Este artículo se publicó por primera vez en julio de 2020 en la Sociedad Española de Electromedicina e Ingeniería Clínica (SEIIC).

Introducción a la ciberseguridad en el entorno sanitario

La ciberseguridad es uno de los aspectos que más relevancia ha tenido en los últimos años en cuanto a la seguridad de los dispositivos y sistemas médicos, siendo un tema de vital importancia tanto para la seguridad del paciente y sus datos, como la continuidad de los servicios que los diferentes equipos y tecnologías sanitarias deben prestar. Se ha de considerar la implantación de buenas prácticas y un cambio de paradigma en las responsabilidades y relaciones de los diferentes actores implicados. La ciberseguridad hay que verla como un proceso con varias capas, y una forma de trabajar en sí misma, que involucra directamente a diferentes perfiles profesionales sanitarios. En estos nuevos planteamientos se requiere de una colaboración multidisciplinar, tanto de los centros sanitarios como de los fabricantes y proveedores de tecnología médica. Los diferentes servicios de Electromedicina e Ingeniería Clínica, los servicios TIC (Tecnologías de la Información y las Comunicaciones), los servicios técnicos de fabricantes y proveedores, y los profesionales sanitarios están implicados siendo corresponsables en cada ámbito de sus actuaciones.

En el entorno privado como el de la administración pública existen ya suficientes normativas legales que requieren se tome consciencia del alcance y la implantación de medidas en torno al problema de la ciberseguridad. Una síntesis y que nos guiarán a la hora de llevar a cabo los planes de seguridad y buenas prácticas, serían las siguientes:

• REGLAMENTO (UE) 2016/679 RGPD, Reglamento General de protección de Datos
• REGLAMENTO (UE) 2017/745 sobre los productos sanitarios
• ENS - Esquema Nacional de Seguridad normativa en el ámbito de la Administración Electrónica
• Norma UNE-EN 80001. Aplicación de la gestión del riesgo para las redes de tecnología de la información que incorporan dispositivos médicos.
• Normas UNE-ISO 27001 sobre Sistemas de Gestión de la Seguridad de la Información.

Básicamente todas estas normativas se basan en un concepto clave: la identificación del riego y su mitigación. Las normativas actualmente no nos van a indicar exactamente que de debemos hacer o qué medidas técnicas concretas aplicar. Nos orienta sobre qué debemos estudiar y cómo evaluar los riesgos, y en base a estos estudios implementar las medidas necesarias a cada uno de los riesgos identificados en base a su gravedad y probabilidad. Además, la normativa indica que la evaluación del riesgo ha de ser continua, durante toda la vida de uso del producto sanitario. Esto implica reevaluar periódicamente las condiciones técnicas y de uso del equipamiento, tanto por parte de los centros sanitarios como por los proveedores y fabricantes.

Las tendencias actuales son plantear medidas de seguridad aplicables para minimizar los riesgos, que conlleven pérdidas de información o fallos en la continuidad del servicio de los diferentes dispositivos y sistemas médicos, los cuales se encuentran interconectados entre sí mediante la red de comunicaciones, usando los mismos protocolos que se usan Internet y, por tanto, sometidos a los mismos problemas de ciberseguridad que aparecen allí. También es necesario cumplir los requerimientos legales en cuanto a la protección de la información de salud de los pacientes. Se plantea la necesidad de una seguridad integrada donde todos aquellos elementos de seguridad trabajen juntos, dotando a las redes de comunicación de la suficiente inteligencia para protegernos de las posibles amenazas de la seguridad. En el sector de la Electromedicina e Ingeniería Clínica tenemos que interiorizar y familiarizarnos con tecnologías para el cumplimiento de estándares de seguridad y cifrado, comunicaciones seguras, segmentación y perfiles de red, etc. Además de considerar retos potenciales como securizar sistemas y equipos más antiguos, o los más nuevos pero que aún no cuentan con las medidas de seguridad necesarias activas.

