Es indudable reconocer el hecho de que, en los últimos años, la ciberseguridad en el ámbito sanitario ha adquirido una relevancia sin precedentes. La creciente digitalización y transformación de los servicios de salud, acelerada especialmente por la todavía cercana pandemia de Covid-19, ha llevado a un cambio de modelo asistencial y por ende a una mayor exposición de los sistemas y de las vulnerabilidades de los mismos. La citada transformación, entre otros aspectos, ha supuesto el desarrollo y puesta en marcha de sistemas de información que vienen a fortalecer el intercambio de datos y la atención sanitaria a nivel europeo (Europena Patient Summary -EUPS-, ePrescrition/eDispensation -eP/eD-), pero a su vez también llevan intrínsecamente asociados nuevos riesgos y desafíos en materia de ciberseguridad tanto para la sanidad pública, como para la sanidad privada como proveedora de servicios al Sistema Nacional de Salud (SNS) de España.
Los sistemas sanitarios manejan una gran cantidad de datos sensibles que, si no son adecuadamente protegidos, pueden ser blanco especialmente fácil de ciberataques como desafortunadamente nos muestran las continuas noticias de ataques sobre entidades sanitarias, tanto del ámbito público como privado.
Este contexto ha hecho que la ciberseguridad y el cumplimiento normativo sean prioridades esenciales para garantizar la integridad, la privacidad de la información en el sector sanitario y, especialmente, la disponibilidad de los sistemas e infraestructuras, en aras de garantizar la continuidad asistencial, lo cual sin lugar a duda debe ser y es el objetivo fundamental de una institución sanitaria.
El SNS no es ajeno a estos desafíos. La implementación de tecnologías digitales en hospitales y centros de salud, donde el número de equipamiento médico ha crecido exponencialmente, acorde a la prestación de nuevos servicios asistenciales en la atención primaria, ha mejorado la eficiencia y la calidad de los servicios, pero también ha incrementado los riesgos asociados a la ciberseguridad. Los próximos dos años serán cruciales para que el SNS adopte estrategias robustas de ciberseguridad y cumpla con las normativas vigentes, asegurando así la protección de los datos de los pacientes y la continuidad de los servicios médicos en todo el territorio nacional. En cuanto al cumplimiento normativo, cabe especial mención la publicación del Perfil de Cumplimiento Especifico para Salud (ccn-stic-891) en la prestación sanitaria a pacientes tanto en Atención Primaria como en Atención Hospitalaria, el cual cuenta con el objetivo de garantizar la máxima seguridad de los sistemas de información necesarios para la prestación de los servicios asistenciales en el territorio nacional.
Además de las preocupaciones generales de ciberseguridad en cualquier entorno, en el ámbito de la salud es imprescindible resaltar lo inherente a los dispositivos médicos conectados, que representan un área de riesgo significativo. Estos dispositivos son esenciales para la atención médica, pero también son vulnerables a ciberataques debido en muchas ocasiones a su insolvencia y falta de medidas de seguridad en su concepción. Es por ello, que la protección de estos dispositivos requiere una combinación de prácticas de diseño seguro, actualizaciones regulares y políticas de gestión estrictas para mitigar posibles amenazas, así como una correcta gestión de la cadena de suministro.
En este marco, iniciativas como el proyecto y grupo de trabajo CIBERAP, orientado a mejorar la seguridad del SNS, son fundamentales. CIBERAP busca identificar y mitigar vulnerabilidades, mejorar la capacidad de respuesta ante incidentes y elevar el nivel de concienciación sobre ciberseguridad entre los profesionales sanitarios. Este proyecto, junto con otras estrategias de ciberseguridad, es esencial para fortalecer la resiliencia del SNS y proteger la información y el bienestar de los pacientes en un entorno cada vez más digitalizado.
