Desde hace ya algunos años, una de las industrias más castigadas por los ataques informáticos es la relacionada con el sector salud, el cual reporta aproximadamente un 41% de incidencias que ocurren a nivel mundial. Varias entidades alertan de esta situación, mostrando además que hay un crecimiento exponencial a partir de la pandemia del COVID-19, donde esos ciberataques han aumentado un 150% en comparación a años anteriores.
Relacionado con la pandemia y el contexto de digitalización en el que nos encontramos inmersos actualmente, los ciberdelicuentes cuentan con mayores posibilidades de ataque, ya que se prevé que para el año 2025, el sector de la salud se encontrará conectado a la red en un 68%.
No hace falta decir que las filtraciones de información en esta industria son algunas de las más costosas, llegando a suponer 6,5 millones de dólares en pérdidas (cifra que irá aumentando debido a las cuestiones analizadas en los apartados anteriores, ya que suponen nuevas debilidades). Además, estamos ante ataques a información muy sensible: los datos respectivos a la salud son uno de los más protegidos y confidenciales que podemos encontrar gracias al Reglamento General de Protección de Datos (RGPD) de 2018, junto aquellos relacionados con la ideología, creencias o la sexualidad de las personas.
Para ilustrar mejor este artículo, procederemos a mostrar una serie de casos que han tenido bastante importancia, sobre todo en el último año.
¿QUÉ ES LO QUE HA ESTADO PASANDO?
Comenzamos con una noticia no tan actual pero sí muy interesante tanto por su contenido como por los participantes de la misma. En abril de 2017 aparecía en la prensa una investigación que se acababa de abrir debido a una denuncia de la Asociación El Defensor del Paciente realizada en marzo y admitida a trámite pocas semanas después. El caso surge de la filtración de información confidencial sobre pacientes y más de 250 sanitarios de Andalucía y Extremadura, además de la de algunos de los vocales de las Comisiones de Farmacia de dos hospitales de Sevilla, que llegaron a manos de la farmacéutica alemana Boehringer Ingelheim.
Entre toda esa información filtrada, se pueden encontrar fichas médicas, fotos de recetas y visados médicos, pantallazos de los sistemas informáticos de gestión sanitaria, correos privados, documentación interna sobre la gestión clínica, tratamientos clínicos… Ante la avalancha de información confidencial que se le hizo llegar a ese laboratorio, la Agencia de Protección de Datos es quien está llevando la investigación para lograr dirimir quién o quiénes han sido los causantes de esas filtraciones y conocer los motivos que las propiciaron. En la fecha en la que se publica esta entrada, no hay respuesta a esas dos incógnitas.
Pasando a noticias más actuales, este último año, tan azotado por la pandemia, las filtraciones en este sector han estado relacionadas directamente con el COVID-19 y las distintas farmacéuticas a cargo de proporcionar sus vacunas a la población. En este contexto, todos recordamos cuando, el pasado abril, diversos medios desvelaban en sus portadas varias páginas de los contratos que los países miembros de la Unión Europea tenían con Pfizer. En ellos aparecían las cantidades adquiridas así como el precio unitario y total de las dosis, además de otras condiciones como quién sería el responsable dependiendo de qué fallo. Todos esos datos, si bien por algunos interpretados como normales, escandalizaron a parte de la población que puso el grito en el cielo ante las cantidades tan grandes que se manejaban en los mismos, el poder de negociación que tenían actualmente las farmacéuticas o de dónde se sacaría el dinero para financiar esa y otras operaciones similares.
Meses más tarde, aparece una noticia similar pero esta vez en Colombia. En este país se filtró aparte del contrato entre el gobierno y Pfizer también el que se mantenía con AstraZeneca. Ante esta acción, de la cual ya se tiene cierta idea de cuál fue la fuente o causa de la filtración, el presidente de Colombia dijo que esperaba que no supusiera un problema para el plan de inmunización nacional y que las empresas presentes en él no tomasen medidas negativas, ya que existe una cláusula en esos contratos que establece la confidencialidad de los documentos, cosa que el propio gobierno admitió no haber cumplido. Al igual que en el caso europeo, parte de la población y de los medios de este país vieron con malos ojos las cantidades acordadas en los mismos y ciertas condiciones que aparecían. Debemos tener en cuenta la posición crítica que existe entre el pueblo colombiano, ya que nos encontramos en un país cuyo índice de corrupción es bastante alto y cualquier cosa que implique esos gastos es de mucho interés para la población del mismo.
