Regulaciones NIS: una nueva era de ciberseguridad para el sector sanitario de Inglaterra
Tabla de contenido:
Cuando se piensa en los desafíos que enfrenta el Servicio Nacional de Salud, pueden venir a la mente cosas como la falta de fondos y de personal, largas listas de espera, una población en crecimiento y necesidades de los pacientes en constante cambio.
Sin embargo, un solo ciberataque tiene el poder de dejar fuera de línea todos los sistemas críticos de comunicación de información del NHS, lo que dificulta que los médicos y enfermeras de primera línea hagan su trabajo y, en última instancia, salven vidas. El infame ciberataque WannaCry, llevado a cabo por piratas informáticos norcoreanos, infectado computadoras en 595 consultorios médicos en Inglaterra e interrumpió el funcionamiento de un tercio de los fideicomisos hospitalarios del NHS inglés.
Además de afectar las operaciones diarias de los consultorios médicos y hospitales de todo el país, los ataques cibernéticos contra el NHS también pueden resultar en la filtración de datos de salud confidenciales. En junio, The Independent reportaron que los ciberdelincuentes robaron los datos personales de 1.1 millones de pacientes del NHS en 200 hospitales después de lanzar un ataque de ransomware en la Universidad de Manchester. Se cree que estos datos filtrados incluían los números del NHS de los pacientes y parte de los códigos postales de sus hogares.
Con el objetivo de evitar futuros ataques cibernéticos y fugas de datos que afecten al NHS, la Unidad Cibernética Conjunta ha publicado nueva orientación con respecto a la implementación de las regulaciones de redes y sistemas de información (NIS) en las organizaciones de atención médica en Inglaterra. Esta decisión sugiere que los reguladores ahora ven los datos de atención médica como una Infraestructura Nacional Crítica (CNI). Entonces, ¿por qué es así y qué significan las nuevas directrices para los proveedores de atención sanitaria en Inglaterra?
¿Qué son las regulaciones NIS?
Las regulaciones NIS, que entraron en los libros de leyes en mayo de 2018, tienen como objetivo fortalecer la postura de ciberseguridad de los operadores de servicios esenciales (OES). Estas organizaciones brindan servicios críticos para el funcionamiento de una sociedad y una economía, incluidos transporte, agua, electricidad y ahora atención médica.
En una nueva guía, los funcionarios gubernamentales describen la atención médica como "un servicio esencial según las Regulaciones NIS". Clasifica a los fideicomisos del NHS, los fideicomisos de fundaciones, las juntas de atención integrada (ICB) y proveedores independientes específicos como "OES para servicios de atención médica", lo que significa que deben tomar las medidas adecuadas para cumplir con las Regulaciones NIS.
Según estas reglas, las organizaciones de atención médica deben ser capaces de gestionar cualquier amenaza de ciberseguridad que afecte la red y los sistemas de información que utilizan para brindar servicios esenciales. Esto implica prevenir y minimizar el efecto de los ciberataques a las redes y sistemas de información de atención médica y al mismo tiempo “garantizar la continuidad de esos servicios”.
Las regulaciones del NIS significan que los proveedores de atención médica deben adoptar “prácticas integrales de gestión de riesgos”, según Jack Porter, especialista del sector público de Logpoint. Estas medidas incluyen "evaluar riesgos potenciales, implementar medidas de seguridad y revisarlas periódicamente para proteger los datos de los pacientes".
Los proveedores de atención médica también deben implementar “más políticas relacionadas con la seguridad de la cadena de suministro” para cumplir con las regulaciones NIS. Porter dice: "Esto significa garantizar que los socios y proveedores cumplan con estrictos estándares de seguridad para los proveedores de atención médica, especialmente cuando manejan datos de pacientes o brindan servicios críticos".
Cuando se trata de mitigar los riesgos de seguridad cibernética y, en última instancia, cumplir con las regulaciones NIS, Porter recomienda que los proveedores de atención médica adopten un sistema de gestión de seguridad de la información (ISMS). Agrega que implementar un sistema de gestión de eventos de incidentes y seguridad (SIEM) permitiría a las organizaciones de atención médica "detectar y responder a incidentes" y cumplir con estándares de la industria como ISO 27001.
Las tecnologías emergentes como blockchain también podrían ayudar a los proveedores de atención médica a proteger sistemas cruciales de ataques cibernéticos y fugas de datos. Simon Bain, experto en inteligencia artificial y director ejecutivo de OmniIndex, explica que la tecnología descentralizada "ofrece mayor seguridad, privacidad y transparencia que la infraestructura heredada".
