La protección de datos sanitarios entra en una nueva era de vigilancia

La digitalización del ámbito sanitario ha supuesto un avance sin precedentes, pero también ha expuesto a hospitales y centros sanitarios a ciertas amenazas. Por ello, cifrar la información es fundamental, sobre todo, para garantizar una asistencia sanitaria de calidad. 

"La protección de los datos de salud no es únicamente una cuestión técnica o regulatoria. Es un elemento esencial para preservar la confianza de los pacientes". Así lo ha confirmado José Manuel Baltar, presidente de la Alianza de la Sanidad Privada Española (ASPE), en la inauguración de la II Jornada de Protección de Datos y Ciberseguridad 'Nuevos riesgos en el sector salud: respuesta a las amenazas actuales'.

Durante su intervención, ha agradecido la presencia de los asistentes al evento: "Es, sin duda, lo que da valor a una iniciativa como esta". Un acto donde se ha profundizado en materias como las normativas que regulan el uso de la inteligencia artificial (IA) o la Directiva NIS2, relativa a la seguridad de las redes y los sistemas de información. 

Y es que las nuevas tecnologías se transforman a gran velocidad. "Cada avance nos favorece y nos da nuevas oportunidades para optimizar procesos y ganar eficacia", ha destacado Baltar. Aunque primero hay que pasar por proteger la información, por ejemplo, de las historias clínicas, "que cuando se utiliza de forma adecuada se convierte en una herramienta fundamental para impulsar la investigación, favorecer el desarrollo y mejorar la experiencia y los resultados para los pacientes".

También ha participado en la bienvenida del evento Javier Zapata, director de Ciberseguridad de Quirónsalud. Por su parte, ha hecho hincapié en lo que implica "la transformación digital del sector sanitario", como "analizar datos, compartirlos con terceros o dar acceso a esos datos a los clientes y pacientes desde Internet".

Situaciones reales que suponen la aparición de "amenazas y retos". Sobre todo, en el caso de la "irrupción de la IA": "Tiene grandes ventajas a nivel organizativo, pero nos trae grandes retos e incertidumbres". 

Se trata de una innovación que "está siendo disruptiva": "Vemos ataques sofisticados de fraude utilizando correo electrónico. Ahora los mensajes son incluso personalizados y ahí tenemos una amenaza bastante importante", ha apuntado

Con el objetivo de evitar este tipo de problemas, Zapata ha mencionado la importancia, por ejemplo, de que se asienten proyectos como Mythos, el nuevo modelo de IA de Anthropic: "Es una solución que todavía no ha salido al mercado que entiende el código y detecta vulnerabilidades, y eso va a cambiar el paradigma de la comprensión de las vulnerabilidades de las organizaciones". 

La trazabilidad en la ciberseguridad del hospital privado

Otro de los retos puestos encima de la mesa es el de la trazabilidad, uno de los aspectos que ha protagonizado la mesa redonda 'Gobernanza del dato sanitario, IA y proveedores: el nuevo marco regulatorio europeo'. Los tres integrantes de la misma han coincidido en que conocer en su totalidad qué se va a hacer con los datos es fundamental.

"Al final, en los hospitales conocen las aplicaciones y los datos con los que trabajan, pero no tengo claro que tengan una visión completa del acceso a los datos, de su finalidad y de sus transformaciones. Eso es lo que me preocupa", ha asegurado José Jiménez, delegado de Protección de Datos de Quirónsalud.

En este sentido, Patricia Muleiro, delegada de Protección de Datos de la Clínica Universidad de Navarra, ha insistido en que la trazabilidad "es un básico": "Para el tema de los accesos indebidos es muy importante". Y es que, "aunque existan políticas de protección de las historias clínicas, por ejemplo, son muchos los aspectos que hay que comprobar". 

Aunque para conseguir blindar esa trazabilidad, hay y habrá que respetar diferentes normativas como la ley que regulará el uso de la IA en las empresas españolas o el Reglamento General de Protección de Datos (RGPD), según ha indicado Alberto Martín San Cristóbal, socio director de Alaro Avant y moderador de la mesa. 

