Kaspersky adverteix dels riscos de ciberseguretat de la Telemedicina

Encara que el nostre país se situa al capdavant quant a serveis de telemedicina – el 100% de les organitzacions mèdiques consultades ja els han implementat, enfront del 91% a Europa i 93% en la resta del món - la preocupació per la seguretat i la privacitat continua sent significativa. Segons llancen les dades de la recerca de Kaspersky, a Espanya el 37% de les empreses sanitàries enquestades han experimentat casos en els quals els pacients s'han negat a mantenir una videotrucada amb el personal mèdic per qüestions de privacitat o seguretat de les dades.

Així mateix, el 75% dels proveïdors de serveis sanitaris espanyols afirma que els metges de la seva organització han expressat la seva preocupació per la protecció de les dades dels pacients quan realitzen sessions a distància i només el 31% està molt segur que la seva organització compta amb les mesures de seguretat necessàries. Malgrat les dificultats existents relacionades amb la seva seguretat, els metges creuen que la recollida de dades és un dels aspectes més importants en el desenvolupament de la tecnologia mèdica. De fet, el 80% està d'acord que el sector necessita recopilar més informació personal de la que actualment posseeix, per poder entrenar intel·ligència artificial i garantir un diagnòstic fiable.

De la mateixa manera, el 90% dels enquestats espanyols creu que els serveis de telemedicina seran els que més valor aportin al sector sanitari en els pròxims cinc anys. Els professionals assenyalen que la medicina a distància és pràctica i atractiva en molts sentits, amb avantatges com l'abast immediat, la menor transmissió de malalties entre els pacients i el personal, i la possibilitat d'ajudar a més persones en un termini menor.

Riscos de ciberseguretat per falta d'actualització dels equips

Amb la pandèmia el sector sanitari s'ha vist obligat a accelerar considerablement l'aplicació de noves tecnologies. No obstant això, aquesta ràpida transició a la digitalització no s'està realitzant al mateix ritme que l'adopció de mesures de ciberseguretat, tal com posa de manifest l'estudi de Kaspersky. Segons la recerca, la majoria (60%) de les empreses espanyoles que ofereixen serveis de telemedicina utilitzen sistemes operatius antics, la qual cosa les exposa a més vulnerabilitats i ciberriscos. Les raons que al·leguen es deuen principalment als elevats costos d'actualització, problemes de compatibilitat o falta de coneixements interns sobre com actualitzar-los.

L'ús d'equips obsolets pot provocar ciberincidentes. Quan els desenvolupadors de programari deixen de donar suport a un sistema, també interrompen la publicació de qualsevol actualització, que, entre altres millores, acostumen a tenir pegats de seguretat per les vulnerabilitats descobertes. Si es deixen sense posar pegats, aquestes poden convertir-se en un vector d'atac inicial fàcil i accessible per penetrar en la infraestructura de l'empresa, fins i tot per atacants no qualificats. Les organitzacions sanitàries recullen una gran quantitat de dades sensibles i valuoses, la qual cosa les converteix en un dels objectius més lucratius, i els dispositius sense pegats poden suposar un punt d'entrada per als atacs.

Pel que fa a preparació en matèria de ciberseguretat, només el 40% dels treballadors del sector sanitari a Espanya reconeix estar «molt segur» sobre la capacitat de la seva organització per detenir eficaçment tots els atacs o bretxes de seguretat que es produeixin en el perímetre de la xarxa. I el mateix percentatge (40%) es mostra convençut que la seva organització compta amb una protecció de seguretat informàtica de maquinari i programari adequada i actualitzada. A més, la meitat (50%) dels enquestats de tot el món van coincidir que la seva organització ja havia patit fugides de dades, atacs DDoS o ransomware.

