Sumario
Resumen
I. Introducción
II. ENISA y la ciberseguridad europea
III. Los equipos de respuesta a incidentes de Seguridad Informática en el sector sanitario europeo
1 Análisis comparativo
2 Otros modelos organizativos para la seguridad cibernética del sector sanitario
IV. Consideraciones finales
Resumen
En este trabajo pretendemos hacer una reflexión, partiendo del marco jurídico relativo a la articulación de los sistemas de protección europeos frente a los ciberataques en el ámbito sanitario y a los datos de salud. En este sentido, la Agencia de la Unión Europea para la Ciberseguridad es la organización que coordina la ciberseguridad del sector sanitario en el espacio europeo. Está elaborando una serie de protocolos que, en un futuro cercano, serán objeto de regulación positiva. Además de la experiencia de los países del entorno europeo, destacamos que se está desarrollando un movimiento organizado a nivel mundial para crear y coordinar equipos de respuesta a ciberataques al sector sanitario con el fin de proteger los datos de salud de los pacientes. En definitiva, un trabajo necesariamente interdisciplinar que requiere tener en cuenta el derecho a la protección de los datos personales de salud y, el técnico de la ingeniería informática actual, para garantizar dichos derechos de la forma más segura posible.
I. Introducción
En un artículo anterior, publicado en esta misma Revista, analizamos algunas herramientas ciberseguridad, comunes en el ámbito europeo de seguridad, que al tiempo que facilitan el procesamiento de datos personales de salud, ofrecen garantías sólidas para la protección de datos personales y, por lo tanto, protege los derechos y libertades de las personas1. De su análisis, concluíamos que estas herramientas coadyuban en la protección de los intercambios de datos de salud coordinados y seguros en la Unión Europea, en el contexto jurídicos europeo de la RGPD.
Las ciberamenazas aumentan año tras año, a medida que la popularidad de las tecnologías emergentes, como Internet de las Cosas (IoT), la Inteligencia Artificial (IA), los macrodatos, el gran uso de la computación en nube, así como los dispositivos conectados ofrecen numerosas formas de atacar una organización.
Un ataque dirigido a una infraestructura crítica, como un hospital, puede provocar daños económicos y poner en peligro la vida de los pacientes. Por lo tanto, es necesario contar con unas sólidas capacidades de respuesta a incidentes (IRC, Incident Response Capabilities) en el sector de la salud, en particular en los centros sanitarios (hospitales y clínicas privadas). En efecto, este sector se enfrenta a amenazas a lo largo de toda su cadena de relación, con consecuencias potencialmente negativas para una multiplicidad de partes interesadas (pacientes, ciudadanos, autoridades públicas, reguladores, asociaciones profesionales, grandes industrias, PYME etc.).
En este sentido, un mundo marcado por la hiperconectividad, la actividad de los ciberdelincuentes plantea una amenaza importante para la seguridad interna de la Unión Europea y para la seguridad en línea de sus ciudadanos. La pandemia de COVID-19 ha puesto en relieve la necesidad de una mayor seguridad en el mundo digital. Los ciudadanos hemos incrementado nuestra presencia en línea, tanto para mantener relaciones personales como profesionales, a la vez que los ciberdelincuentes han sabido sacar provecho de los sistemas de la atención sanitaria. Recordamos que la nueva normativa europea de protección de datos (RGPD), considera la información sanitaria de las personas como especialmente protegida2. De este modo, los usuarios tienen nuevos derechos cuando acuden a centros médicos u hospitales que han de ser protegidos. En este estudio vamos a analizar el diseño y la configuración de respuesta a incidentes informáticos a nivel europeo, en general, y española, en particular. Para finalizar, glosaremos las propuestas de la Agencia de la Unión Europea para la Ciberseguridad en relación a la capacidad de respuesta de las administraciones sanitarias a incidentes de ciberseguridad.
II. ENISA y la ciberseguridad en Europa
El actor fundamental en el espacio europeo de la ciberseguridad del sector sanitario es la Agencia de la Unión Europea para la Ciberseguridad (ENISA3). La Agencia fue creada en 2004 y reforzada por el Reglamento sobre la Ciberseguridad de la UE y contribuye a la política de seguridad cibernética de la UE, mejora la fiabilidad de los productos, servicios y procesos de Tecnologías de la Información y Comunicación (TIC) mediante programas de certificación de la ciberseguridad, coopera con los Estados miembros y con los organismos de la UE y ayuda a Europa a prepararse para los desafíos del mañana en materia de ciberseguridad. Mediante el intercambio de conocimientos, la creación de capacidades y la sensibilización, la Agencia coopera con las principales partes interesadas para fortalecer la confianza en la economía conectada, impulsar la resiliencia de las infraestructuras de la Unión y, por último, proteger a la sociedad y a la ciudadanía europea de las amenazas digitales.
La normativa por la que se rige ENISA es el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a la ENISA, la Agencia de la Unión Europea para la Ciberseguridad, y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad»). En este sentido, las funciones principales que tiene la Agencia de la Unión Europea para la Ciberseguridad las podemos clasificar en las siguientes:
A-. Objetivos. Los objetivos estratégicos de ENISA se derivan de su reglamento y de aportes de los Estados miembros y las comunidades relevantes, incluido el sector privado. En cooperación y en apoyo de los Estados miembros y las instituciones de la Unión, ENISA busca lograr:
- Experiencia: apoya a Europa para enfrentar los desafíos emergentes de seguridad de la red y de la información, mediante la recopilación, el análisis y la puesta a disposición de información y experiencia sobre cuestiones clave de NIS que puedan afectar a la UE, teniendo en cuenta la evolución del entorno digital.
