A principios de 2020, con la primera ola de la pandemia del coronavirus Covid-19, la comunidad de seguridad advirtió rápidamente sobre el riesgo para las organizaciones de atención médica de los ciberdelincuentes, y tuvieron razón al hacerlo.
El riesgo fue muy real y tuvo un incidente similar a WannaCry que le sucedió al servicio de salud en el punto álgido de la primera ola de la pandemia, los resultados para el NHS, donde el riesgo de falla de TI conlleva el riesgo de muerte, podrían haber sido catastróficos.
En un discurso pronunciado en septiembre de 2020, el CEO saliente del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, Ciaran Martin, describió la posibilidad de un ataque sustancial, en particular un ataque de ransomware, en el NHS en el punto álgido de la pandemia de la primavera. como algo que había provocado muchas noches de insomnio.
Afortunadamente, este escenario nunca se cumplió, pero ya sea a través de una combinación de buena planificación y práctica de seguridad a raíz de WannaCry, pura suerte o la aparente ‘benevolencia’ de los ciberdelincuentes, es demasiado pronto para decirlo. dice Sam Shah, exdirector de transformación digital en NHSX.
«No necesariamente creo que todo estuvo en la planificación y preparación, pero es probable que, hasta cierto punto, las decisiones tomadas por aquellos que estaban pensando en esto significaran que los ciberdelincuentes no acudieron a hospitales y organizaciones de atención médica», dice, reflexionando en los últimos meses.
«Creo que es importante que reconozcamos que los riesgos y las amenazas aún existen, y por esa razón necesitamos continuar trabajando para evitar que esto suceda en el futuro, porque podría volver a suceder».
Una historia de mejora
Desde los desastrosos ataques de WannaCry de 2017, el NHS ha estado invirtiendo recursos en seguridad cibernética y, según muchas medidas, esto ha sido un éxito. Las estadísticas obtenidas por Comparitech a principios de 2002 bajo la Ley de Libertad de Información (FoI), por ejemplo, encontraron que la incidencia de ataques de ransomware contra el NHS disminuyó drásticamente en los últimos dos años.
«Han sucedido un par de cosas en relación con la cibernética», dice Shah a Computer Weekly en una entrevista realizada poco después de hablar en Evento PeepSec 2020 de CybSafe. “La primera es que en la época en que se estaba formando NHSX, tuvimos, por supuesto, las secuelas de WannaCry. Hay un reconocimiento de lo que puede suceder cuando algo así afecta al sector público, por lo que ciertamente diría que la conciencia sobre la importancia de la seguridad cibernética se elevó y aumentó en ese momento «.
La transmisión continua por goteo de incidentes de seguridad cibernética fuera del NHS también tuvo un impacto en términos de generar una mayor comprensión pública del panorama de riesgos.
“Culturalmente, ha habido un cambio, tanto en la sociedad, entre los médicos y entre la profesión digital, en torno a qué son los riesgos de seguridad y por qué son importantes”, dice Shah.
Estos riesgos son particularmente pertinentes en la atención médica por una razón obvia: equivocarse en la seguridad podría resultar en muertes. De hecho, desde la conversación con Shah, esto puede haber sucedido ahora trágicamente en un hospital alemán.
“Puede pensar que esto parece extremo, pero dado que ahora ejecutamos gran parte de nuestra tecnología médica en una infraestructura que está conectada y utiliza Internet, todo está expuesto y en riesgo de las mismas amenazas que podrían afectar a otras partes del mundo o el sistema ”, dice Shah.
“El NHS y quienes están conectados a él ciertamente se han tomado la seguridad cibernética mucho más en serio. Culturalmente, la sociedad probablemente tiene la expectativa de que nos lo tomemos más en serio. Ahora claramente queda mucho trabajo por hacer y hay mucho más por hacer en torno a elevar el perfil, por qué es importante y por qué es importante para la seguridad clínica, pero es mejor de lo que era «.
Continuando para arriba
Desde que Computer Weekly lo entrevistó por última vez en mayo de 2019, poco antes del establecimiento formal de NHSX, Shah ha pasado de las minucias del día a día de la tecnología del NHS a roles con implicaciones más amplias para la atención médica.
Primero realizó un breve período en el Departamento de Comercio Internacional, pero ahora ha creado la Facultad de Salud Futura junto con la Universidad de Ulster. Facultad de Medicina y Odontología, con el objetivo de efectuar una transformación digital en el sector de la salud en general, con miras a la ciberseguridad.
«Con suerte, lo que esto significa es que vamos a crear más personas en los sistemas de salud que comprendan mejor los cambios culturales, así como los cambios técnicos, que se necesitan para hacer frente a este conjunto emergente de amenazas», dijo. dice.
«De la misma manera que las personas ahora se están distanciando socialmente, se lavan las manos de manera diferente, se comportan de manera diferente, se necesita el mismo tipo de cambio cultural en relación con el ciber».
Riesgo y responsabilidad
Este cambio cultural requerirá cambios en los niveles más altos de las organizaciones del NHS y hasta los médicos y enfermeras en primera línea.
Esto se complicará aún más por la cuestión de quién es exactamente responsable de la seguridad. “En otros sectores, hay alguien que tiene el rol de oficial de seguridad, pero a menudo en el sector de la salud ese trabajo, así como el de tecnología y digital, se le da a la misma persona”, explica Shah.
