Es indudable reconocer el hecho de que, en los últimos años, la ciberseguridad en el ámbito sanitario ha adquirido una relevancia sin precedentes. La creciente digitalización y transformación de los servicios de salud, acelerada especialmente por la todavía cercana pandemia de Covid-19, ha llevado a un cambio de modelo asistencial y por ende a una mayor exposición de los sistemas y de las vulnerabilidades de los mismos. La citada transformación, entre otros aspectos, ha supuesto el desarrollo y puesta en marcha de sistemas de información que vienen a fortalecer el intercambio de datos y la atención sanitaria a nivel europeo (Europena Patient Summary -EUPS-, ePrescrition/eDispensation -eP/eD-), pero a su vez también llevan intrínsecamente asociados nuevos riesgos y desafíos en materia de ciberseguridad tanto para la sanidad pública, como para la sanidad privada como proveedora de servicios al Sistema Nacional de Salud (SNS) de España.
Los sistemas sanitarios manejan una gran cantidad de datos sensibles que, si no son adecuadamente protegidos, pueden ser blanco especialmente fácil de ciberataques como desafortunadamente nos muestran las continuas noticias de ataques sobre entidades sanitarias, tanto del ámbito público como privado.
Este contexto ha hecho que la ciberseguridad y el cumplimiento normativo sean prioridades esenciales para garantizar la integridad, la privacidad de la información en el sector sanitario y, especialmente, la disponibilidad de los sistemas e infraestructuras, en aras de garantizar la continuidad asistencial, lo cual sin lugar a duda debe ser y es el objetivo fundamental de una institución sanitaria.
El SNS no es ajeno a estos desafíos. La implementación de tecnologías digitales en hospitales y centros de salud, donde el número de equipamiento médico ha crecido exponencialmente, acorde a la prestación de nuevos servicios asistenciales en la atención primaria, ha mejorado la eficiencia y la calidad de los servicios, pero también ha incrementado los riesgos asociados a la ciberseguridad. Los próximos dos años serán cruciales para que el SNS adopte estrategias robustas de ciberseguridad y cumpla con las normativas vigentes, asegurando así la protección de los datos de los pacientes y la continuidad de los servicios médicos en todo el territorio nacional. En cuanto al cumplimiento normativo, cabe especial mención la publicación del Perfil de Cumplimiento Especifico para Salud (ccn-stic-891) en la prestación sanitaria a pacientes tanto en Atención Primaria como en Atención Hospitalaria, el cual cuenta con el objetivo de garantizar la máxima seguridad de los sistemas de información necesarios para la prestación de los servicios asistenciales en el territorio nacional.
Además de las preocupaciones generales de ciberseguridad en cualquier entorno, en el ámbito de la salud es imprescindible resaltar lo inherente a los dispositivos médicos conectados, que representan un área de riesgo significativo. Estos dispositivos son esenciales para la atención médica, pero también son vulnerables a ciberataques debido en muchas ocasiones a su insolvencia y falta de medidas de seguridad en su concepción. Es por ello, que la protección de estos dispositivos requiere una combinación de prácticas de diseño seguro, actualizaciones regulares y políticas de gestión estrictas para mitigar posibles amenazas, así como una correcta gestión de la cadena de suministro.
En este marco, iniciativas como el proyecto y grupo de trabajo CIBERAP, orientado a mejorar la seguridad del SNS, son fundamentales. CIBERAP busca identificar y mitigar vulnerabilidades, mejorar la capacidad de respuesta ante incidentes y elevar el nivel de concienciación sobre ciberseguridad entre los profesionales sanitarios. Este proyecto, junto con otras estrategias de ciberseguridad, es esencial para fortalecer la resiliencia del SNS y proteger la información y el bienestar de los pacientes en un entorno cada vez más digitalizado.
Medidas concretas
Tal como se mencionó anteriormente, para prevenir y dar respuesta a los desafíos en materia de ciberseguridad, es esencial la definición y establecimiento a corto plazo de una Estrategia de Ciberseguridad del SNS, que debe estar intrínsecamente alineada con la Estrategia de Salud Digital. Para dar forma a dicha Estrategia se deben contemplar, como mínimo, elementos esenciales tales como la definición e implementación de los Planes de Continuidad Asistencial ante ciberincidentes; la formación, sensibilización y concienciación, fomentando entre los profesionales y pacientes una cultura de ciberseguridad; la protección de las infraestructuras asistenciales; o la implementación de medidas técnicas de seguridad para la identificación, gestión y respuesta ante incidentes tanto en el área IT como en el mundo IoTM. En este sentido, el grupo de trabajo CIBERAP ha definido un catalogo de 14 medidas comunes con las que deben contar los Servicios de Salud públicos.
Asimismo, también es conveniente la realización de auditorías de cumplimiento normativo (LOPD-GDD, ENS, NIS2) y evaluaciones de riesgos periódicas; la gestión y control del riesgo de la cadena de suministro del SNS; y la colaboración y compartición de información como elemento esencial para dar una respuesta conjunta ante ciberincidentes que afecten al SNS.
En resumen, la creciente digitalización y transformación de los servicios de salud, ha generado tanto beneficios como nuevos desafíos en materia de ciberseguridad para el SNS. La implementación de sistemas de información y la conectividad a nivel estatal y europeo han mejorado la eficiencia y la calidad de la atención sanitaria, pero también han aumentado la exposición a ciberataques y riesgos en la gestión de la información en tránsito. La protección de los datos sensibles de los pacientes y la continuidad de los servicios asistenciales son ahora más críticas que nunca, destacando la necesidad de una ciberseguridad robusta y un cumplimiento normativo estricto para lo cual en España se cuenta con legislación de referencia a nivel europeo.
Es por todo lo anterior que el SNS debe adoptar estrategias integrales y comunes para enfrentar estos desafíos. Iniciativas como el proyecto y grupo de trabajo CIBERAP son fundamentales para fortalecer la ciberseguridad a nivel nacional, mejorando la capacidad de respuesta ante incidentes y elevando la concienciación sobre ciberseguridad entre los profesionales sanitarios.
Mediante la implantación de un enfoque coordinado y proactivo, el SNS debe proporcionar confianza a los ciudadanos en el tratamiento de sus datos a la vez de asegurar la integridad, privacidad y disponibilidad de sus sistemas, equipamientos e infraestructuras, garantizando así la protección de la información y el bienestar de los pacientes en un entorno digital cada vez más dinámico y complejo.