- Política: promueve la seguridad de las redes y la información como una prioridad política de la UE, ayudando a las instituciones de la Unión Europea y a los Estados miembros a desarrollar e implementar políticas y leyes de la UE relacionadas con los NIS.
- Capacidad de soporte: mantiene el estado de la red y las capacidades de seguridad de la información, ayudando a los Estados miembros y los organismos de la Unión Europea a reforzar sus capacidades NIS.
- Fomentar la emergente comunidad europea de seguridad de redes e información, reforzando la cooperación a nivel de la UE entre los Estados miembros, los organismos de la Unión Europea y las partes interesadas, incluido el sector privado.
B. - Funciones. Un aspecto importante después de establecer un CSIRT es definir sus servicios principales de acuerdo con los recursos internos disponibles. Los servicios centrales de CSIRT se pueden agrupar en tres categorías principales:
- Los servicios reactivos generalmente consisten en informes posteriores a incidentes del sector afectado u otros episodios relacionados con amenazas o ataques, como servidores comprometidos, malware, vulnerabilidades u otro tipo de incidentes similares (alertas y advertencias, respuesta a incidentes, manejo de vulnerabilidad y manejo de equipos)
- Los servicios proactivos están diseñados para detectar y prevenir ataques antes de que haya un impacto real en los sistemas de producción. En esta categoría de servicios, la información generada por los equipos CSIRT se difunde a su sector correspondiente para evitar ser blanco de un ataque.
- Servicios de gestión de la seguridad para revisar y mejorar la posición de seguridad de las organizaciones de un sector. (análisis de riesgo, planificación de BC y DR, conciencia de seguridad y formación).
C.- Gestión de crisis cibernéticas. ENISA trabaja con la UE, los Estados miembros, la Comisión Europea y otras agencias para ayudar a prevenir o responder de manera efectiva a los incidentes y crisis de seguridad cibernética. Ha estado apoyando el campo de la gestión de crisis e incidentes cibernéticos europeos durante varios años, con actividades como: simulaciones de crisis, entrenamientos, apoyo a los Estados miembros para desarrollar sus planes y estructuras de crisis, conferencias internacionales y estudios en ciberseguridad.
La Agencia ENISA es un actor de la respuesta coordinada de la UE a las crisis de incidentes de seguridad cibernética, ayudando a la Comisión Europea siempre que sea necesario, especialmente en el marco de los arreglos de Respuesta Integrada a la Crisis Política (IPCR).
Por tanto, la Agencia de la Unión Europea para la Ciberseguridad se ha convertido en el referente de la gestión de crisis cibernéticas a nivel de la UE. Trabaja en estrecha colaboración con los Estados miembros para desarrollar procedimientos de gestión de crisis cibernéticas, a nivel de la UE, para mejorar el conocimiento de una situación concreta de crisis en caso de incidentes cibernéticos transfronterizos, para ayudar tanto a nivel nacional como a nivel de la UE a adoptar las medidas correctoras más oportunas. También ejecuta simulaciones y ejercicios de crisis y ofrece entrenamientos sobre este tema.
D.- Ejercicios cibernéticos. Una gran parte de los esfuerzos de la Agencia para el desarrollo capacidades de prevención se centran en los ejercicios cibernéticos. Las siguientes son algunas de las actividades de ejercicio cibernético: programa de ciber Europa, plataforma de ejercicio cibernético (CEP), entrenamientos y estudios.
E.- Educación en ciberseguridad. Las actividades en el área de educación y conciencia general buscan promover las habilidades NIS y apoyar a la Comisión para mejorar las habilidades y la competencia de los profesionales en esta área. Dentro de esta función se encuentra el European Cyber Security Challenge4. Los concursantes resuelven desafíos relacionados con la seguridad de dominios como: seguridad web y de red seguridad móvil, cripto rompecabezas, ingeniería inversa y forense digital
F.- Protección de datos. En el mundo actual de servicios digitales, redes sociales e Internet de las cosas, estamos experimentando una recopilación a gran escala sin precedentes y un mayor procesamiento de datos personales. Esta nueva sociedad basada en datos pres extendidas de vigilancia electrónica, creación de perfiles y divulgación de información privada.
El RGPD tiene como objetivo abordar estos riesgos reforzando los derechos de las personas en la era digital y permitiéndoles controlar mejor sus datos personales en línea. Al mismo tiempo, las normas modernizadas y unificadas permitirán a las empresas aprovechar al máximo las oportunidades del Mercado Único Digital (DSM), que también se beneficiarán de una mayor confianza del consumidor. Aun así, la regulación por sí sola no puede garantizar la protección en el cambiante panorama del procesamiento del tratamiento masivo de datos (big data), si no se pone en marcha, monitoriza y aplica de manera adecuada. Aquí es donde la tecnología puede desempeñar un papel crucial al ofrecer herramientas prácticas de protección de la privacidad y respaldar la aplicación de disposiciones legales.