José Jiménez, delegado de Protección de Datos de Quirónsalud; Ricardo De Lorenzo, delegado de Protección de Datos de HM Hospitales; Patricia Muleiro, delegada de Protección de Datos de Clínica Universidad de Navarra; y Alberto Martín, socio director de Alaro Avant.

De todas maneras, Europa tendrá un papel fundamental en el futuro de la regulación de las nuevas tecnologías en el ámbito de la protección de datos sanitarios. "El Espacio Europeo de Datos de Salud (EEDS) ya está planificado. Va a exigir la interoperabilidad transfronteriza de datos personales", ha destacado Ricardo De Lorenzo, delegado de Protección de Datos de HM Hospitales.

Por su parte, "la mayor preocupación" en este sentido en el sector de la salud es "la cadena de proveedores": "La contratación que se hace desde la alta dirección y que valora aspectos económicos". "Hay poca transparencia a la hora de identificar si los datos personales se mantienen dentro de la Unión Europea o no, si cumplen o no con el RGPD, etc.", ha subrayado.

Respecto a la IA en sanidad, es claro: "Hay que hacer que no sea algo desconocido". "Las organizaciones deberían fomentar políticas de uso de IA. Tendrían que formalizarla dentro de cada departamento. Si la IA se utiliza de forma responsable, es fabulosa", ha puesto en valor. Eso sí, "hay que profundizar en la trazabilidad, lo que va a requerir mayor inversión". Jiménez incluso da un paso más allá: "Las organizaciones deben incluirla en sus modelos de gobierno"

Aun así, Muleiro ha querido advertir que, en las normativas, antes de regular la IA, se debe diferenciar entre la utilizada en la electromedicina, "que ya se usaba antes y ahora es mucho más potente", y la empleada de forma secundaria. En Clínica Universidad de Navarra, por ejemplo, "existe un comité de IA, donde también hay facultativos".

Llegada de la Directiva NIS2 a la sanidad española

Por otro lado, la Directiva NIS2 ha protagonizado la segunda mesa redonda del encuentro. Se trata del nuevo marco normativo creado por la Unión Europea con motivo de los ciberataques registrados en los últimos años. Principalmente, busca ampliar las obligaciones ya existentes en materia de seguridad digital para las empresas.

Sustituirá a la anterior directiva NIS, aprobada en 2016. Y sí, se habla de futuro, porque en España todavía no se ha aplicado. De hecho, supondrá nuevas exigencias en gestión de riesgos o notificación de incidentes. 

En este caso, Celia Príncipe, delegada de Protección de Datos de Recoletas Salud, ha sido la encargada de la moderar la mesa redonda 'NIS2 y gestión del riesgo en el sector salud: claves, herramientas y aseguramiento'.

El primero en intervenir ha sido Juan Díez, responsable de Ciberseguridad del Instituto Nacional de Ciberseguridad (Incibe). Según ha explicado a los asistentes al evento, "actualmente son muy pocos los incidentes notificados". "La regulación actual lo recomienda, pero una empresa no está obligada a avisar de un ciberataque", ha anotado. Algo que cambiará en cuanto la NIS2 se asiente en nuestro país.

"El año pasado gestionamos 35 incidentes en el sector de la salud. La mayoría fueron robos de credenciales a personal sanitario", ha añadido. Solo hubo, de hecho, "dos casos de ramsay", una nueva operación de espionaje y robo de datos.

Sumado a ello, desde el Incibe se gestionaron 360 llamadas al 017 de empresas relacionadas con salud. "Sobre todo, nos llamaban por robo de credenciales o por suplantación de la identidad del CEO", ha explicado. 

Un conjunto de cifras que justifican que "el sector salud está en una posición de riesgo moderado". Y es que "es díficil cifrar un hospital, ya que es un lugar pensado para que pueda entrar cualquiera, por lo que protegerlo es muy difícil". 

