La multinacional tecnológica GMV, que opera en ciberseguridad, sanidad y grandes empresas —entre otros sectores—, ha celebrado este miércoles en la Asociación de la Prensa de Madrid (APM) la II Jornada del HealthTech Observer (HTO), desarrollada en colaboración con la Asociación Nacional de Informadores de la Salud (ANIS) y que en esta ocasión se ha centrado en asuntos como la ciberseguridad, la gobernanza del dato en el sector sanitario y los hospitales líquidos, un nuevo modelo de atención al paciente, basado en la e-health, que se encamina hacia una medicina más personalizada y precisa.
El reto es mayúsculo: por un lado, hay que garantizar la ciberseguridad de los sistemas y, por otro, la privacidad de las personas mediante la protección de datos. La sanidad no es ni mucho menos ajena a estos ciberataques: más de 500 instituciones sanitarias de nuestro país notificaron ciberataques de phishing y ransomware en 2022, lo que supone un aumento del 650% en comparación con el año anterior. Así, el 89 por ciento de las organizaciones en España sufrieron un ciberataque y en el 72% de los casos se llevaron a cabo con éxito.
Los CERT, equipos para responder a los ciberataques
Un ciberataque puede hacer más vulnerables a los pacientes, paralizar la actividad asistencial y comprometer investigaciones en la que los datos son la principal evidencia. Por todo ello, el papel de los CERT —siglas en inglés del término Equipo de Respuesta de Emergencia Computerizada—, un equipo de personas dedicado a prevenir, detectar y responder eficazmente a los incidentes de seguridad, es fundamental en este aspecto.
La inteligencia artificial (IA), que promete transformar de manera significativa muchas facetas de nuestras vidas en el futuro, puede ser una buena herramienta para poder acelerar las investigaciones médicas —especialmente en la lucha contra enfermedades como el cáncer—, pero aún contempla muchos fallos. Urge en este sentido la necesidad de crear redes federadas de datos para aplicar la medicina personalizada y de precisión, lo que conlleva disponer de los máximos estándares de seguridad instaurados en la organización.
Cabe recordar en este sentido que la Comisión Europea puso en marcha en mayo de 2022 el espacio europeo de datos sanitarios (EEDS), un "ecosistema específico para la salud" —en palabras de la propia Comisión— para el intercambio de datos sanitarios que establece un marco de gobernanza para el uso de datos sanitarios electrónicos por parte de los pacientes (uso primario) y para fines de investigación, innovación, elaboración de políticas, seguridad de los pacientes, estadística o reglamentación (uso secundario).
De todos estos asuntos han hablado este miércoles en la APM destacados expertos en materia de ciberseguridad y salud durante la II Jornada del HealthTech Observer (HTO), organizada por GMV. Se trata de Miguel Ángel Benito, coordinador autonómico de seguridad de la información del Servicio de Salud de Islas Baleares; Luis Pérez Pau, jefe europeo de información (European Chief Information) de FutuRS —compañía del Grupo Ribera Salud—; Óscar Riaño, responsable del CERT de GMV; Francesc García Cuyás, director de Estrategia Digital y Datos del Hospital Sant Joan de Déu de Barcelona; Inmaculada Pérez, directora de Salud Digital de Secure e-Solutions de GMV; y Alberto Estirado, director de Sistemas de Información y Transformación Digital de HM Hospitales, quienes han arrojado más luz en materia de ciberseguridad y salud.
Demasiado tiempo en percatarse de los ataques
Y es que los datos son preocupantes. Según la guía de ciberseguridad en el sector salud del Banco Internacional de Desarrollo (BID), hay un dato demoledor que refleja a las claras cómo los ciberpiratas suelen salirse en la mayoría de los casos: desde que un ciberataque tiene éxito hasta que la institución se da cuenta de que sus datos han sido vulnerados, hay un promedio de 329 días. Casi un año entero, lo que pone a las claras la imperiosa necesidad de aumentar la inversión en seguridad.
Y el modelo de hospital líquido, un híbrido entre la atención presencial y las prestaciones que nos facilita la tecnología con dispositivos médicos para el paciente en su propio domicilio, ni mucho menos es ajeno a ello.
Los datos ofrecidos por Óscar Riaño son abrumadores: "La cantidad de dinero que maneja el cibercrimen supone el 1,5 por ciento del Producto Interior Bruto a nivel mundial, superando incluso el narcotráfico, mientras que España es el segundo país europeo que más incidentes ha sufrido en el sector sanitario en los últimos meses. Ha habido ciberataques relacionados con el conflicto de Ucrania y ahora con el de Israel-Palestina. El objetivo no es otro que obtener datos para sacar dinero: los ciberdelincuentes te dan pruebas de que te van a devolver los datos robados si les pagas la cantidad de dinero exigida; si no me haces caso, voy a distribuir esos datos para que se filtren. Es gente muy profesional y, en el otro lado, en el de los buenos y los CERT, también necesitamos gente muy profesional, más recursos y más inversión".