G.- Informe de incidentes. Un instrumento importante de la legislación de ciberseguridad de la UE son los informes de incumplimiento de ciberseguridad. La notificación de violaciones de seguridad cibernética es importante no solo para los ciudadanos sino también para ayudar a las autoridades nacionales con sus tareas de supervisión. En la UE existen varias leyes diferentes sobre denuncias de incumplimiento.
En 2018 entró en vigor la Directiva de la UE sobre seguridad de redes y sistemas de información (llamada Directiva NIS), que introdujo reglas de notificación de incidentes de ciberseguridad para operadores de servicios esenciales en una amplia gama de sectores críticos, como la energía, el transporte, finanzas y salud. Recientemente, el 27 de diciembre de 2022 se publicó la Directiva (UE) 2022/2555, del Parlamento Europeo y del Consejo, de 14 de, diciembre de 2022, conocida como NIS 2, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. Esta Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros5. La transposición de la directiva ha de efectuarse, a más tardar el 17-10-24 los Estados miembros deberán adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la Directiva.
Nos parece especialmente importante que esta directiva NIS 2 amplía su ámbito de aplicación para abarcar a entidades medianas y grandes de más sectores críticos para la economía y la sociedad, incluyendo proveedores de servicios públicos de comunicaciones electrónicas, servicios digitales, gestión de aguas residuales y residuos, fabricación de productos críticos, servicios postales y de mensajería, así como a las Administraciones Públicas. En el caso de España afecta a las Entidades de la Administración General del Estado, Entidades de las Administraciones Públicas de Comunidades Autónomas y se podrá determinar su aplicación a entidades de la Administración Pública a nivel local.
Para hacer frente a tales amenazas, los Estados miembros y las entidades públicas y privadas europeas han iniciado un proceso de reflexión, liderado por la Agencia de la UE, con el objetivo de fortalecer la respuesta a Incidentes y ataques cibernéticos (en adelante IR), así como la capacidad de respuesta ante los incidentes (en adelante IRC) y la coordinación entre Equipos de respuesta a Incidentes de Seguridad Informática (en adelante CSIRT) en el sector sanitario.
III. Los equipos de respuesta a incidentes de Seguridad Informática en el sector sanitario europeo
La Agencia de la Unión Europea para la Ciberseguridad ha elaborado distintos informes que tienen como objetivo apoyar la comprensión del estado actual y desarrollo de los equipos CSIRT sanitarios en la UE6. Sus conclusiones pretenden ayudar a los miembros Estados para identificar problemas y mejorar la respuesta al manejo de incidentes (IR) dentro del sector de la salud, tras la transposición a los Estados miembros de la Directiva NIS7.
Los estudios analizan las posibles brechas, superposiciones y desafíos en los servicios ofrecidos, así como como en los procedimientos, procesos y herramientas implantadas. Más específicamente, el estudio proporciona una descripción general de los factores clave que facilitan o dificultan el desarrollo de los equipos CSIRT sectoriales sanitarios, así como la descripción de los recursos y herramientas específicos para apoyar el desarrollo de las capacidades de respuesta a incidentes y ataques cibernéticos (IRC) en el sector de la salud.
1. Análisis comparativo
Un análisis de la normativa de los países miembro de la UE proporciona los datos actuales básicos de del diseño y la configuración de respuesta a incidentes IR sectorial, a nivel europeo. Seguidamente clasificamos en cuatro grupos los países miembros de la UE atendiendo a la regulación de equipos de respuesta a emergencias informáticas, específicamente para instituciones del sector sanitario:
A.- No hay equipos de Respuesta a Emergencias Informáticas, específicamente para instituciones del sector sanitario
La gran mayoría de los Estados miembros (20 de los 27) no han creado equipos de Respuesta a Emergencias Informáticas en el sector sanitario: Alemania, Bélgica, Chipre, Republica checa, Estonia, Finlandia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Malta, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España y Suecia. Los servicios de respuesta a incidentes son prestados por el CSIRT nacional/gubernamental de cada Estado para todos los sectores, incluido el sanitario. Esto se aplica en particular a los países con un modelo centralizado de respuesta a incidentes, que no tienen previsto desarrollar capacidades sectoriales específicas.
En el caso de Bélgica: el CERT.be, es el servicio operativo del Centro para la Seguridad Cibernética de Bélgica (CCB) que actúa en el caso de ataques significativos en línea contra la infraestructura sanitaria austriaca. No tiene un CSIRT dedicado entidad para el sector salud.
En el caso de Alemania: el CERT-Bund (Computer Emergency Response para Agencias Federales) es el punto central de contacto para medidas preventivas y reactivas relativas a incidentes informáticos relacionados con la seguridad. En Alemania no existe una entidad especializada en el sector sanitario.
En el caso de Chipre: el CSIRT-CY es el servicio operativo de la Seguridad Informática Nacional y equipo de respuesta a incidentes. No existe una entidad dedicada al sector salud.
En el caso de la Republica Checa: el CSIRT.CZ es el CSIRT Nacional de la República Checa que actúa en el caso de ataques significativos en línea contra la infraestructura sanitaria. No tiene un CSIRT Sectorial de Salud.