El caso más actual de todos, pero que también tiene al COVID-19 como eje principal de la historia, es la filtración del certificado de vacunación del presidente de Indonesia. El sábado 4 de septiembre apareció este documento parcialmente censurado en PeduliLindungi, la cual es la app oficial de este país para el control y monitorización del proceso de vacunación de su población. Esto ha generado mucha preocupación tanto en el gobierno como entre los civiles, tal y como se muestra en este comentario de un ciudadano entrevistado por este caso: “If a president can have his data leaked what about me who is just a regular person?” O en este tweet escrito por otro indonés: “How many more big cases do we need to show that the IT and data management in our country is a failure?”
ENTONCES, ¿QUÉ HACEMOS?
Como podemos ver, las filtraciones en el sector de la salud no son algo anecdótico y pueden acarrear muchos problemas. Estamos ante información muy sensible que puede afectar tanto a personas físicas como a empresas, a individuos de interés o a grupos muy grandes de pacientes o profesionales.
Los casos de los que se ha hablado en el anterior apartado tienen varios aspectos en común: la dificultad de localizar a la persona que ha sido la fuente de esa filtración, se genera una falta de confianza a nivel interno (por esa dificultad de la que hablábamos de encontrar la fuente) y externo (como en el caso de los ciudadanos de Indonesia), pueden frenar ciertos procesos o dificultarlos en gran medida, etc.
Es por todas estas razones que desde la Organización Mundial de la Salud (OMS) se esté advirtiendo de la necesidad de aumentar las inversiones en ciberseguridad en el sector sanitario a nivel mundial desde hace varios años.
Las soluciones que se tomen por parte de las administraciones, empresas y organizaciones deben seguir y propiciar las nuevas tendencias que surgen en esta industria: care co-ordination (compartir de manera segura información del paciente, como por ejemplo su historia clínica), atención médica anyware (poder atender a los pacientes desde sus hogares) y la telemedicina (relacionado con la medicina de precisión, en la cual se aboga por un modelo de servicios mucho más personalizado y adaptado a cada paciente).
En los últimos años han aparecido nuevas herramientas que permiten cumplir con algunas de esas necesidades que se demandan a esta industria, como por ejemplo aquellas basadas en la tecnología de blockchain, permitiendo la trazabilidad de los documentos en el entorno digital y garantizando su autenticidad. Esto crea un espacio seguro cuando hablamos de compartir documentos, aunque tiene una debilidad, cuando la información abandona el formato digital, mantener la trazabilidad es prácticamente imposible ¿Cómo evitar eso y aportar una nueva capa de seguridad a informes, analíticas o, incluso, patentes médicas?
En este punto entra shaadow.io. La tecnología que ofrecemos garantiza ese seguimiento a pesar de que cualquiera de esos documentos acabe impreso en un papel gracias a nuestra novedosa tecnología basada en las marcas de agua invisibles al ojo humano pero a la vez detectables por nuestra plataforma. Ya sea a través de un pdf enviado por correo electrónico, el escaneo del documento o una fotografía del mismo, las marcas insertadas con shaadow.io siguen ahí; a la espera de ser extraídas para aportar toda la información necesaria y detectar quién ha logrado burlar la seguridad y filtrar unos datos tan confidenciales como lo son aquellos relacionados con la salud de las personas.
Adaptarse a los nuevos tiempos, se pertenezca a este sector o a otro completamente diferente, es algo primordial. Los ciberataques son cada vez más numerosos y elaborados y se debe estar preparado para enfrentarse a ellos. Nadie dijo que esto fuese tarea fácil, pero al igual que esos ataques son más sofisticados, la tecnología necesaria para acabar con ellos también lo es.
Digital health: a double pending task
For some years now, one of the industries most affected by cyber-attacks has been the health sector, which reports approximately 41% of the incidents occurring worldwide. Several entities warn about this situation, showing also that there is an exponential growth since the COVID-19 pandemic, where these cyber-attacks have increased by 150% compared to previous years.
Related to the pandemic and the context of digitalization in which we are currently immersed, cybercriminals have greater possibilities of attack, since it is predicted that by 2025, the healthcare sector will be 68% connected to the network.
It goes without saying that information leaks in this industry are some of the most costly, amounting to $6.5 million in losses (a figure that will increase due to the issues discussed in the previous sections, as they represent new weaknesses). In addition, we are facing attacks on very sensitive information: data related to health is one of the most protected and confidential that we can find thanks to the General Data Protection Regulation (GDPR) of 2018, along with those related to ideology, beliefs or sexuality of individuals.
To better illustrate this article, we will proceed to show a series of cases that have been quite important, especially in the last year.
WHAT HAS BEEN HAPPENING?