La "regla de oro del 3-2-1"
Riaño, que expuso cómo deberían ser estos CERT en las instituciones sanitarias —proponiendo el modelo de CERT Líquido y afirmando que la disponibilidad digital en el sector salud es proporcional a la calidad de vida de las personas—, recogió el testigo de Luis Pérez Pau, European Chief Information de FutuRS, quien destacó que los ciberataques en la sanidad son "cada vez más recurrentes". "Un ciberataque en un entorno sanitario es un desafío considerable, pero también una oportunidad para mejorar", afirmó Pérez Pau, que recordó el primer caso documentado de ciberataque en el sistema sanitario español, al Hospital de Torrejón de Ardoz (Madrid) en enero de 2020 —"justo en prepandemia", recordó— de tipo ransomware (malware de rescate).
"Pudimos elaborar un plan que no era fácil en ese entorno de alta presión: activamos todos los protocolos y, en ultima instancia, se garantizó la seguridad de los datos. Hemos aprendido varias lecciones y una de ellas, que es fundamental, es la de las copias de seguridad porque, si no hay copias, los ciberdelincuentes tienen la sartén por el mango", añadió Pérez Pau, que recordó igualmente "la regla de oro del 3-2-1" en ciberseguridad: "Disponer al menos de tres copias de seguridad, dos de ellas en soportes distintos y una que no esté disponible en la red para que no pueda sufrir ciberataques, que sea sólo de modo lectura y, por tanto, inmutable".
Proyecto CiberAP
Por su parte, Miguel Ángel Benito, del Sistema de Salud de las Islas Baleares, ha compartido información sobre el proyecto CiberAP, financiado por el Misterio de Sanidad y que está dirigido a mejorar la ciberseguridad en el sector de la salud, especialmente ante un escenario donde la inteligencia artificial se presenta clave para la atención sanitaria y una investigación científica no exenta de retos. Baleares es pionera en este programa Ciber AP, con una dotación de 40 millones de euros para 13 comunidades autónomas, y marcará la pauta al resto de regiones españolas con "la definición de estrategias y estándares que se van a adoptar desde nuestra coordinación".
"Tener incidentes de ciberataques no siempre es malo. Hemos cambiado el modelo y esa transformación hay que apoyarla desde la ciberseguridad. Todavía nos faltan por implantar muchas medidas y empresas como GMV nos ayudan a cumplir esa tarea", ha destacado Benito.
Precisamente, en representación de GMV ha hablado su directora de Salud Digital de Secure eSolutions, Inmaculada Pérez, quien ha destacado cómo el concepto de hospital líquido ha "cambiado la forma de asistencia para mejorar el bienestar del paciente, que puede recibr asistencia en su casa, por lo que también resulta vital proteger sus datos. Esto es posible porque hay muchos dispositivos médicos con parámetros que miden su salud e incluso predicen con inteligencia artificial cuándo se va a producir una alerta". "Éste es el primer reto que nos tenemos que plantear, el de la asistencia dentro de un hospital liquido", ha destacado Pérez, quien a continuación se refería a un "segundo reto" como es el de "mejorar la inteligencia artificial, que ya está embebida en nuestras vidas pero también necesitar aprender muchos datos para poder mejorar".
En este sistema de hospital líquido es pionero el Hospital Sant Joan de Déu de Barcelona, que ya en el año 2009 impulsó este proyecto destinado a facilitar la comodidad de los pacientes, especialmente los que padecen las "enfermedades minoritarias" (las denominadas comúnmente enfermedades raras) y tienen mayor dificultad para desplazarse. El director de Estrategia Digital y Datos del Sant Joan de Déu, el doctor Francesc García Cuyás, destaca cómo supieron reinventarse con la aparición del coronavirus. "El Covid nos hizo reflexionar: nos iba ganando la partida, así que debíamos adelantarnos a la jugada y pasar de un modelo de acción reactiva a un modelo de acción proactiva", explicaba el doctor García Cuyás.
"El domicilio, una habitación más del hospital"
"Nuestra premisa es que el domicilio del paciente sea como una habitación más del hospital, la consigna ha de ser la de mover el dato y no al paciente", ha explicado el galeno, que igualmente se refirió a la red ÚNICAS, que lidera funcionalmente el Hospital Sant Joan de Déu, y apuntó al nuevo modelo de equipos, configurados por profesionales sanitarios, científicos de datos y tecnólogos, en este contexto de salud digital y hospital líquido.
Sobre este concepto del hospital líquido ha hablado también el director de Sistemas de Información y Transformación Digital de HM Hospitales, Alberto Estirado, quien ha explicado el plan de transformación digital de este grupo hospitalario español de asistencia sanitaria privada, que cuenta con presencia en seis comunidades autónomas españolas (Madrid, Galicia, Cataluña, Andalucía, Castilla y León y Castilla-La Mancha) y dispone de 49 centros asistenciales en nuestro país,
Así, Estirado ha relatado cómo se ha desarrollado el hospital líquido, la estrategia seguida del dato y el trabajo que se está desarrollando en el Instituto de Investigación Sanitaria HM Hospitales: la experiencia de #Datacovidsavelives. "El plan de transformación digital de HM Hospitales supone un esfuerzo muy importante de gestión del cambio, que involucra a todos los departamentos de la compañía, pero fundamentalmente al equipo humano, que permite una renovación apoyada en la tecnología. Los ejes fundamentales del plan de transformación digital son: la gestión orientada al dato único, la eficiencia de procesos asistenciales y clínicos, las relaciones con el paciente digitales y la seguridad", señaló Alberto Estirado en el cierre de la II Jornada del HealthRech Observer de GMV celebrada en la Asociación de la Prensa de Madrid.