Un clic erróneo en un correo electrónico de phishing y miles de datos quedan cifrados. Los hospitales son una clientela lucrativa para los delincuentes, pero también para las casas del sistema. Estos últimos pueden posicionarse como expertos en seguridad con una certificación de Eset.
Datos encriptados de pacientes, imágenes falsas de resonancias magnéticas y comportamientos descuidados de los usuarios: Los hospitales, las clínicas y los consultorios médicos están invirtiendo más dinero que nunca en soluciones modernas de TI y seguridad debido a la situación actual de amenazas. Porque para los ciberdelincuentes, la sanidad es un objetivo interesante con datos especialmente sensibles, como explica Maik Wetzel, Director de Desarrollo Estratégico de Negocio DACH de Eset.
Wetzel informa sobre un caso en el que un atacante pudo acceder a los datos de los pacientes de un hospital y manipuló varias imágenes de resonancia magnética para que los diagnósticos dejaran de ser correctos. El delincuente utilizaba estos archivos falsos para chantajear al hospital.
"Este y otros muchos casos muestran claramente que los ataques son cada vez más sofisticados y selectivos. El cifrado de datos también es mucho más rápido y eficaz hoy en día que hace unos años", afirma Wetzel. Su buena noticia es que, si se utilizan las herramientas adecuadas, los responsables son muy buenos para reconocer las anomalías. Las instituciones que no cuentan con equipos de seguridad propios tienen que recurrir a la ayuda de proveedores de servicios externos.
Pero, ¿cómo encontrar al experto adecuado? El fabricante de seguridad Eset concede el sello de aprobación "Premium Partner Healthcare" a las empresas de sistemas de su propio programa de socios que se han especializado en la seguridad informática del sector sanitario. Esto proporciona a las clínicas una ayuda para la toma de decisiones a la hora de seleccionar un socio adecuado.
El requisito básico para la certificación es la experiencia de muchos años del socio con proyectos en el sector sanitario y con productos Eset. Este último requisito lo cumplen los proveedores de servicios que demuestran su condición de Oro o Platino. Además, es obligatorio un intercambio regular entre los socios y Eset para coordinar las actividades de venta, el desarrollo de los proyectos y el apoyo adicional a los clientes finales.
Nadine Reinsdorf, Key Account Manager de WBS IT-Service
Los socios demuestran sus conocimientos específicos para el sector sanitario al completar con éxito un curso de formación online para proveedores de servicios de TI en la Oficina Federal de la Seguridad Social. Además, deben tener los requisitos técnicos y la competencia necesaria para poder realizar proyectos de acuerdo con las directrices del Fondo del Futuro de los Hospitales (KHZF) según el artículo 21, párrafo 2.
Además, los proveedores de servicios informáticos que trabajen con consultorios médicos pueden conseguir la certificación de la Asociación Nacional de Médicos del Seguro de Enfermedad (KBV). Con ello, el socio demuestra que adopta un enfoque integral para establecer medidas de seguridad informática en las consultas de los médicos y dentistas de panel, basándose en la directriz de seguridad informática según el §75b del Código Social 5 (SGB V).
"El concepto de seguridad informática tiene que ser ágil y dinámico para que no tenga que adaptarse de nuevo cada vez que se introduzcan o cambien soluciones y procesos en el hospital", afirma Nadine Reinsdorf, gestora de cuentas clave en WBS IT-Service. El proveedor de servicios afirma que lleva 20 años trabajando en el sector sanitario. Sin embargo, con la creciente digitalización, el negocio no ha hecho más que ganar impulso.
Maik Wetzel, Director de Desarrollo Estratégico de Negocio DACH en Eset
Según Reinsdorf, un centro sanitario debe ser capaz de implementar tres competencias dentro de un concepto de seguridad, que es donde obtienen la ayuda de las casas de sistemas:
- Prevención: evitar un ataque, utilizando soluciones modernas como la autenticación, la seguridad de red y la gestión de vulnerabilidades
- Detección: Detectar y analizar un ataque, lo que requiere, entre otras cosas, una gestión de la información y los eventos de seguridad (SIEM) y un centro de operaciones de seguridad (SOC)
- Mitigación: utilizar soluciones de copia de seguridad y archivo para poder volver a estar operativo rápidamente después de un incidente de seguridad
Porque, según Wetzel, la protección clásica de los puntos finales por sí sola ya no es suficiente, Eset recomienda el concepto de punto final multiseguro. En este caso, se utilizan medidas complementarias como la autenticación multifactor, el cifrado o el sandboxing en la nube.
Pero las ciberamenazas no son la única motivación para las inversiones. Los requisitos mínimos legales y los amplios programas de financiación a nivel federal y estatal también pretenden acelerar la digitalización del sistema sanitario.
La tarea de las casas del sistema es asesorar a hospitales, clínicas y consultas desde el principio: ¿Qué programas de financiación existen? ¿Y cómo se puede solicitar la financiación?
Es importante describir de antemano la situación actual del cliente final. De este modo, los responsables determinan qué medidas son necesarias, si las compras son subvencionables y qué importe de financiación puede solicitar el hospital.
Hay muchos programas de financiación que se centran en la digitalización de la sanidad. Por un lado, hay programas europeos, como el Programa de Acción Sanitaria de la UE. Por otro lado, la financiación regional, como eHealthSax del Banco de Desarrollo de Sajonia.
El programa de inversión con mayor alcance probablemente sea la Ley de Futuros Hospitalarios (KHZG). Para ello, el Gobierno federal aporta 3.000 millones de euros desde el 1 de enero de 2021 "para que los hospitales puedan invertir en modernas capacidades de emergencia, en la digitalización y en su seguridad informática." Los Estados federados aportarán 1.300 millones de euros adicionales.
La particularidad de la KHZG es que la colaboración con un proveedor de servicios informáticos es obligatoria para que los hospitales reciban financiación. Como explica Reinsdorf, el gobierno federal quiere garantizar mediante la llamada verificación que las inversiones son sensatas, económicas y sostenibles en todo momento. Los hospitales y los proveedores de servicios también están obligados a mantener un intercambio regular con el Estado federal correspondiente. En el proceso, se debe comunicar el estado del proyecto para que el Estado federal pueda comprobar si el proyecto sigue estando dentro del ámbito del programa de financiación.
Como informa Wetzel, hasta ahora sólo hay unos pocos socios que han alcanzado el estatus de Socio Premium de Salud. Esto se debe principalmente a la gran cantidad de normativas y complejos requisitos a los que está sometido el sector sanitario y para los que los socios tienen que adquirir conocimientos técnicos.
Los requisitos legales incluyen la Ley de Seguridad Informática 2.0, el Reglamento KRITIS y la Directiva NIS.
Aunque el trabajo en el sector sanitario exige mucho a las casas de sistemas, el sello es bien recibido por los socios de Eset, según Wetzel. Al fin y al cabo, les permite diferenciarse de la competencia.
Eset apoya a los socios sanitarios con servicios de consultoría sobre los conceptos de seguridad informática y las soluciones, preventa, apoyo con webinars con clientes finales, marketing y co-branding.
Desde el momento de la emisión, el sello tiene una validez máxima de dos años, siempre que el socio siga cumpliendo los requisitos.