En el caso de Estonia: el CERT-EE es la organización responsable de la gestión de incidentes de seguridad que actúa en el caso de ataques significativos en línea contra la infraestructura sanitaria. No tiene un CSIRT Sectorial de Salud.
En el caso de Finlandia: el Centro Nacional de Seguridad Cibernética de Finlandia (NCSCFI) es responsable de la supervisión de todos CSIRT. Tiene una eficiente autoridad supervisora del sector salud. No hay planes concretos par aun sector CSIRT específico sanitario.
En el caso de Grecia: el GR-CSIRT es el equipo cibernético de defensa, respuesta a incidentes y Operaciones. Es la organización responsable de la gestión de incidentes de seguridad que actúa en el caso de ataques significativos en línea contra la infraestructura sanitaria. No tiene un CSIRT Sectorial de Salud.
En el caso de Hungría: existen tres unidades organizativas en la Seguridad Cibernética Nacional. La unidad Gov CERT Hungary es responsable de la gestión de incidentes de seguridad en el caso de ataques significativos en línea contra la infraestructura sanitaria. No tiene un CSIRT Sectorial de Salud.
En el caso de Irlanda: el CSIRT-IE es el organismo dentro de la Cibernética Nacional Security Center (NCSC) asiste a los incidentes de seguridad cibernética a nivel nacional. El CSIRT-IE también actúa como un punto de contacto nacional para ataques cibernéticos que involucran entidades de atención médica dentro de Irlanda. No hay entidad dedicada al sector salud.
En el caso de Italia: el Equipo de Respuesta a Incidentes de Seguridad Informática se encuentra dentro del Departamento de Seguridad. No existe una entidad dedicada al sector salud
En el caso de Letonia: el CERT.LV es la Institución de Seguridad de las Tecnologías de la Información de la República de Letonia. Su misión es promover la seguridad de las tecnologías de la información (TI) en Letonia. Letonia no dispone de una entidad dedicada al sector salud.
En el caso de Lituania: el CERT-LT40 es el servicio nacional de gestión de incidentes de seguridad de las redes de comunicaciones electrónicas y de la información que opera como Equipo de Respuesta a Emergencias Informáticas. En Lituania no existe entidad dedicada al sector sanitario en Lituania.
En el caso de Malta: el CSIRT Malta es el servicio nacional de gestión de incidentes de seguridad a las infraestructuras críticas de Malta. En Malta no existe una entidad dedicada al sector salud.
En el caso de Polonia: los tres CSIRT nacionales son el Computer Security Incident Response Team (CSIRT GOV), el Equipo de Respuesta a Incidentes de Seguridad Seguridad Informática del Ministerio de Defensa polaco (CSIRT MON) y el de Respuesta a Emergencias Informáticas CERT-POLSKA, que contribuyen a garantizar la ciberseguridad a nivel ciberseguridad a nivel nacional. No existe una entidad dedicada al sector de la salud.
En el caso de Portugal: el CERT.PT es un servicio integrado en su Centro Nacional de Ciberseguridad que coordina la respuesta a incidentes relacionados con el ciberespacio nacional. No cuenta con un CSIRT Sectorial de Salud.
En el caso de Rumania: el CERT.RO48 es el Equipo Nacional de Respuesta a Emergencias Informáticas de Rumanía. creado como estructura independiente de investigación, desarrollo y peritaje en el ámbito de la ciberseguridad. En Rumanía no existe ninguna entidad dedicada al sector sanitario
En el caso de Eslovaquia: el Centro Nacional de Ciberseguridad SK-CERT realiza actividades nacionales y estratégicas en el ámbito Ciberseguridad. No existe una entidad dedicada al sector sanitario.
En el caso de Eslovenia: el SI-CERT50 (Slovenian Computer Emergency Response Team) es un equipo nacional designado de respuesta a incidentes de seguridad informática que opera en el marco del instituto público Academia e Investigación de Eslovenia. Eslovenia no cuenta con una entidad dedicada al sector sanitario.
En el caso de España: el INCIBE-CERT es el centro de respuesta a incidentes de seguridad de seguridad de referencia para ciudadanos y entidades operado por el Instituto Nacional Ciberseguridad (INCIBE), dependiente del Ministerio de Economía y Transformación Digital a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial. No existe una entidad dedicada el sector sanitario.
En el caso de Suecia: el CERT-SE es el CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) nacional de Suecia. Apoya a la sociedad en la labor de gestión y prevención de incidentes informáticos. Suecia no dispone de un CSIRT específico para el sector sanitario.
B.- Previsto el desarrollo de equipo sectorial sanitario
Austria y Croacia tienen proyectos normativos para para crear, en un futuro cercano, un equipo sectorial sanitario de respuesta a Emergencias Informáticas.
En el caso de Austria: el CERT.at es el CERT nacional austriaco. El CERT.at es el principal punto de contacto para la seguridad informática en el contexto nacional. En caso de ataques en línea significativos contra la infraestructura sanitaria austriaca, CERT.at coordinará la respuesta de los operadores afectados y los equipos de seguridad locales. No dispone de un CSIRT sectorial dedicado a la sanidad, pero está trabajando en su planificación.
En el caso de Croacia: el CERT nacional (CERT.hr) es responsable de prevención de ciberamenazas y protección de la seguridad de los sistemas de información públicos en la República de Croacia. Croacia no dispone de un CSIRT sectorial dedicado a la sanidad, pero está trabajando en su planificación.