La problemática actual es que dentro de los centros hospitalarios existe una gran variedad de equipos y sistemas médicos conectados entre sí mediante una red de comunicaciones, más o menos segura, pero que requieren comunicarse con otros elementos internos o externos. Podemos decir que el protocolo de comunicación más utilizado es el TCP/IP, al igual que ocurre en Internet. Se habla del tándem Ethernet-TCP/IP como los protocolos universales para la interconexión de sistemas heterogéneos y de diferentes fabricantes. Por otro lado, cada vez más nos encontramos que los equipos médicos incorporan hardware y software comercial, junto a los elementos específicos de la tecnología médica.

Las dos tendencias indicadas han aportado beneficios en cuanto a la estandarización y reducción de costes dentro del ámbito de la globalización. Sin embargo, presentan unos riesgos añadidos debidos al uso de una tecnología común en el resto de los entornos tecnológicos. Tenemos que afrontar los problemas derivados de los protocolos en cuyo desarrollo inicial no fue la seguridad el objetivo prioritario. Los problemas que continuamente afectan a Internet pueden, en mayor o menor medida, repercutir en las redes internas de los Hospitales. En otro sentido, el uso de software comercial en los diferentes sistemas y equipos médicos presenta un riesgo por los posibles fallos de seguridad de este software comercial. Coinciden en la importancia de la ciberseguridad tanto la FDA como ECRI, que llevan los últimos años situándola a la cabeza de los riegos de seguridad. Básicamente nos encontramos con la proliferación de software no deseado malware (virus, gusanos, spyware, ramsonware, etc.) que puede ser propagado de forma no controlada en nuestras redes aprovechando las vulnerabilidades del software. Si a esto añadimos las dificultades que pueden surgir para mantener los equipos actualizados y con protección activa ante estas amenazas, debemos buscar soluciones que permitan proteger los equipos médicos sin perturbar su normal funcionamiento también para ataques intencionados.

Cambio del paradigma sobre los riesgos y la seguridad

En el concepto actual de seguridad se ha de plantear que es lo que queremos asegurar y de qué. Pensando en la seguridad como un concepto en el que interactúa la tecnología, con los procesos y procedimientos de trabajo, junto con el lado humano de toda actividad. De forma global la tecnología por sí sola no proporciona una seguridad total. Se habla en tecnología de la información que no existe ningún equipo o sistema totalmente seguro 100%, ya que siempre existirá un riesgo residual. De hecho, la definición de riesgo viene dado por las vulnerabilidades que presenten nuestros sistemas frente la amenaza que éstas puedan ser explotadas en la práctica. En esta época de pandemia debido al covid-19 un incidente de seguridad que produzca la indisponibilidad de los equipos, sistemas de diagnóstico, tratamiento o gestión clínica, es crítico. Debido a la covid-19 también se están implementando más equipos con acceso remoto para minimizar los riesgos de contacto y asistencia del paciente a pie de cama, introduciendo con ello nuevos elementos a controlar.

Cuando hablamos de equipos o sistemas médicos, la prioridad de la seguridad se ha de referir al paciente, tanto por la confidencialidad de sus datos como por el correcto funcionamiento de los equipos, y su repercusión sobre el paciente al que se le aplican. Si nos planteamos los perjuicios derivados de un fallo de seguridad causante de una avería de un equipo, hay que tener en cuenta distintos aspectos. En primer lugar, la integridad física del paciente debido al fallo, o la integridad y confidencialidad de los datos de este. En segundo lugar, las responsabilidades legales derivadas del incidente de seguridad en relación con lo anterior. Y, en tercer lugar, los costes planteados para solucionar la avería ocasionada, así como el tiempo de inactividad del equipo. Además de todo lo anterior, tampoco hay que olvidar la posibilidad de que el problema de seguridad se traslade al resto de equipos conectados a la red, aunque esta se suponga una red segura en sí misma.