Continúa: “Esto se debe a que está cifrado de extremo a extremo, no tiene una ubicación central para que un delincuente pueda atacar y utiliza inteligencia artificial para autenticar y autorizar continuamente el acceso para garantizar que solo aquellos que tienen permiso para ver ciertos datos puedan verlos. Además, los datos almacenados son inmutables. Esto significa que incluso si un ataque tuvo éxito, un atacante no puede cifrar los datos ni exigir un rescate”.
Informar incidentes cibernéticos
Si la red y los sistemas de información de un proveedor de atención médica se ven afectados por un incidente de ciberseguridad que afecte la continuidad de sus servicios esenciales, debe presentar un informe utilizando el Kit de herramientas de protección y seguridad de datos (DSPT).
Deben informar el incidente al menos 72 horas después de notarlo e incluir información sobre cuántos usuarios se vieron afectados por una infracción, su duración y la ubicación geográfica afectada.
Porter dice que las reglas del NIS son similares a RGPD en el sentido de que apuntan a “ampliar los requisitos de notificación de incidentes más allá de aquellos que afectan la continuidad del servicio. Explica: "Los proveedores de atención médica deben informar incidentes importantes que afecten a sus redes y sistemas de información con recomendaciones de una auditoría de seguridad".
Dice que la adopción de una plataforma SIEM permite a los gestores de casos de incidentes de ciberseguridad sanitaria "acelerar la investigación y la respuesta". Estos sistemas proporcionan inteligencia de registro de amenazas, brindando a los investigadores una "imagen completa de lo que está sucediendo" y permitiéndoles "crear informes directamente a partir de cada caso".
¿Por qué es importante NIS para la atención sanitaria?
Hay varias razones posibles detrás de la decisión del gobierno del Reino Unido de hacer que las regulaciones NIS sean aplicables al sector sanitario inglés. Quizás el mayor motivador es que una compleja variedad de sistemas interconectados desempeñan un papel fundamental en la prestación diaria de la atención sanitaria moderna.
Desde registros médicos electrónicos hasta equipos de diagnóstico conectados a Internet, las tecnologías sanitarias están golpeando el corazón del NHS en 2023. Pero también son un objetivo lucrativo para los ciberdelincuentes y deben protegerse para evitar ciberataques catastróficos que podrían afectar al sistema sanitario inglés.
Matt JD Aldridge, consultor principal de soluciones de OpenText Cybersecurity, dice que la naturaleza "extremadamente sensible" de los datos sanitarios y su valor para los ciberdelincuentes son probablemente factores importantes en la decisión del gobierno de aplicar las regulaciones NIS al sistema sanitario inglés.
“Si un ataque afectara a un centro médico, implicaría un riesgo grave para los pacientes. Por eso la industria está en el punto de mira y, por tanto, debe abordar la seguridad de múltiples maneras”, afirma.
"Además, ha habido numerosos ataques o infracciones al NHS muy publicitados en los últimos años, lo que puede haber estimulado esta realineación para garantizar una mejor protección y orientación a las organizaciones sanitarias en su conjunto".
La pandemia de coronavirus puso de relieve la importancia del NHS durante una emergencia de salud pública, por lo que se podría argumentar que un sistema sanitario interrumpido sería perjudicial para la seguridad nacional británica. Al mejorar la resiliencia cibernética del NHS, los estados-nación no podrán alterar la capacidad de Gran Bretaña para brindar atención crítica durante futuras pandemias y otras crisis de salud pública.
Someter a los proveedores de atención médica a las regulaciones NIS les permitirá implementar las mejores prácticas de ciberseguridad para mitigar futuros ataques cibernéticos y violaciones de datos, que de otro modo pondrían en riesgo a los pacientes, darían lugar a fuertes multas y causarían daños a la reputación. La decisión de Inglaterra de fortalecer la ciberseguridad de su sector sanitario de esta manera probablemente inspirará a otras naciones a tomar medidas similares, aumentando la influencia de Gran Bretaña en el escenario mundial.
Hacer que las regulaciones NIS funcionen
A pesar de sus beneficios, las regulaciones NIS pueden presentar varios desafíos para las organizaciones de atención médica en Inglaterra. Los proveedores más pequeños, en particular, se verán afectados por la carga financiera que supone la compra de sistemas de ciberseguridad y la actualización de los sistemas de TI heredados. Hacer estas cosas también requiere experiencia específica, que los pequeños proveedores de atención médica tal vez no tengan internamente. Capacitar al personal para identificar y responder a los ciberataques llevará algún tiempo.
En general, la implementación de regulaciones NIS en todo el sector sanitario inglés lo protegerá contra amenazas de ciberseguridad existentes y emergentes. Pero para que esta transición sea exitosa, es fundamental una estrecha colaboración entre gobiernos, reguladores, proveedores de atención médica y expertos en ciberseguridad.
