¿Cuáles son las amenazas más importantes para su organización en 2023/24?
Los Organismos autonómicos de salud tenemos un alto grado de digitalización y debido a ello somos objetivo de un escenario de ciberamenazas cada vez más complejo y capaz de hacer un daño enorme.
Desde nuestro punto de vista, el riesgo más importante que percibimos es el Ransomware, una ciberamenaza capaz de paralizar hospitales y centros de salud: anulando o degradando de forma muy grave el servicio esencial que prestan durante días o semanas. Y en el ámbito de la Salud, esto es especialmente serio porque estamos hablando de personas y de vidas humanas. Desafortunadamente, las noticias de problemáticas de este tipo son habituales, hace pocas semanas fueron víctimas los compañeros del Hospital Clinic de Barcelona.
Es importante señalar que la amenaza del Ransomware está evolucionando, y actualmente, vemos lo que se denomina el doble chantaje. El ataque clásico consistía en cifrar la información y a veces también la propia infraestructura servidora con criptografía fuerte, exigiendo un dinero a modo de rescate en criptomoneda (para dificultar el rastreo), a cambio de la clave de descifrado. Como las organizaciones de cierto tamaño tenemos copias de seguridad a modo de salvaguarda, el siguiente paso fue atacar también las copias, tratando de borrarlas para que no hubiera alternativa frente al pago del chantaje.
En este sentido, las organizaciones de cierto tamaño hemos evolucionado hacia dobles copias de seguridad con mayor robustez: una primera copia desconectada de la red, y una segunda copia conectada pero inmutable, es decir, que no se puede borrar hasta que transcurra su periodo de retención.
La siguiente vuelta de tuerca de los cibercriminales es además del secuestro de información e infraestructura servidora, extraer, es decir, robar los datos y amenazar que si no se satisface el chantaje económico, la información será vendida al mejor postor o publicada en Internet para que la descargue cualquiera. Se pueden imaginar el daño que puede provocar este tipo de situaciones cuando se trata de información sanitaria.
Si tuviéramos que hablar de un segundo riesgo en orden de criticidad, este sería probablemente, el robo de identidad, es decir, el robo de credenciales de los profesionales sanitarios mediante ataques generalmente de Phishing. Una vez conseguido, los cibercriminales se conectan a los sistemas de información corporativos, suplantando la identidad de la persona y pudiendo realizar las mismas acciones que el titular de las credenciales. A partir de aquí, dependiendo del grado de conocimientos y recursos del grupo criminal y de la madurez en ciberseguridad de la organización, el robo de credenciales puede desembocar en otras problemáticas como ataques de Ransomware, robo de información, robo masivo de credenciales de otras personas de la organización, ataques hacia otras organizaciones a través de la organización comprometida, etc.
Otros ciberataques que se han producido durante el presente año en el ámbito de Salud son los ataques de denegación de servicio (DoS) en los que se ha tratado de inutilizar temporalmente ciertos sistemas de información sanitarios o servicios TIC concretos como la conectividad a Internet. Desde el Centro Criptológico Nacional se han relacionado con actores pro-rusos y la guerra de Ucrania.
¿Cómo se refuerza en su organización la seguridad del acceso remoto a la red para teletrabajo a empleados y terceros usuarios?
El acceso remoto a los sistemas de información sanitarios fue clave durante la Pandemia provocada por COVID-19 y lo sigue siendo en el momento actual. En nuestro caso, la estrategia se centra en protegernos frente al principal riesgo en este ámbito que es el robo de identidad. ¿Cómo conseguimos esto? De la misma manera que atajamos cualquier otro riesgo, trabajando las 3 “P”: Personas: con formación, motivación y gestión; Procedimientos: de acceso a la información, gestión de credenciales y operación de la ciberseguridad; y Productos: dotando este ámbito de herramientas tecnológicas de protección de la identidad modernas y que combinen usabilidad con productividad. Estamos hablando de herramientas de doble factor de autenticación que combinen los dos siguientes elementos: algo que sé y algo que tengo.