Sostiene que a medida que el NHS se enfoca más en la tecnología, eso simplemente no puede seguir siendo el caso, particularmente en las organizaciones de salud más grandes, que necesitan un líder de seguridad dedicado con el oído de la junta.
Él dice que antes de que uno pueda comenzar a mejorar la seguridad en la primera línea de una organización de atención médica, primero debe asegurarse de que la junta esté tomando el riesgo en serioy que la persona que habla con la junta no es simplemente el que toma las decisiones de TI, sino un verdadero asesor de seguridad.
“Históricamente, especialmente en el NHS, los CIO, CDO, CTO o cualquier persona digital no solía ser miembro de la junta, y no estoy diciendo que necesariamente tengan que serlo, pero ciertamente necesitan acceso a los principales tomadores de decisiones para que puedo asesorarlos y buscar la decisión correcta ”, dice.
Una vez logrado esto, el siguiente paso es evaluar tanto los recursos como el riesgo que existen dentro de la organización para resolver cuáles son las brechas de seguridad, seguido de un ejercicio de priorización, todo esto hecho de una manera que evalúa y toma en cuenta todos los riesgos relevantes.
Estos riesgos son múltiples. Por ejemplo, están aquellos que provienen de la presencia de terceros proveedores de TI dentro del NHS, que necesitan una evaluación continua a medida que crece el volumen de proveedores externos. Otras fuentes de riesgo surgen del mayor volumen de puntos finales a medida que la enorme maquinaria administrativa de back-end que impulsa el NHS cambia, como lo han hecho otros trabajadores de oficina, a una cultura de trabajo remoto semipermanente. Esto, agrega, se suma al crecimiento explosivo de dispositivos médicos conectados.
“A menudo, esos riesgos se reconocen, pero no se cuantifican. Lo importante es que se cuantifiquen de alguna manera porque, de repente, permitirán compararlos con otros riesgos en la organización para determinar qué tan en serio se toman ”, dice Shah.
“Como punto de partida, esto debe tomarse en serio a nivel de directorio en cada organización, y los fideicomisos y otras organizaciones deben medirse en función de su capacidad para gestionar este tipo de riesgo. Ahora, eso también requiere que los reguladores de la salud también cambien su enfoque «.
Seguridad sin vergüenza
Al avanzar en la cadena, Shah menciona una serie de áreas en las que el NHS podría continuar mejorando su cultura de seguridad, lo que es más crítico en términos de capacitación de seguridad continua necesaria para el personal clínico, que a menudo se ralentiza o se detiene por completo durante períodos de crisis, como la pandemia.
Si bien la comprensión de la seguridad en el NHS ha mejorado claramente, Shah reconoce que es probable que esto se limite a las personas que describe como «motivadas digitalmente», el personal más joven que tiene más probabilidades de ser conocedores de la tecnología que, por ejemplo, un cirujano consultor que se graduó hace décadas. y quién puede ser brillante en el quirófano, pero le cuesta encender su PC.
“Hay muchas personas que probablemente no se dan cuenta de por qué o cómo la seguridad es importante, y esto se remonta a la parte cultural”, dice Shah. “A menudo me preguntaban: ‘¿Puedo usar este sistema de mensajería pública en esta red?’, Y les explicaba que no es solo el sistema de mensajería pública, es todo lo demás que lo acompaña: a qué está conectado, qué más podría fugas dentro o fuera y qué más viene con eso.
“Son esas cosas que mucha gente no entiende y, de alguna manera, no espero que lo hagan, porque ¿por qué deberían hacerlo? No son expertos. Pero eso significa que el NHS necesita esa experiencia y ese asesoramiento porque eso mejoraría la seguridad del sistema «.
Sería fácil defender que la formación en concienciación sobre seguridad dentro del NHS tiene que partir de un mensaje fundamental: que equivocarse puede ser fatal, pero eso no es necesariamente una buena idea.
«No quiere asustar a la gente y no quiere que la gente sienta que no debería usar la tecnología debido a esa amenaza», dice Shah. «Pero se trata de ayudar a crear conciencia para que sepan el tipo de cosas que deben hacer, las preguntas que deben hacer, la filosofía que deben tener y el cambio que deben buscar al adoptar la tecnología».
Es por eso que la evaluación de riesgos es tan importante dentro del NHS, para capacitar a las personas para que utilicen las herramientas digitales que necesitan para hacer el trabajo, pero de tal manera que esas herramientas sean confiables desde el principio.
Con este fin, también se debe alentar a los médicos a hacer «seguridad sin vergüenza», a comprender los riesgos y cómo informar posibles incidentes, al mismo tiempo que tienen en cuenta la prevalencia del estrés y el agotamiento dentro del NHS, lo que puede llevar a un momento de irreflexión no intencional. por un médico agotado.
“Si hacen clic en algo y sucede algo malo, a menudo es porque intentan simplemente hacer su trabajo. Así que necesitamos crear una cultura más abierta, una en la que las personas puedan buscar ayuda y consejo, sabiendo que no van a ser tratadas de ninguna manera diferente por buscar ese consejo, y que cambiamos eso y salimos de la culpa. cultura a una que se trata de reducir el riesgo, mejorar el conocimiento y, en última instancia, mejorar la seguridad ”, dice Shah.