La 'profesionalización' de los ciberdelincuentes amenaza los datos del SNS

El reciente ciberataque al Clínic de Barcelona puso en entredicho la robustez digital de los hospitales españoles. El problema, según los expertos en riesgos tecnológicos que han tomado parte en el XXIX Congreso Nacional de Derecho Sanitario, no radica tanto en la ‘fragilidad’ de los sistemas de salud sino en la paulatina “profesionalización” de los delincuentes, que son capaces de encontrar resquicios para acceder a las “joyas de la corona” de la información clínica y comercial. A ello contribuyen también los “deberes” que en ocasiones se dejan “sin cumplir” en los propios centros, deslizan los ponentes, que lanzan una advertencia: “La pandemia ya está en marcha”.

La gestión preventiva de riesgos tecnológicos ha sido el objeto de debate de esta mesa redonda organizada por SegurCaixa Adeslas en el marco del XXIX Congreso Nacional de Derecho Sanitario. Un acto que ha contado con las intervenciones de Jorge Monge, socio y CISO en Management Solutions; Abraham Pasamar, CEO en Incide Digital Data; Andrés Calvo, jefe de área tecnológica en la división de Innovación de la Agencia Española de Protección de Datos; y Gonzalo F. Gállego, socio en Hogan Lovells Internacional.

Jorge Monge Alonso, socio y CISO en Management Solutions.

Durante el transcurso de la mesa, que ha sido moderada por Patricia Maortua, directora de Asesoría Jurídica de SegurCaixa Adeslas, los ponentes han incidido en que ningún organismo, hospital o clínica está a salvo de la amenaza de los ciberataques, que también pueden ser consecuencia de “fraudes internos” o “errores humanos”. A este respecto, Jorge Monge ha hecho un llamamiento a la “toma de conciencia y control” de los riegos que conlleva el robo de información tan delicada como son los datos clínicos de los pacientes o los planes de negocio del centro.

Gonzalo F. Gallego Higueras, socio en Hogan Lovells International.

Solo en el caso del Clínic barcelonés, los ciberdelincuentes reclamaron cuatro millones de euros para evitar la filtración de los datos, lo que da muestra del valor de este tipo de información (que puede ser vendida a terceros) y del impacto económico que supone para el propio hospital.

A ello se suma otro problema, ha apuntado Andrés Calvo, que es el de la “comunicación” con los pacientes. Es decir, con las víctimas directas del robo de información. “A veces no es fácil comunicar a los interesados que existe una brecha; se evita comentarlo porque queda como que no se han hecho los deberes”, reconoce el dirigente de la Agencia Española de Protección de Datos.

Patricia Maortua, directora de Asesoría Jurídica de SegurCaixa Adeslas.

“O tomamos conciencia de que estamos expuestos a riesgos o nos vamos a acabar infectando”, ha sentenciado Monge, que, en cualquier caso, ha matizado que no todo son malas noticias, pues los hospitales disponen ya de “nuevas tecnologías” cada vez más sofisticadas frenar este tipo de ataques.  

En esta idea ha ahondado Abraham Pasamar. El CEO de Incide Digital Data ha señalado que, más allá del apoyo de servicios profesionales, los responsables y trabajadores de hospitales y el resto de centros sanitarios tienen a su disposición otra serie de herramientas que van desde “securizar” los accesos y tener los emails en proveedores seguros hasta “reforzar la capacidad de reacción” frente a ‘ransomware’ y fraudes.

Andrés Calvo, jefe de Área de Tecnológica de la División de Innovación y Tecnología. Agencia Española de Protección de Datos.

En busca del "daño mínimo" de los ciberataques

En lo que respecta al papel del derecho en el robo de información sensible a los hospitales, Gonzalo F. Gállego, socio en Hogan Lovells International, ha reconocida que “difícilmente” se podrá evitar el ataque, pero sí se puede mediar para que el daño “no se produzca” o sea mínimo.

Abraham Pasamar, CEO en INCIDE Digital Data.

El primer paso, ha detallado, consiste en detectar cuál es la información susceptible de “causar daño” en caso de que se produzca un incidente de seguridad. Lo siguiente será establecer un ‘marco regulador’: un mapa con las reglas y normas relevantes para determinar el impacto. Una vez reconocidas las “vulnerabilidades” del sistema será el momento de implantar un “escudo jurídico” para “cubrir y reparar las grietas”. “Las normas y contratos se hacen para que no dejar nada a la improvisación y que el daño sea el menor posible”, ha apuntado.

Mes de debate: ' Gestión preventiva de riesgos tecnológicos. Mejora continua en Ciberseguridad'