Las empresas de salud reciben al menos un ataque cibernético al mes
Los ciberdelincuentes buscan información personal para utilizarla en su propio beneficio y el sector sanitario no se encuentra al margen.
Según un estudio llevado a cabo por ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, la mitad de las organizaciones sanitarias (48%) ha sufrido algún incidente relacionado con la pérdida o la filtración de información sobre pacientes en el último año; y una cuarta parte de la muestra afirma que ni siquiera sabe si ha sufrido este tipo de incidentes.
Las organizaciones sanitarias cuentan con datos e información confidencial que debe ser salvaguardada por ley. Un mal uso de la información de los pacientes o la caída de los sistemas puede no solo poner en peligro datos reservados, sino incluso la vida de los pacientes. En cualquier caso, los peligros que más acechan a sus organizaciones son, según los encuestados: fallos del sistema (79%), dispositivos médicos no seguros (77%), ciberataques (77%), dispositivos móviles de los trabajadores (política del denominado “BYOD”) (76%), robos de identidad (73%) o dispositivos móviles no seguros (72%). A pesar de que se citen los dispositivos móviles como uno de los elementos más problemáticos de sus estrategias de seguridad, sólo el 27% de los profesionales encuestados confirman que cuentan con una política de seguridad para este tipo de aparatos.
Del estudio realizado por ESET se desprenden los siete ciberriesgos más importantes que sufren las empresas relacionadas con la seguridad:
· Un ataque al mes. Las organizaciones que han respondido al estudio sufren de media 11,4 ataques al año, es decir, aproximadamente uno al mes; sin embargo, el 13% no es consciente de la cantidad de ataques que ha sufrido. Casi la mitad (48%) de los encuestados afirman que su organización experimentó en los últimos doce meses incidentes relacionados con filtraciones de información confidencial o pérdida de datos de los pacientes. Como consecuencia, los historiales y datos clínicos de los pacientes quedan al descubierto. Por su parte, la encuesta revela que los centros médicos reciben ataques avanzados persistentes (APTs) cada tres meses, de media.
· Vulnerabilidades de software y malware web son las infecciones más comunes. Según el 78% de los profesionales que participaron en el estudio, el incidente de seguridad más común es el derivado de vulnerabilidades del software que utilizan sin actualizar, seguido muy de cerca por los ataques de malware procedentes de webs infectadas.
· Sistemas de seguridad débiles. El 49% de los encuestados confirma que ha experimentado situaciones complicadas cuando los ciberdelincuentes han sido capaces de traspasar sus sistemas de prevención de intrusiones, mientras que el 27% desconoce ese dato. Por su parte, el 37% de los profesionales preguntados aseguran que los delincuentes han sido capaces de saltarse sus soluciones antivirus o controles de seguridad tradicional (el 25% desconoce si ha ocurrido ataques de ese tipo).
· Pérdidas millonarias. Los costes derivados de un ataque de denegación de servicio ocasionan pérdidas por valor de 1,16 millones de euros de media al año, debido principalmente a la interrupción de los servicios y/o a la caída de los sistemas.
· Planes de contingencia desactualizados. Tan sólo el 50% de las empresas relacionadas con la sanidad afirma que cuenta con un plan de respuestas ante incidentes acorde con sus necesidades. En el plan suele incluirse al consejo asesor de la compañía y al responsable de seguridad.
· La tecnología es uno de los mayores riesgos para la información de los pacientes. La mayoría de los profesionales consultados confirma que los sistemas informáticos anticuados y las nuevas tecnologías como el cloud, dispositivos móviles de todo tipo, el Big Data o el Internet de las Cosas ayudan a incrementar las vulnerabilidades y las amenazas para la información del paciente, incluso por encima de las negligencias del personal o las ineficiencias del centro sanitario a la hora de velar de su información.
· La amenaza más preocupante es un fallo en el sistema. Los profesionales aseguran que las tres amenazas que más les preocupan en cuanto a la seguridad de su organización son los fallos en los sistemas (79%), los ciberataques capaces de provocar que los dispositivos médicos funcionen incorrectamente (77%) y el uso de los dispositivos móviles personales por parte de los trabajadores (76%).
La mayoría de los encuestados son pesimistas sobre sus posibilidades a la hora de resolver cualquier tipo de riesgo cibernético: sólo el 33% cree que su empresa podría hacer frente a una amenaza de forma efectiva pero necesitarían más colaboración de otros departamentos (76%), más personal (73%) o más presupuesto (65%).
“En las empresas sanitarias los ciberdelincuentes están más interesados en robar información sobre los pacientes que en cometer ningún otro delito”, afirma Josep Albors, director del laboratorio de ESET España. “Por ello, creemos seriamente que las organizaciones sanitarias deberían realizar inversiones más productivas en tecnología que proteja sus activos. No olvidemos que la información que guardan debe estar debidamente custodiada por ley”.
Las empresas encuestadas han afirmado que cuentan con unos presupuestos de algo más de 20 millones de euros de media para el departamento de tecnología, del cual cerca del 12% se emplea exclusivamente en seguridad.
Para realizar el estudio, ESET preguntó a 535 responsables de tecnología de organizaciones sanitarias públicas y privadas de todo el mundo, además de organismos públicos, como consejerías o ministerios del área.