Los expertos han advertido que el envejecimiento de la infraestructura y los equipos de TI está dejando al NHS peligrosamente expuesto a incidentes y ataques cibernéticos más dañinos, en la misma línea que el ataque de ransomware que afectó al proveedor de servicios de patología Synnovis en junio, causando una gran interrupción en la atención de primera línea en Londres.
En declaraciones a la BBC, Ciaran Martin, director ejecutivo fundador del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, dijo que estaba “horrorizado, pero no completamente sorprendido” por el ataque del 4 de junio.
El incidente provocó la cancelación de miles de procedimientos médicos y finalmente provocó la filtración de 400 GB de datos confidenciales por parte de la banda Qilin, después de que Synnovis se negara a pagar una demanda de rescate.
Dijo que estaba “bastante claro” que el NHS estaba utilizando una gran cantidad de TI obsoleta, y también que el NHS necesitaba mejorar en identificar y abordar los puntos vulnerables que podrían permitir a un ciberdelincuente acceder a sus sistemas, y no más para abordar las mejores prácticas básicas de seguridad cibernética.
Las preocupaciones de Martin están respaldadas por los médicos: un informe de la Asociación Médica Británica (BMA) de diciembre de 2022 revela que los médicos desperdiciaban más de 13 millones de horas cada año gracias a retrasos derivados de sistemas y equipos “inadecuados o que funcionan mal”. En ese momento, esto equivalía a 8.000 médicos a tiempo completo, o mil millones de libras esterlinas.
Un total del 80% de los médicos que respondieron a la encuesta en la que la BMA basó su informe dijeron que mejorar la infraestructura de TI tendría un impacto positivo en la eliminación de los enormes retrasos que enfrenta el NHS.
Los médicos que hablaron con el equipo de Investigaciones de la BBC informaron que utilizaban PC de 10 años con Windows 7 y lamentaron los 14 años de recortes constantes de financiación por parte del gobierno anterior.
Se perdieron los conceptos básicos cibernéticos
Aunque el NHS de Inglaterra ha dicho que ha gastado casi 340 millones de libras esterlinas en mejorar la seguridad cibernética en todo el servicio de salud desde 2017, las advertencias de Martin se producen después de que Computer Weekly expusiera la falta de atención prestada a cuestiones básicas como la autenticación multifactor (MFA) en partes del sistema. Servicio de salud.
El mes pasado, los denunciantes destacaron cómo el Programa de Registros y Resultados (ORP) del NHS de Inglaterra, cuyo objetivo es recopilar datos de varios registros clínicos al servicio de una mejor atención al paciente, estaba potencialmente exponiendo datos altamente sensibles a interferencias y robos al dejar expuesto el portal de acceso al programa. a la Internet pública, sin autenticación multifactor.
NHS England dijo a Computer Weekly que el ORP había sido probado según las credenciales pertinentes y que el proveedor contratado para ejecutar el programa cumplía con los estándares actuales. Dijo que cuando se adjudicó el contrato por primera vez, la MFA –considerada una piedra angular de las ciberdefensas– no era un requisito para los sistemas externos basados en Internet, pero que ahora se estaba implementando.
“Ninguna industria es intocable cuando se trata de delitos cibernéticos y, lamentablemente, el NHS es un objetivo principal dada su anticuada infraestructura de TI y la cantidad de datos confidenciales que almacena”, dijo Gregg Hardie, director del sector público de SailPoint. “Sus complejas redes de necesidades de acceso facilitan que actores malintencionados pirateen y exploten datos confidenciales de pacientes.
“El NHS y todas las empresas de atención médica deben asegurarse de implementar múltiples controles de seguridad para protegerse contra el panorama cibernético en rápida evolución actual”, dijo. “Pero, en primer lugar, para reducir el riesgo de que se produzca una infracción, tecnología como la seguridad de la identidad es crucial para gestionar quién tiene acceso a qué y detectar inmediatamente cualquier comportamiento sospechoso dentro de una organización”.