Uno de los problemas de la seguridad en general es la falta de recursos o inversiones en medios para garantizarla. Sin duda, las inversiones en seguridad se ven como un gasto sin resultados aparentes en lugar de una inversión. Un gestor que analiza los costes espera obtener algún tipo de beneficio, no necesariamente económico, que sea visible. En seguridad se invierte en algo a priori intangible, y de lo que no se dispone de garantías 100% de ausencia de problemas. Actualmente la pregunta no es si vamos a sufrir un incidente de seguridad o no, sino en que momento lo sufriremos, y si en ese momento estaremos preparados para mitigarlo y reponernos al incidente. Aquí es cuando aparece el concepto de resiliencia que es lo que debemos buscar. Por todo esto, muchas veces la inversión en seguridad se ve como un gasto no prioritario ya que no se tienen en cuenta las repercusiones anteriormente comentadas.

Si el objetivo que se plantea es poder garantizar el correcto funcionamiento de los equipos y sistemas médicos de forma segura, se debe implementar una seguridad a distintos niveles, y de forma integrada. La integración se ha de llevar a cabo desde los elementos a nivel más bajo en los propios equipos médicos, tales como los antivirus o cortafuegos, hasta los sistemas de detección de intrusos y la inteligencia de la red de comunicaciones. Los desarrollos actuales nos llevan a confiar en la seguridad proactiva de las redes, mediante el uso de tecnología de redes inteligentes y seguras. 

El cumplimiento de las normativas legales vigentes nos obliga a extremar las medidas de seguridad, desde el simple control del acceso físico, hasta el almacenamiento y transmisión electrónica de los datos médicos. Como punto relevante tendríamos el tratamiento que se da los datos de salud cómo de “máximo nivel de seguridad”. Esto implica que las medidas para garantizar la confidencialidad e integridad de los datos pasan por implementar métodos de control, registro, y cifrado de la transmisión y almacenamiento de la información, debiéndose realizar los análisis de riesgos y las medidas a aplicar que deben trasladarse a un “Documento de seguridad” donde queden reflejados los procedimientos y tecnologías utilizadas.

Si analizamos lo expuesto anteriormente entenderemos que el simple hecho de que un equipo médico esté conectado a una red supone ya un riesgo en cuanto a la seguridad. Esto es debido al hecho de que muchas veces los sistemas operativos y el software comercial instalado en los equipos pueden presentar vulnerabilidades, cuyas actualizaciones para corregirlos no han sido instaladas, o bien aún no existen. Las causas de que no estén instaladas las actualizaciones y correcciones pueden ser varias, desde que no estén validadas por el fabricante, que no sean compatibles con otro software, o incluso que se desconozca que son necesarias. Podemos incluir entre las vulnerabilidades posibles a determinados servicios del sistema operativo, como un servicio de correo electrónico o servicios Web, múltiples servicios software que no siendo necesarios para el funcionamiento del equipo se encuentren activados. Si además, por problemas de rendimiento o compatibilidad, no contamos con elementos de seguridad activa o pasiva en los propios equipos, como el antivirus o cortafuegos (firewall), la seguridad de los equipos y sistemas médicos puede quedar seriamente comprometida.

Adopción de medidas proactivas

Los centros sanitarios tienen que ser conscientes de los riesgos y fallos de seguridad de las redes y sistemas en funcionamiento, por lo que el realizar una auditoría de seguridad parece el primer paso razonable para detectar los principales puntos a proteger, basado como se ha expuesto en los análisis de riesgos que nos orientan en las diferentes normativas. Se ha de documentar la vulnerabilidad potencial de cada equipo y plantearnos la necesidad de un cambio de mentalidad respecto a la actualización continua del software de los sistemas médicos, considerando los problemas técnicos que esto conlleva. Siendo éste un punto importante todavía no asumido por muchos proveedores y fabricantes de tecnología médica.