las TI y, después, utiliza tecnologías persuasivas específicas para el contexto en forma de memes o mensajes en el salvapantallas. Asimismo, se desarrollaron vídeos breves con dibujos animados que, sin voz, describen situaciones reales de riesgo con el fin de sensibilizar al personal. Las herramientas se han validado en tres países europeos y cada una de ellas puede utilizarse por separado. «El principal logro es que las herramientas de PANACEA constituyen un método holístico, centrado en las personas y orientado a las organizaciones», destaca Magalini. El juego de herramientas está disponible directamente a través de los servicios de asesoramiento en ciberseguridad para la asistencia sanitaria de PANACEA (PHCAS), un mecanismo de colaboración creado por los socios del proyecto sobre la base de un memorándum de acuerdo. PHCAS ofrece servicios de asesoramiento multidisciplinarios para ayudar a los clientes a adoptar un enfoque holístico de la preparación y evaluación en materia de ciberseguridad.
Palabras clave
PANACEA, hospital, asistencia sanitaria, TI, ciberseguridad, ciberataque, juego de herramientas
