La Unión Europea detecta un aumento de los ciberataques a hospitales con un coste medio de 300.000 euros
La Comisión Europea plantea un plan de acción ante la preocupación del sector, que sufrió 309 incidentes en 2023, pero aún tardará en ponerse en marcha. La principal medida es crear un centro de soporte paneuropeo
Fin a la impunidad ante un ciberataque: la alta dirección de las empresas será responsable de las brechas de seguridad
Los ciberataques se han convertido en una enorme preocupación para el sector sanitario, que es el principal afectado por este tipo de amenazas. La Comisión Europea ha detectado un incremento de los ataques, que ascendieron a 309 en el año 2023 y Ursula von der Leyen se comprometió a impulsar un plan de acción para combatirlos en los primeros cien días de su segundo mandato. El gobierno comunitario ha presentado este miércoles su propuesta, que reforzará la actual legislación en materia de ciberseguridad, específica para los centros sanitarios ante la sensibilidad que supone por la recopilación de datos personales, además de los riesgos por los retrasos o atascos que puedan provocar; pero aún tardará en ponerse en marcha.
El 54% de los ciberataques que sufre el sector sanitario son 'ransomware', aquellos en los que se produce un acceso a datos confidenciales, se cifran haciéndolos inaccesibles para exigir un pago a cambio de la clave de descifrado. Según los datos de la Comisión Europea, en un 43% de los casos se produjeron brechas de datos y el coste medio de cada ataque alcanza los 300.000 euros.
Compartir información sobre pagos
Lo que pretende la Comisión Europea es que los estados miembros compartan más información sobre este tipo de incidentes para que las entidades puedan tenerla de manera mucho más rápida. Bruselas no se atreve en su propuesta a recomendar a las entidades que no paguen por la recuperación de la información, aunque fuentes comunitarias explican que sí ha un “compromiso” por parte de gobiernos y administraciones públicas para no hacerlo; pero sí que reclaman que se informe en caso de que se produzcan los pagos.
El plan de acción que han presentado la vicepresidenta para la Soberanía Tecnológica, la Seguridad y la Democracia, Henna Virkkunen, y el comisario de Sanidad, Olivér Várhelyi, tiene cuatro ejes fundamentales: la prevención, la detección, la respuesta para minimizar el impacto y la disuasión ante las lagunas que tienen los sistemas europeos en el sector de la salud, que es especialmente crítico.
En España, el Hospital Clínic de Barcelona, uno de los más grandes de Catalunya, fue víctima de uno de esos ataques en marzo de 2023 que obligó a aplazar 150 cirugías no urgentes, 3.000 visitas a consultas externas y entre 400 y 500 extracciones, así como sesiones de radioterapia oncológica. Los delincuentes filtraron 4,5 terabytes de información y la conclusión de la Generalitat es que no estaba preparado para ese tipo de amenazas.
La principal medida de la propuesta, que ahora inicia el proceso de consulta con los actores involucrados y que tardará hasta 2026 en estar plenamente implementada, es el establecimiento de un centro de soporte paneuropeo para hospitales y proveedores sanitarios que dependerá de la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés). El centro permitirá un servicio de alerta temprana sobre ciberamenazas potenciales.