C.- En preparación un equipo sectorial de salud
Se encuentran en preparación de un equipo sectorial sanitario de respuesta a Emergencias Informáticas: Bulgaria y Dinamarca. Se están creando actualmente un CSIRT de salud a nivel nacional.
En el caso de Bulgaria: el CERT Bulgaria) es el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Bulgaria está creando CSIRT sectoriales para facilitar la aplicación de la Directiva NIS. Sin embargo, aún no dispone de un CSIRT sectorial de salud.
En el caso de Dinamarca: El Centro de Ciberseguridad (CFCS)26 es la autoridad nacional de seguridad informática. En Dinamarca, existe un CSIRT del sector sanitario, la Autoridad Danesa de Datos que se encuentra actualmente en fase de desarrollo.
D.- Cuentan con un equipo Sectorial de Salud a nivel nacional
Francia, Países Bajos y Luxemburgo tiene desarrollados normativamente sus equipos de Respuesta a Emergencias Informáticas, específicamente para instituciones del sector sanitario.
En el caso de Francia: fue creado en el seno de la Agence Nationale de la Sécurité de Sistemas de información (ANSSI), el CERT-FR. Se encarga de poner en marcha los medios para responder a los incidentes o ataques informáticos en Francia. Dispone de un CSIRT sectorial dedicado al sector sanitario, CERT Santé (antes denominado Accompagnement Cyber sécurité des Structures de Santé), que funciona desde 20178.
En el caso de Luxemburgo: existen dos CSIRT nacionales: el Centro de Respuesta a Incidentes Informáticos de Luxemburgo (CIRCL) y GOVCERT, que proporcionan un servicio de respuesta sistemática a las amenazas e incidentes sanitarias. HealthNet-CSIRT (HealthNet Computer Security Incident Response Team) es el punto de contacto para tratamiento de los incidentes informáticos de las distintas partes interesadas activas en el ámbito sanitario9.
Por último, en el caso del Sector de Salud de los Países Bajos: ha desarrollado un equipo CSIRT específicamente para instituciones del sector salud. El Centro Nacional de Ciberseguridad (NCSC.NL) es responsable de la coordinación de las medidas de respuesta a incidentes para las instituciones así como de las entidades relacionadas con infraestructuras críticas. Los Países Bajos cuentan con un CSIRT (Z-CERT) que es un Equipo de Respuesta ante Emergencias Informáticas (CERT) desarrollado específicamente para instituciones del sector sanitario10.
2. Otros modelos organizativos para la seguridad cibernética del sector sanitario
Además de estos tres países miembro de la UE destacamos que un número cada vez mayor de CSIRT sectoriales están siendo creados por operadores de servicios esenciales sanitarios. Prueba de esta tendencia son los equipos de Respuesta a Emergencias Informáticas diseñado por el servicio noruego de salud que es exponente en este campo y que estimamos como un buen ejemplo a seguir. De igual manera, nos ha parecido interesante recoger la experiencia y recomendaciones del H-ISAC, Centro de Análisis e Intercambio de Información Sanitaria.
A.- Centro nacional para la seguridad cibernética del sector sanitario y asistencial de Noruega
El HelseCERT, Centro nacional para la seguridad cibernética del sector sanitario y asistencial de Noruega. Aunque Noruega no es un miembro de la Unión Europea, HelseCERT es un modelo de CSIRT Sectorial de Salud interesante entre los CSIRT que operan todavía en los países de la Asociación Europea de Libre Comercio (AELC): Islandia, Suiza, Noruega y Liechtenstein11.
Los servicios del Programa Nacional de Protección Noruego incluyen, entre otras cosas, el intercambio de información, la prevención, el asesoramiento, la gestión de incidentes, el análisis de vulnerabilidades y las pruebas de penetración.
A1. Servicios
Medidas de seguridad recomendadas, listas de bloqueo, nombre de usuario y contraseña perdidos, manejo de incidentes, examen rápido, intercambio de información y prevención, Plataforma de colaboración, escaneo de seguridad, imagen de situación, escena retrospectiva y seminarios web12.
En caso de incidentes graves que involucren a varias empresas sanitarias HelseCERT actúa como un centro que coordina los esfuerzos y el intercambio de información en todos los ámbitos.
Utilizan una prueba de seguridad automatizada que aborda las debilidades más básicas de las empresas del sector sanitario. El desarrollo y las pruebas incluidas se basan en la experiencia adquirida durante muchos años de pruebas de seguridad. Consideran lo que denominan “pruebas rápidas” a primera parte de una prueba de seguridad fundamental para que los propios operadores del sector sanitario pueden ejecutarlas fácilmente con anticipación suficiente en caso de incidentes agudos y graves.
A2.- Medidas de seguridad recomendadas por el centro noruego
- Lista blanca de aplicaciones (white lists): evitar que el spam y los mensajes no deseados lleguen a los usuarios. Al incluir en la lista blanca a los remitentes buenos conocidos y bloquear a todos los demás, las listas blancas pueden proteger contra los esquemas de suplantación de identidad y otros ataques maliciosos. Además, las white lists se utilizan a menudo junto con medidas de seguridad como cortafuegos y software antivirus para ayuda a protegerte contra las amenazas online.
