7 coses que has de saber sobre els ciberatacs en salut

El passat 20 de juny de 2017, vaig tenir l’oportunitat de participar en la taula rodona que va organitzar AON sobre la ciberseguretat en els sistemes d’informació de les companyies de salut.

A través de les següents paraules vull compartir tot el que vaig aprendre sobre un tema al qual sempre he estat ‘amenaçat’ però en el qual no havia tingut l’oportunitat d’aprofundir.

El primer que m’agradaria destacar és la composició dels membres de la taula rodona que demostra la importància de sumar experiències diverses al voltant d’un tema. La taula la conformàvem un expert en la digitalització de la salut, un advocat de Garrigues per conèixer la responsabilitat legal dels potencials ciberatacs i una experta en assegurances que assegura tots aquests riscos.

El segon és que el sector de la salut és un dels sectors més atractius per a rebre ciberatacs. Per què? Perquè al digitalitzar la gestió de la salut, s’estan generant milions de dades i les estem convertint en coneixement. I moltes d’aquestes dades són molt valuosos perquè o bé, són de caràcter personal, o bé, són de caràcter empresarial.

El tercer és que avui m’han convençut del risc i, sobretot, de l’impacte que pot tenir un ciberatac per a les companyies de salut. Per als que crèiem que aquest tema no va amb nosaltres, només recordeu que Bayer es va veure perjudicada pel virus Wanacry el passat maig de 2017, com li va passar a moltes altres organitzacions. Estem exposats al fet que ciberdelinqüents puguin robar-nos la nostra intimitat professional, la nostra propietat intel·lectual o descobrir secrets professionals. Aquests ciberatacs poden ser d’origen digital (bretxa digital) o offline pel robatori o la pèrdua de dispositius digitals (com smartphones, portàtils o tablets).

A més a Espanya som el tercer país en el rànquing pel nombre de ciberatacs amb un creixement del + 400% en l’últim any. La companyia de programari antivirus, McAffe en un estudi de l’any 2016 quantificava que el cost mundial dels cibercrims va costar uns 445 bilions d’euros.

El quart missatge és què entenem per un ciberatac. Es tracta de qualsevol praxi on un ciberdelinqüent pot descobrir una bretxa digital que posi en risc la privacitat de les dades atacant les infraestructures de les empreses que gestionen dades de salut. I aquests atacs tenen un doble objectiu:

1. Accedir a informació rellevant com informació sobre desenvolupament de nous medicaments, coneixement sobre patents de nous serveis de salut o descobrir plans estratègics de negoci del futur.

2. Diners: 3 potencials impactes econòmics:

• demanar rescat a l’organització segrestada perquè a canvi de diners ens tornin l’ús adequat dels sistemes d’informació afectats i no revelin la informació segrestada.
• impacte en la reputació de l’organitzada atacada.
• indemnització per revelació d’informació + cost en reputació + costos d’interrupció d’un sistema informàtic.

El cinquè missatge és l’impacte que tenen aquests ciberatacs. No només afecten a l’accés a la informació d’aquestes dades, sinó que afecta principalment al funcionament normal dels sistemes d’informació afectats. Això vol dir que la tecnologia sanitària pot deixar de funcionar de forma adequada i, per tant, això genera un alt risc per a la salut dels pacients.

La sisena conclusió és que perquè no siguem objecte d’un ciberatac hem de ser proactius i protegir els nostres sistemes d’informació i la nostra gent. Per a això, totes les organitzacions haurien de posar plans de prevenció de delictes (a manera d’escut penal), un programa de compliment normatiu del que poden o no fer els empleats i la contractació de ciberassegurances que ens protegeixin del cost del ciberatac.

Igualment, hem de tenir molt en compte com gestionem determinats actius corporatius que poden ser el vehicle per a aquests ciberatacs. Per exemple, hem de cuidar el correu electrònic corporatiu i l’ús que fan els nostres empleats, o les tecnologies mòbils per teletreballar o els serveis wifi que oferim als clients.

I el setè i últim aprenentatge que m’emporto a la meva motxilla d’aquesta taula rodona és que les autoritats estan adoptant mesures per minimitzar els riscos que les organitzacions pateixin ciberatacs. Així, al maig de 2018, entra en vigor un nou Reglament Europeu per a la protecció de dades, en què, sinó es compleixen determinats requisits, les organitzacions amb bretxes digitals poden rebre altes multes de fins als 20 Milions d’Euros o el 4% de seva facturació.

No puc acabar sense abans tornar a insistir que els ciberatacs ara mateix són un dels nostres principals riscos de totes les organitzacions que treballem amb dades de salut i que hem no només conscienciar-nos de protegir-nos, sinó de posar mesures que minimitzen el risc.