We begin with a news item that is not so current but very interesting both for its content and for the participants in it. In April 2017 there appeared in the press an investigation that had just been opened due to a complaint by the Association El Defensor del Paciente made in March and admitted for processing a few weeks later. The case arose from the leak of confidential information about patients and more than 250 healthcare professionals in Andalusia and Extremadura, in addition to that of some of the members of the Pharmacy Commissions of two hospitals in Seville, which reached the hands of the German pharmaceutical company Boehringer Ingelheim.
Among all this leaked information, one can find medical records, photos of prescriptions and medical visas, screenshots of health management computer systems, private emails, internal documentation on clinical management, clinical treatments… Given the avalanche of confidential information that was sent to this laboratory, the Data Protection Agency is conducting the investigation to find out who or who caused these leaks and the reasons behind them. As of the date of publication of this entry, there is no answer to these two questions.
Moving on to more current news, this past year, so hard hit by the pandemic, the leaks in this sector have been directly related to COVID-19 and the various pharmaceutical companies in charge of providing their vaccines to the population. In this context, we all remember when, last April, several pages of the contracts that the member countries of the European Union had with Pfizer were unveiled on their front pages. These showed the quantities purchased as well as the unit and total price of the doses, in addition to other conditions such as who would be responsible depending on the failure. All these data, although interpreted by some as normal, scandalized part of the population, who were shocked by the large amounts involved, the bargaining power that the pharmaceutical companies currently had and where the money would come from to finance this and other similar operations.
Months later, a similar news appeared, but this time in Colombia. In this country, apart from the contract between the government and Pfizer, the one with AstraZeneca was also leaked. In view of this action, of which there is already some idea of the source or cause of the leak, the President of Colombia said that he hoped that it would not be a problem for the national immunization plan and that the companies involved in it would not take negative measures, since there is a clause in these contracts that establishes the confidentiality of the documents, something that the government itself admitted not having complied with. As in the European case, part of the population and the media in this country took a dim view of the amounts agreed in the contracts and certain conditions that appeared. We must take into account the critical position that exists among the Colombian people, since we are in a country whose corruption index is quite high and anything that involves such expenses is of great interest to the Colombian population.
The most current case of all, but which also has COVID-19 at the heart of the story, is the leak of the Indonesian president’s vaccination certificate. On Saturday, September 4, this partially censored document appeared on PeduliLindungi, which is the country’s official app for controlling and monitoring the vaccination process of its population. This has generated a lot of concern both in the government and among civilians, as shown in this comment from a citizen interviewed for this case: “If a president can have his data leaked what about me who is just a regular person?” Or in this tweet written by another Indonesian: “How many more big cases do we need to show that the IT and data management in our country is a failure?”
SO WHAT DO WE DO?
As we can see, leaks in the healthcare sector are not anecdotal and can lead to many problems. We are dealing with very sensitive information that can affect both individuals and companies, individuals of interest or very large groups of patients or professionals.
The cases mentioned in the previous section have several aspects in common: the difficulty of locating the person who has been the source of the leak, a lack of trust is generated internally (due to the difficulty of finding the source) and externally (as in the case of the citizens of Indonesia), they can slow down certain processes or make them very difficult, etc.
It is for all these reasons that the World Health Organization (WHO) has been warning of the need to increase investment in cybersecurity in the healthcare sector worldwide for several years now.
The solutions adopted by administrations, companies and organizations must follow and promote the new trends emerging in this industry: care co-ordination (secure sharing of patient information, such as medical records), anyware medical care (being able to attend patients from their homes) and telemedicine (related to precision medicine, which advocates a much more personalized service model adapted to each patient).
In recent years, new tools have appeared that make it possible to meet some of these needs demanded of this industry, such as those based on blockchain technology, allowing the traceability of documents in the digital environment and guaranteeing their authenticity. This creates a safe space when we talk about sharing documents, although it has a weakness, when the information leaves the digital format, maintaining traceability is practically impossible. How to avoid that and bring a new layer of security to reports, analytics or even medical patents?
This is where shaadow.io comes in. The technology we offer guarantees this tracking even if any of these documents end up printed on paper thanks to our innovative technology based on watermarks that are invisible to the human eye but detectable by our platform. Whether through a pdf sent by email, a scan of the document or a photograph of it, the marks inserted with shaadow.io are still there; waiting to be extracted to provide all the necessary information and detect who has managed to circumvent security and leak such confidential data as those related to people’s health.
Adapting to the new times, whether you belong to this sector or a completely different one, is essential. Cyberattacks are becoming more numerous and elaborate and you must be prepared to deal with them. No one said this was an easy task, but just as these attacks are becoming more sophisticated, so is the technology needed to deal with them.
