Todos los sectores deben preocuparse en actualizarse en ciberseguridad. Es el caso del rubro de la salud, pues los avances de la tecnología permiten tener prácticas cada vez más eficaces, seguras y confiables.
Por ejemplo, los dispositivos médicos se están convirtiendo en equipos impulsados por software e incluso hacen parte de nuevas categorías llamadas Internet of Medical Things (IoMT) y Software as a Medical Device (SaMD), pero la industria de la salud se mantiene como la más vulnerable en términos de ciberseguridad.
Las innovaciones médicas abren un mundo de posibilidades para continuar con la mejora del cuidado de los pacientes, pero, a su vez, pueden ser una puerta para ataques cibernéticos.
El sector atiende diariamente a millones de pacientes alrededor del mundo, tiene grandes cantidades de capital, datos sensibles de la salud de los pacientes (PHI) e innumerables puntos de potencial acceso en medio de la cantidad de equipos tecnológicos que se encuentran en cada piso, oficina y habitación de los hospitales.
Salud y costos
Cada vez que los dispositivos médicos se conectan a internet enfrentan una amenaza, puesto que, si no hay buenas prácticas de ciberseguridad, se incrementan los riesgos de ataques cibernéticos.
Particularmente, los PHI son datos muy lucrativos en los mercados negros o clandestinos, por lo que los costos de violación de datos más altos pertenecen a esta industria que, por décimo año consecutivo, incurrió en los costos más altos.
Gabriel Silva, oficial regional de ciberseguridad de Becton Dickinson, BD, aseveró al respecto que, en promedio, un hospital cuenta con mínimo cinco dispositivos médicos por cada equipo informático y de cada 10 dispositivos médicos, cuatro pueden conectarse a la red de alguna manera.
Se estima que en los próximos 15 años, el mercado será testigo de avances tecnológicos que serán impulsados por el aprovechamiento del Big Data.
Además, Silva asegura que “esta información debe ser protegida según la tríada CID (Confidencialidad Integridad y Disponibilidad), un modelo que guía las políticas para la seguridad de la información de una compañía o industria y permite proteger sistemas, redes y programas de ataques digitales”.
De acuerdo con este modelo, la protección de datos debe garantizar la confidencialidad, como una forma de prevenir la divulgación de la información a personas o sistemas que no se encuentran autorizados; la integridad se refiere a la no modificación o alteración de esta información por terceros, y su disponibilidad de consulta en tiempo real y cuando se requiera.
La preocupación
Según el experto, a nivel internacional los entes gubernamentales han expresado su preocupación y compromiso en la implementación de regulaciones que garanticen medidas de ciberseguridad en la industria de la salud.
Particularmente, en Colombia, el Ministerio de Salud y Protección Social ha reconocido la importancia de la regulación de la implementación de avances tecnológicos en el sistema de salud y la protección de los datos que estos recopilan, a través de la creación del Programa Institucional de Tecnovigilancia.
Según Silva, esta medida obliga a los desarrolladores de esta tecnología médica a prever posibles riesgos y eventos adversos derivados del uso de dispositivos médicos en el proceso de atención en salud.
Por tal motivo, dijo que “el desarrollo de dispositivos médicos debe incluir un marco de ciberseguridad que contemple la gestión de activos, vulnerabilidades y parches, verificación de su uso en el mercado donde se usará y un plan de gestión de ciberseguridad durante su uso”.
Finalmente, declaró que la ciberseguridad es una responsabilidad compartida entre todas las partes involucradas en la ruta de atención al paciente, desde los fabricantes de dispositivos médicos, así como los proveedores de atención en salud, los reguladores, el talento humano en salud y los profesionales de la seguridad informática