- Seguridad del correo electrónico. El objetivo de la seguridad del correo electrónico ha de ser: protección ante terceros que se hagan pasar por el remitente de sus dominios, evitar que los correos electrónicos enviados sean leídos por personas no autorizadas, evitar que los atacantes envíen malware a los destinatarios de su hospital, utlizar protocolo de autenticación de correo electrónico de código abierto (DMARC), bloqueo de scripts y archivos de programa,
- Medidas de seguridad: combinación de medidas preventivas (como actualización y refuerzo) y medidas de detección y respuesta (como registro y antivirus). Según el centro noruego las siguientes medidas pueden detener el 90 por ciento de los ataques informáticos a sectores sanitarios y hospitalario: actualización de software y hardware (las versiones nuevas han cerrado más brechas de seguridad y son más seguras), instalación de actualizaciones de seguridad (actualizar antes de que alguien use las vulnerabilidades para entrar), no conceder derechos de administrador a los usuarios finales, bloqueo de la ejecución de programas no autorizados.
- Las contraseñas: deben garantizar que solo aquellos que deben tener acceso a la información sanitaria puedan lograrlo. Hay esencialmente tres cosas contra las que protegen las medidas: Phishing (se engaña al usuario para que inicie sesión con un nombre de usuario y contraseña en una página que los roba), la reutilización de contraseñas (el usuario tiene la misma contraseña en más de un lugar y el atacante obtiene acceso a la contraseña del usuario desde el otro lugar) y adivinación de contraseñas (el atacante prueba algunas contraseñas simples contra muchos usuarios diferentes). La experiencia de las pruebas de penetración que ha llevado a cabo HelseCERT muestra que, si tenemos suficientes nombres de usuario, siempre encontramos una cuenta que tiene esa contraseña.
- El escaneo de vulnerabilidades puede ayudar a cerrar la brecha entre la seguridad teórica y la seguridad en la práctica. El análisis de vulnerabilidades ayuda a obtener una visión general de los sistemas y servicios vulnerables que están expuestos en Internet y los servicios vulnerables que se encuentran en las redes locales. Las medidas de reducción de riesgos propuesta por el centro noruego de seguridad son básicamente: los sistemas que exponen los servicios sanitarios a Internet deben tener prioridad para cerrar las brechas de seguridad, las interfaces operativas de TIC deben aislarse en una zona separada para su funcionamiento, las instalaciones de monitoreo operativo central deben estar aisladas de la red ordinaria, el equipo médico debe estar aislado de la red ordinaria del paciente. Herramienta.
A3. -Esquema de trabajo de seguridad en la Red de Salud de Noruega
Los objetivos principales del trabajo con seguridad, privacidad y preparación en la Red sanitaria de Noruega son:
-Facilita la interacción digital segura y efectiva en el sector de la salud y el cuidado. La seguridad y la privacidad deben ser características inherentes a todos los servicios desarrollados y entregados por el sistema sanitario noruego que debe ser un proveedor de servicios seguro y protegido
-Garantiza el funcionamiento seguro y estable de los servicios críticos TIC, mediante un trabajo de seguridad preventiva. La capacidad de tratamiento y la capacidad de preparación del sector salud deben salvaguardarse tanto en la vida cotidiana como durante las crisis nacionales
-Garantiza que los datos de salud se gestionen de acuerdo con los requisitos legales y el derecho a la privacidad de la población, y garantizar el cumplimiento de los requisitos legales para salvaguardar los intereses de seguridad nacional.
B.- Centro de Análisis e Intercambio de Información Sanitaria
El H-ISAC es una organización mundial, sin ánimo de lucro y dirigida por sus miembros, que ofrece a las partes interesadas en el sector sanitario y de la salud una comunidad de confianza y un foro para coordinar, colaborar y compartir entre sí información vital sobre amenazas físicas y cibernéticas, así como las mejores prácticas. Lanzado en 2010 en Estados Unidos, el H-ISAC abandonó su enfoque nacional en favor de uno internacional en 201813.
B.1. Funciones
En la actualidad, H-ISAC facilita la transferencia de conocimientos en todo el mundo a través de cumbres educativas, seminarios electrónicos, talleres y documentos de trabajo, apoyando así el intercambio de información y la creación de relaciones que puedan contribuir a que el sector sanitario sea más resistente y proactivo frente a futuros ciberataques. H-ISAC no es una iniciativa aislada.
Hay una multiplicación de ISAC y redes para fomentar intercambio de información y aumentar la conciencia entre las partes interesadas dentro de un sector, incluso para sectores que no están definidos en la Directiva NIS.
Health-ISAC conecta a miles de profesionales de la seguridad sanitaria de todo el mundo para compartir conocimientos, alertas en tiempo real y mejores prácticas en un entorno de colaboración de confianza. Como fuente de información oportuna, práctica y relevante, Health-ISAC es un multiplicador de fuerzas que permite a las organizaciones sanitarias de todos los tamaños mejorar el conocimiento de la situación, desarrollar estrategias de mitigación eficaces y defenderse proactivamente contra las amenazas cada día14.