Celia Príncipe, delegada de Protección de Datos de Recoletas Salud; Laura Prats, manager en Riesgos Ciber de Relynes; Margarita Martínez, responsable de Políticas y Cumplimiento de Cibseguridad de Quirónsalud; y Juan Díez, responsable de Ciberseguridad del Incibe.

En Quirónsalud, por ejemplo, cuentan con un "sistema de seguridad bastante robusto". Tal y como ha anotado Margarita Martínez, responsable de Políticas y Cumplimiento de Ciberseguridad del grupo hospitalario, son capaces de "frenar las amenazas antes de que ocurra algo más grave". 

Desde su perspectiva, "existe mucho phising (ciberdelincuentes se hacen pasar por entidades o personas de confianza) o smishing (mensajes de texto para robar información personal o financiera)". "Esto viene seguido de robo de credenciales, claro", ha matizado.

De todas formas, Laura Prats, manager en Riesgos Ciber de Relyens, ha señalado que "los impactos del ramsay" han disminuido gracias a las "normativas vigentes". "Cada vez se pagan menos rescates. Todo esto va a ir cambiando", ha puntualizado. 

Y más si llega una Directiva como la NIS2 que "implicará de manera directa a las empresas medianas directamente". "Es la primera novedad que va a tener su consecuencia", ha detallado Díez. 

Eso sí, ha apuntado que "no entra en medidas concretas". "Solo las enumera, es decir, dice que debe haber concienciación del personal con el cifrado o que tiene que existir un control de acceso", ha remarcado.

Para él, "no llega al detalle como a un técnico le gustaría". Asimismo, "establece sanciones importantes y obliga a realizar inspecciones o auditorías".

Certificar previamente al hospital privado

Prevengo que no será una obligación para los hospitales privados el Certificado del Esquema Nacional de Seguridad (ENS), que acredita que una organización cumple con los estándares de ciberseguridad exigidos por el marco legal español.

Independientemente de ello, Díez, como experto en la materia, ha recomendado dicha certificación. "Si la tienes, cuando entre en vigor la NIS2, puedes pasar más rápido una auditoría", ha apuntado. Además, ha apuntado que "son muchos los hospitales privados que tienen conciertos con la sanidad pública, por lo que esos ya están obligados.

"La práctica de la ciberseguridad no se ve como una inversión, sino como un gasto", ha remarcado Martínez. Por ello, es conveniente "adoptar el mismo idioma que la dirección de un hospital". "Es importante alinearnos con el negocio y que no nos vean como un enemigo, ya que, al llegar esta directiva, eso nos va a ayudar mucho", ha señalado. 

Por su parte, respecto a la cadena de proveedores, los tres integrantes de la mesa han destacado la importancia que tiene asegurar la ciberseguridad de los productos o servicios adquiridos. "Desde Europa se está trabajando en cómo se puede mejorar que los dispositivos médicos sean seguros por defecto en el momento en que los compras", ha anotado Díez. Y es que las directivas actuales "velan por que el producto sea seguro desde el punto de vista de los pacientes y médicos, pero no desde el punto de vista de la ciberseguridad", por lo que es "el fabricante en sí el que decide qué controles previos hacer".

Sin embargo, los departamentos de ciberseguridad son clave para garantizar la adquisición de "productos seguros". Martínez ha explicado que, "cuando se planteó que la ciberseguridad participara en el proceso de homologación, todo fue un poco locura por la cantidad proveedores que había".

El proceso consiste en diferentes fases, como la categorización de los proveedores o la clasificación de los mismos. Lo que se debe buscar evitar son los "formularios infinitos". "No es lo mismo un proveedor que te viene solo con la certificación ISO que con el ENS", ha añadido. 

Para llegar a un acuerdo óptimo para el hospital y el proveedor, lo ideal es "plasmar todo muy bien en el contrato", que es donde "se deben garantizar la seguridad". Eso sí, siempre valorando los riesgos posibles. Todo con un objetivo: dar la mejor asistencia sanitaria.