Por último, los Partner: la nueva y cuarta “P”, colaborando con otras organizaciones como socios sanitarios del ámbito privado y empresas del ámbito tecnológico y de servicios para buscar la mejor solución.
¿Qué control de acceso tiene hacia las redes cableadas de su organización?
En este ámbito se combinan controles de acceso físico que son muy estrictos a nivel de donde almacenamos la información, me refiero a los DataCenter en Gobierno de Navarra y que operan de manera conjunta con otros controles de seguridad lógica para el acceso a puestos de trabajo y sistemas de información.
En nuestro caso, la estrategia se centra en protegernos frente al principal riesgo en este ámbito que es el robo de identidad.
¿Qué control de acceso tiene hacia las redes cableadas de su organización?
En este ámbito se combinan controles de acceso físico que son muy estrictos a nivel de donde almacenamos la información, me refiero a los DataCenter en Gobierno de Navarra y que operan de manera conjunta con otros controles de seguridad lógica para el acceso a puestos de trabajo y sistemas de información.
¿Qué controles de seguridad utilizan o tiene previstos para los dispositivos médicos y otros dispositivos iOT del entorno hospitalario?
Aunque la protección de tecnología operativa IoT y en concreto de los dispositivos de electromedicina está muy de moda en los últimos años, la verdad es que no es una disciplina nueva, siendo un ámbito que no para de evolucionar como el resto de las TIC.
Aquí la estrategia ha sido clara desde hace años y está centrada en tres pilares:
- Inventariado: como primer paso, no se puede gestionar y proteger aquello que no se conoce.
- Control de acceso: este punto requiere una evolución de la red para poder albergar tecnología NAC (Network Access Control), es decir, que se identifique el dispositivo conectado a la red y se le proporcione el acceso correspondiente según su naturaleza. Recordemos que no se trata de un PC o un servidor.
- Seguridad: en este punto se enmarcan diferentes mecanismos de protección como son la separación de los dispositivos de electromedicina en redes diferentes de la general (y según el caso separación entre los propios dispositivos), la generación de políticas de protección y prevención ante intrusiones (IPS) específicas en base al tipo de dispositivo de electromedicina, la detección y gestión de vulnerabilidades propias de estos dispositivos, etc.
En nuestro caso, estamos trabajando y evolucionando estos tres pilares y destaca que para ello utilizaremos fondos MRR Cyber AP.
¿Daría un valor adicional a servicios y productos de ciberseguridad de empresas nacionales o productos certificados del catálogo STIC 105 del CCN-CERT en su organización? ¿Por qué razones?
Esta pregunta nos parece muy interesante, sin embargo creemos muy necesario abordar el contexto de las ciberamenazas con un enfoque de global y desde la eficiencia en el uso de recursos.
El Esquema Nacional de Seguridad es una legislación nacional y de gran valor que debemos cumplir junto con otras muchas normativas relacionadas con el ámbito tecnológico o que lo tienen muy en cuenta como es la protección de datos, la seguridad de la información, las normativas relativas a infraestructuras críticas y servicios esenciales y otras muchas normativas.
Nosotros abogamos como solución estratégica apostar y desarrollar un marco de ciberseguridad europeo, global y único que permita usar nuestros recursos de manera eficiente y produzca el mayor beneficio.
Este marco daría cabida a diferentes pilares globales e únicos para toda la Unión Europea, en lugar del contexto nacional actual de cada país:
- En el ámbito normativo: aprovechando el ejemplo de uniformización y ordenamiento de RGPD alrededor de la protección de datos, trasladarlo a otros ámbitos como son la seguridad de la información y las infraestructuras críticas/servicios esenciales.
- En el ámbito tecnológico: con un catálogo único de productos homologados o recomendados para toda la Unión Europea.
- En cuanto a la detección y respuesta ante incidentes de ciberseguridad graves (Ransomware y otros): siendo el punto de mayor complejidad y que requiere mayor esfuerzo de personas y económico en ciberseguridad, empoderar y dotar de más recursos a los CERT nacionales de referencia, en nuestro caso el Centro Criptológico Nacional para que nos puedan prestar este servicio, en lugar de tratar de pelearlo a nivel de cada organización.