B.2. Miembros
- Proveedores de asistencia sanitaria
- Hospitales, clínicas, organizaciones de asistencia sanitaria, médicos, organizaciones dentales y quiroprácticas
- Organizaciones farmacéuticas, farmacias
- Empresas de biotecnología
- Departamentos de salud pública
- Laboratorios, bancos de sangre
- Aseguradoras de salud
- Fabricantes de productos sanitarios
- Empresas de tecnología sanitaria y seguridad que apoyan al sector sanitario
- Organizaciones ambulatorias y EMR
- Agencias de atención sanitaria a domicilio.
B.3. Organización de trabajo
Health-ISAC es una comunidad de homólogos del sector sanitario. Una de las formas importantes en que esta comunidad se reúne para liderar e impulsar soluciones para el sector es a través de comités y grupos de trabajo.
-Grupos de trabajo. Los grupos de trabajo de Health-ISAC son creados por los miembros, para los miembros. Los grupos de trabajo aprovechan la comunidad sanitaria Health-ISAC para abordar problemas específicos en diversos temas sobre: análisis de ciberseguridad, desarrollo de Programas de Inteligencia sobre Ciberamenazas, sensibilización y formación sobre ciberseguridad, Diversidad e Inclusión, Gestión de Identidades y Accesos, integración y desinversión de fusiones y adquisiciones de TI, gestión de riesgos, amenazas internas en los sectores farmacéutico y sanitario, farmacia y cadena de suministro, proveedores, tensiones Regionales ,arquitectura de seguridad, ingeniería de Seguridad, Riesgos Sociales y Políticos para la Asistencia Sanitaria, seguridad del software y Gobernanza de Riesgos de Terceros.
- Grupos de Trabajo Conjuntos. Desempeñan la misma función que sus Grupos de Trabajo; sin embargo, los Grupos de Trabajo Conjuntos también aprovechan la participación de no miembros para cumplir sus objetivos. El Grupo de Trabajo de Respuesta a Incidentes es el más importante.
Su enfoque compartido se centrará en experiencias, tácticas, y retos para hacer evolucionar las capacidades colectivas de respuesta a incidentes y desarrollar programas sólidos y sostenibles con el fin de minimizar los daños de los incidentes y mejorar las prácticas de seguridad de la información en sector de la sanidad.
- Comités. Los comités apoyan los programas oficiales del Health-ISAC. Los comités contribuyen a una función de gobernanza y aportan la contribución de los miembros a la configuración de los servicios del Health-ISAC. Los siguientes comités son los que efectúan lass funciones de seguridad: a). Comité de Resiliencia Empresarial apoya las operaciones del Programa de Resiliencia Health-ISAC); b) Consejo Europeo (comunidad centradas en los problemas y amenazas a los que se enfrentan las organizaciones y miembros europeos); c) Comité de Identidad (proporciona asesoramiento al liderazgo de Health-ISAC en cuestiones de Gestión de estrategia, las metas y objetivos de Grupos de Trabajo; d) Consejo de Intercambio de Información sobre Seguridad de los Dispositivos Médicos; y, por último, e) Comité de Inteligencia sobre Amenazas (responsable de analizar el panorama de las ciberamenazas para el sector de la salud y la sanidad pública y de desarrollar una dirección estratégica para que la comunidad ISAC se anticipe a las amenazas y se prepare para ellas.
III. Consideraciones finales
Primera. - Las principales entidades encargadas de la respuesta a incidentes en el sector sanitario en la UE son los CSIRT nacionales. Esto se aplica en particular a la mayoría de los países con un modelo centralizado de respuesta a incidentes, que no tienen previsto desarrollar capacidades sectoriales específicas. Los CSIRT del sector sanitario siguen siendo una excepción en los Estados miembros. Sin embargo, existe una fuerte tendencia a desarrollar colaboraciones sectoriales entre equipos de respuesta nacionales y sector sanitario que incluyen, entre otras cosas el intercambio de información. Los servicios de respuesta a incidentes son prestados por el CSIRT nacional/gubernamental de cada Estado para todos los sectores, incluido el sanitario.
Segunda. - La creación de equipos de respuesta en el sector sanitario parece derivarse de la dificultad que tienen los equipos nacionales por la falta de conocimientos sectoriales específicos de ámbito sanitario (hospitales, atención primaria de salud, psiquiatría etc.)
Tercera. - Los CSIRT nacionales sectoriales de salud tienden a prestar servicios más más adaptados a las especificidades y necesidades del sector, además de los servicios genéricos que prestan los CSIRT nacionales.
Cuarta. - Los principales retos a los que se enfrentan los CSIRT de sanidad son los siguientes: la falta de cultura de seguridad entre los operadores de servicios esenciales sanitarios y la falta de herramientas y canales de cooperación establecidos con los equipos de respuesta a incidentes.
Quinta. - Únicamente Francia, Países Bajos y Luxemburgo tienen desarrollados normativamente sus equipos de Respuesta a Emergencias Informáticas, específicamente para instituciones del sector sanitario.
Sexta. - Austria, Croacia, Bulgaria y Dinamarca están trabajando en la creación de un CSIRT de salud a nivel nacional.
Séptima. - Además de los tres países miembro de la UE señalado, destacamos que un número cada vez mayor de CSIRT sectoriales están siendo creados por operadores de servicios esenciales sanitarios. Prueba de esta tendencia son los equipos de Respuesta a Emergencias Informáticas diseñado por el servicio noruego de salud que es exponente en este campo y que estimamos como un buen ejemplo a seguir. De igual manera, sería recomendable tener en cuenta la experiencia y recomendaciones del H-ISAC, Centro de Análisis e Intercambio de Información Sanitaria, para crear equipos de respuesta a nivel mundial.