Escassa preparació en matèria de ciberseguretat per part del personal sanitari

Les filtracions de dades no sempre es produeixen com a resultat de les accions dels ciberdelinqüents. Molt sovint, la informació pot veure's compromesa per agents interns. Segons l'enquesta de Kaspersky, el 25% dels proveïdors de serveis sanitaris espanyols ha experimentat casos en els quals els seus empleats han posat en perill la informació personal dels pacients durant les consultes en línia. El mateix percentatge creu que els metges no entenen clarament com es protegeixen les dades dels pacients.

A més, només el 13% dels proveïdors de serveis sanitaris estan segurs que la majoria del personal mèdic que realitza consultes en línia coneix de manera clara com es protegeixen les dades dels seus pacients. Això és així malgrat que el 70% de les organitzacions mèdiques ofereixen formació en conscienciació sobre ciberseguretat. Aquestes xifres demostren que la majoria de l'oferta formativa implementada no està adaptada a la realitat i no cobreix els temes més útils per a la pràctica diària dels facultatius. Així mateix, el 25% dels enquestats admet que alguns dels seus metges duen a terme consultes en línia utilitzant aplicacions no dissenyades específicament per a la telemedicina, com FaceTime, Facebook Messenger, WhatsApp i Zoom, entre altres.

Recomanacions

Els experts de Kaspersky comparteixen les següents recomanacions per ajudar les institucions sanitàries a establir un alt nivell de preparació en ciberseguretat:

• Proporcionar formació sobre seguretat als empleats que tenen accés a la informació personal dels pacients. La formació ha d'abastar almenys les pràctiques més essencials, com l'ús correcte de les contrasenyes, la seguretat del correu electrònic, la missatgeria privada i la navegació segura per Internet.
• La creixent popularitat dels serveis de telemedicina requereix un ampli ús de dispositius informàtics i de TI en general. Les solucions de seguretat garanteixen el control de la complexa infraestructura informàtica i s'asseguren que tots els dispositius corporatius que tenen accés a la xarxa de l'empresa estiguin protegits.
• No passi per alt la protecció dels equips mèdics basats en sistemes embeguts. Aquests sistemes acostumen a tenir poca capacitat operativa i només poden fer una tasca molt específica. Les solucions de seguretat per a sistemes embeguts han d'abordar les amenaces més recents i ser compatibles amb el maquinari de gamma baixa.
• Utilitzi un tallafoc que serveixi de barrera contra les amenaces externes. Això defensarà als servidors web de diferents tipus de malware, incloent-hi virus, ransomware i troians.

Per ajudar a minimitzar la probabilitat d'incidents cibernètics causats per sistemes obsolets i sense pegats, Kaspersky recomana les següents mesures:

• Proporcioni al seu personal una formació bàsica sobre higiene de ciberseguretat, ja que molts atacs comencen amb el phishing o altres tècniques d'enginyeria social.
• Realitzi una auditoria de ciberseguretat de les seves xarxes i solucioni qualsevol feblesa descoberta en el perímetre o dins de la xarxa.
• Instal·li solucions anti-APT i EDR, que permetin descobrir i detectar amenaces, investigar i posar solució oportunament als incidents. Proporcioni al seu equip SOC accés a l'última informació sobre amenaces i actualitzi-ho regularment amb formació professional. Tot l'anterior està disponible a Kaspersky Expert Security framework.
• Juntament amb la protecció adequada dels endpoints, els serveis dedicats poden ajudar a defensar-se d'atacs d'alt perfil. Els serveis Managed Detection and Response de Kaspersky poden ajudar a identificar i detenir els atacs en les seves primeres etapes, abans que els ciberdelinqüents aconsegueixin els seus objectius.
• Reforci els sistemes embeguts en dispositius mèdics que rares vegades s'actualitzen. Kaspersky Embedded System Security ha estat dissenyat per funcionar eficaçment fins i tot en maquinari de gamma baixa i heretat i en programari antic sense sobrecarregar el sistema. L'última actualització de la solució inclou capacitats de gestió basades en el núvol que permeten el control dels dispositius integrats a través de la mateixa consola allotjada que uns altres endpoints.