El futuro de la sanidad incluye un recorrido por la ciberseguridad que cada paciente realizará.
Este viaje será un viaje de disponibilidad.
Como profesionales de la ciberseguridad, hay muchos mantras que todos repetimos. El mantra fundacional de la ciberseguridad es fácilmente la tríada de la CID: "Confidencialidad, Integridad y Disponibilidad". Otro mantra común del CSF del NIST es "Identificar, Proteger, Detectar, Responder y Recuperar", que también es uno de los que vienen a la mente inmediatamente. Cada práctica de ciberseguridad se centra en última instancia en mejorar o proteger una de estas tres áreas.
La confidencialidad en los entornos sanitarios clínicos y no clínicos no es en absoluto un concepto nuevo, ya que la protección de los datos de los pacientes es un principio fundamental de la práctica con la mentalidad de la "necesidad de saber" y de "compartir los datos solo cuando sea necesario", que está arraigada en los médicos y en los no médicos. Los inicios de la industria de la ciberseguridad comenzaron con la protección de la confidencialidad en el sector financiero. Como la protección de las instituciones financieras y el comercio electrónico en Internet requieren una fuerte confidencialidad para funcionar, la confidencialidad recibió más tanto monetariamente como en términos de esfuerzos para resolver problemas. Por supuesto, la integridad y la disponibilidad también reciben un trato similar, pero el líder ha sido, y seguirá siendo, la confidencialidad. Este enfoque en la confidencialidad construyó Internet tal y como lo entendemos. Sin una fuerte codificación y privacidad en Internet, no existirían los gigantes del comercio electrónico.
A nivel mundial existen requisitos legales que se concentran en el mantra fundacional de la CID. La protección de los datos sanitarios (electrónicos o no) de los pacientes es un requisito federal en Estados Unidos, así como en muchos otros países. Esta ley se conoce como HIPAA, que es la Health Insurance Portability & Accountability Act de 1996. El objetivo de la HIPAA se basa en la protección de los datos de los pacientes, denominados ePHI (Electronic Protected Health Information), para mejorar la portabilidad. La HIPAA no se preocupa por el tiempo de funcionamiento del sistema de historia clínica electrónica (HCE), sino por la protección de los datos que contiene. Esto ha creado una falsa sensación de seguridad en el sector sanitario, ya que no se han destinado tantos fondos a la integridad y disponibilidad de la ePHI. Estas inversiones se han realizado en los lugares que los inversores del sector financiero entienden y en los que los requisitos normativos les han hecho gastar: La confidencialidad.
Con los avances en la informática de vanguardia y las tecnologías basadas en la nube, hoy estamos creando soluciones sanitarias interconectadas, digitales e inteligentes. Estos sistemas están ganando terreno gracias a la recopilación de más datos y a la mayor potencia de cálculo para extraer inteligencia de estos conjuntos de datos. Gracias a los datos, incluso hemos potenciado las soluciones sanitarias "en casa" con bombas de insulina que ahora pueden aumentar, reducir o incluso detener la administración de insulina en función de las lecturas de glucosa en el líquido intersticial medidas y previstas.
En el futuro, estas soluciones digitales interconectadas mejorarán la asistencia sanitaria a un ritmo rápido. Pronto, a medida que la potencia de la informática y de la red siga mejorando, la cirugía asistida a distancia o incluso la asistida por la IA parece posible. Las soluciones de diagnóstico asistidas por la IA ya están avanzando de forma significativa y solo pueden seguir mejorando.
El futuro de la sanidad incluye un viaje de ciberseguridad que cada paciente realizará sin saberlo. Este viaje será un viaje de disponibilidad. La revolución digital en la sanidad solo puede producirse con equipos en línea y seguridad. A medida que la tecnología cambie y se confíe en más sistemas digitales, la "vieja forma" de la medicina empezará a parecer tan extraña como lo sería hoy en día el historial médico en papel. Por ejemplo, cuando la HIPAA se introdujo por primera vez en 1996, las estimaciones solo oscilaban entre el 5 y el 10% de las consultas médicas que utilizaban algún tipo de sistema de HCE. Si avanzamos hasta el año 2020, esa cifra se ha invertido y se estima que entre el 5 y el 10% no utiliza ningún tipo de sistema de HCE. El cambio en un espacio relativamente corto de tiempo es increíble. La posibilidad de que un centro de atención al paciente "vuelva" a la medicina tradicional desaparecerá a medida que esos sistemas se retiren y sustituyan. O, dicho de otro modo, una vez que se inicia este viaje digital, no hay vuelta atrás.
Sin embargo, este cambio no está exento de retos y problemas, ya que los ciberataques a los que asistimos hoy en día no solo amenazan con difundir la ePHI o los secretos comerciales sensibles. Estos ataques están afectando a la disponibilidad de los sistemas para continuar con las operaciones. Los sistemas de diagnóstico, los sistemas de imágenes, los registros sanitarios, la programación y un sinfín de otros sistemas importantes están digitalizados y conectados en red. Cuando son atacados por los responsables de las amenazas, estos sistemas no suelen estar disponibles. Los equipos asistenciales más capacitados, inteligentes y rápidos del mundo pueden quedar prácticamente inutilizados sin la posibilidad de realizar ninguna prueba. Es habitual recurrir a las copias en papel de los registros debido a los cortes de energía, pero no es tan fácil gestionar los sistemas de imágenes o los diagnósticos en caso de un incidente cibernético.
Las recientes noticias sobre sistemas de hospitales comprometidos por el ransomware, la producción de medicamentos detenida por el malware y los productos sanitarios implantables con vulnerabilidades ponen de manifiesto el grado de inmadurez del sector en cuanto a la comprensión de estas amenazas y su mitigación. Hasta hace poco, nadie pensaba que las infraestructuras y los servicios críticos serían o podrían ser atacados. Estas suposiciones ya no pueden mantenerse, ya que los ataques contra los proveedores de servicios médicos y (compañías de seguros, programas gubernamentales, programas de asistencia y particulares) son vistos como objetivos lucrativos por los ciberdelincuentes y los agentes estatales percibidos como capaces de pagar rescates significativos.
Hoy es el día de tomar medidas de protección, ahora y en el futuro. Uno de los mantras que se repite a menudo en ciberseguridad es el principio de adoptar un enfoque de "seguridad desde el diseño". Este mantra se refiere a la construcción de la seguridad desde el principio y reconoce lo difícil que es asegurar un sistema después de la fase de diseño y después de la implantación. Añadir una sólida protección de ciberseguridad a los sistemas ya diseñados, construidos o implantados es mucho más caro y difícil que incorporar la seguridad desde el principio.
Este enfoque de "seguridad desde el diseño" no se producirá sin una planificación cuidadosa y la capacidad de aprovechar al máximo las inversiones en tecnología. La arquitectura de seguridad de la red tiene que adaptarse a los casos de uso y a los equipos utilizados. Los equipos utilizados deben estar diseñados de forma segura y ser mantenidos de forma segura. Es necesario aplicar una política que garantice que los controles de seguridad no se pasen por alto sin que se comprenda plenamente el riesgo.
Al igual que un médico que trata a un paciente, hoy es el día para empezar porque mañana puede ser demasiado tarde.