NOTAS A PIE
[1] Sobre este particular nos remitimos a nuestro anterior trabajo publicado en esta misma Revista el 3-01-2023 en la sección de conocimiento de artículos doctrinales titulado: “La ciberseguridad como protección del derecho a los datos personales relativos a la salud”.https://noticias.juridicas.com/conocimiento/articulos-doctrinales/17685-la-ciberseguridad-como-proteccion-del-derecho-a-los-datos-personales-relativos-a-la-salud/
[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (2016).
[3] European Union Agency for Cybersecurity.
[4] Se trata del mayor campeonato técnico a nivel europeo en materia de ciberseguridad, en el que compiten los mejores jóvenes talentos de los diferentes países participantes, seleccionados a través de sus diferentes competiciones nacionales. Los concursantes resuelven desafíos relacionados con la seguridad de dominios como: seguridad web y de red seguridad móvil, cripto rompecabezas, ingeniería inversa y forense digital. Así, INCIBE organiza anualmente una competición específica para la confeccionar el equipo nacional. En 2016 y 2017, la selección española fue la vencedora de esta competición, convirtiéndose en referencia en materia de ciberseguridad. Asimismo, la edición de 2017 que tuvo lugar en Málaga (España), fue organizada por INCIBE y contó con una gran participación de selecciones nacionales.
[5] Se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148
[6] ENISA: CSIRT Capabilities in Halthcare Sector (november 2021). ENISA: Cloud Security foro Healthcare Services (2021). ENISA: CSIRT Capabilities in Halthcare Sector (november 2021). ENISA: Procurement Guidelines for Cybersecurity in Hospitals (2020). ENISA: Pseudonymisation techniques and best practices. (2019).ENISA: Procurement Guidelines for Cybersecurity in Hospitals. (2020). ENISA, CSIRT Capacidades. ¿Cómo evaluar la madurez? Directrices para los organismos nacionales y gubernamentales (2019).
[7] El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, incorpora al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, más conocida como Directiva NIS, que busca identificar los sectores en los que se debe garantizar la protección de las redes y sistemas de información y establecer las exigencias de notificación de ciberincidentes. La Directiva (UE) 2016/1148 quedará derogada con efectos a partir del 18 de octubre de 2024.
[8] https://esante.gouv.fr/securite/cert-santé.
[9] https://www.esante.lu/portal/lu/service_project/doc_manager/download.php?&vars=_pK_T42MKWdx7OkFVlRBZcp9cqjjQ 26Ecabnf G3otSw
[10] https://www.ncsc.nl/ y https://www.z-cert.nl/
[11]HelseCERT se estableció en 2011 y es un entorno de respuesta para el sector de la salud. HelseCERT comenzó con 3 empleados, pero desde entonces ha crecido a 18 empleados con experiencia de vanguardia en seguridad cibernética operativa. HelseCERT se encuentra en Trondheim. Nos enfocamos en la seguridad cibernética donde ciber se define como todas las funciones que son vulnerables a través de las TIC
https://www.nhn.no/Personvern-og-informasjonssikkerhet/helsecert
[13] https://www.enisa.europa.eu/publications/eu-ms-incident-response-development-status-report
[14] Health-ISAC ha publicado su primer informe anual inaugural 2021 bajo el título “CONECTANDO
por la seguridad del paciente y la resistencia del ecosistema sanitario”. https://h-isac.org/2021-annual-report/
BIBLIOGRAFIA
Cabezón Ruiz, S. y Morilla, R.: “Big data en salud: un nuevo paradigma para regular, Un desafío para la justicia social”, en Revista Españolade Salud Pública. 2021; Vol. 95: 7 de octubre.
ENISA: Cloud Security foro Healthcare Services (2021).
ENISA: CSIRT Capabilities in Halthcare Sector (november 2021).
ENISA: CSIRT Capabilities in Halthcare Sector (november 2021).
ENISA: Procurement Guidelines for Cybersecurity in Hospitals (2020). ENISA: Pseudonymisation techniques and best practices. (2019).
ENISA: Procurement Guidelines for Cybersecurity in Hospitals. (2020). ENISA, CSIRT Capacidades. ¿Cómo evaluar la madurez? Directrices para los organismos nacionales y gubernamentales (2019).
https://esante.gouv.fr/securite/cert-santé.
https://www.enisa.europa.eu/publications/eu-ms-incident-response-development-status-report https://www.esante.lu/portal/lu/service_project/doc_manager/download.php?&vars=_pK_T42MKWdx7OkFVlRBZcp9cqjjQ 26Ecabnf G3otSw
https://www.ncsc.nl/ y https://www.z-cert.nl/
https://www.nhn.no/Personvern-og-informasjonssikkerhet/helsecert
Jareño Butron, M. y Arratibel Arrondo, J.A.: “La ciberseguridad como protección del derecho a los datos personales relativos a la salud” en revista noticias jurídica publicado el 3-01-2023 (sección de conocimiento de artículos doctrinales).
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, incorpora al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016,
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (2016)
