Centenares de instituciones sanitarias en el mundo son atacadas diariamente a través de sus sistemas digitales obligándoles a cambiar su ciberseguridad con el consiguiente gasto monetario y de eficiencia que esto conlleva. Estos ciberataques perjudican directamente a pacientes, usuarios y profesionales sanitarios. ¿Cómo afrontar este reto?
La transformación digital en el ámbito sanitario lleva aparejado un impulso de la ciberseguridad que en muchos casos se convierte en la piedra angular de este proceso de cambio. Los hospitales, clínicas, consultas privadas,… reconocen la importancia de enfocar sus esfuerzos en blindar la seguridad de los datos sensibles que aparecen en informes, resultados, tratamientos, etc.
Hay que tener en cuenta, en este aspecto, que el cambio sucedido en los últimos años en la sanidad ha sido vertiginoso. Se ha pasado del historial clínico en formato papel a formato electrónico, como ejemplo de una modernización que implica no solo una transformación del soporte sino todo un proceso de cambios en la seguridad del tratamiento de los datos que en ellos se recogen. Los avances en la computación en la nube, la automatización, la movilidad, la conectividad a la red y otros aspectos han promovido desarrollos antes inviables.
Los ciberataques pueden provocar una interrupción de la atención sanitaria que perjudica enormemente al paciente, sus tratamientos y/o enfermedades. Las consecuencias de estas amenazas son difíciles de predecir. Por lo que este tipo de retos requieren una vigilancia constante y la adopción de medidas para contrarrestarlos.
Uno de los casos de uso en ciberseguridad llevados a cabo en el ámbito sanitario es la utilización de criptografía de clave pública-privada para cifrar y firmar digitalmente las transmisiones de datos sensibles. Así cualquier archivo o dato almacenado en el dispositivo se cifra automáticamente.
Anonimización en salud digital: qué es y en qué consiste
El sistema sanitario cuenta en su haber con millones de datos personales. Para proteger la privacidad de los pacientes, la información sobre su salud, incluyendo sus tratamientos es necesario contar con sistemas que protejan frente a la vulneración de los datos.
Para ello, se hacen necesarias iniciativas innovadoras que mejoren el almacenamiento y el envío de datos sin que vulneren las leyes y normativas legales de cada país. Porque no cumplir con la obligación de proteger los datos de los pacientes puede acarrear graves consecuencias para la institución que procesa y mantiene todos los registros.
En este sentido, la anonimización de datos es el proceso de proteger la información privada o sensible borrando o encriptando los identificadores que conectan a un individuo con los datos almacenados. Por ejemplo, se puede someter la información de identificación personal (PII), como nombres, números de la seguridad social y direcciones, a un proceso de anonimización de datos que conserva los datos pero mantiene el anonimato de la fuente.
Sin embargo, incluso cuando se eliminan los identificadores de los datos, los atacantes pueden utilizar métodos de desanonimización para volver a realizar el proceso de anonimización de datos. Dado que los datos suelen pasar por múltiples fuentes -algunas de ellas disponibles al público-, las técnicas de desanonimización pueden cruzar las fuentes y revelar información personal.
Hay diversas técnicas de anonimización:
1.- Enmascaramiento de datos: ocultar datos con valores alterados. Por ejemplo, puede sustituir un carácter de valor por un símbolo como “*” o “x”. El enmascaramiento de datos hace imposible la ingeniería inversa o la detección.
2.- Pseudonimización: método de gestión que sustituye los identificadores privados por identificadores falsos o seudónimos, por ejemplo, sustituyendo el identificador “Juan García” por “Antonio Pérez”.
3.- Generalización: elimina deliberadamente algunos de los datos para hacerlos menos identificables.
4.- Intercambio de datos: es una técnica que se utiliza para reordenar los valores de los atributos del conjunto de datos para que no se correspondan con los registros originales.
La extracción de datos sanitarios, además de garantizar la protección de los datos personales de los pacientes, favorece la toma de decisiones médicas, mejora la calidad del tratamiento, previene enfermedades y reduce costes. Sin embargo, los datos sanitarios son muy sensibles y están sujetos a normativas como el Reglamento General de Protección de Datos (RGPD). Por lo que la anonimización o eliminación de la información identificable del paciente es el paso más importante para cumplir con la normativa e incorporar las preocupaciones sobre la privacidad.
La ciberseguridad en continúo desarrollo innovador
La privacidad está profundamente interconectada con los problemas de ciberseguridad. Con el uso de múltiples dispositivos y aplicaciones, se generan muchas lagunas que pueden comprometer la información personal identificable y la información sanitaria protegida. La pérdida de la información sanitaria protegida de un paciente puede acarrear además graves consecuencias, como la pérdida de reputación, la discriminación, el fraude y otros perjuicios.
Aunque no existe una solución milagrosa, ni un desarrollo tecnológico que resuelva aún los escollos existentes, es necesario seguir apostando por la innovación en el campo de la ciberseguridad, porque siempre surgen nuevas amenazas y porque es necesario proteger y asegurar la privacidad de los pacientes.
Entre los retos está el desarrollar y diseñar soluciones digitales y dispositivos que incorporen características de seguridad desde el inicio de su desarrollo con el objeto de prevenir la incursión de atacantes.
Es inviable mantener la gestión de los datos en las instalaciones solo por prevención porque impide nuevas investigaciones, tratamientos, fármacos y perjudica directamente el desarrollo de una sanidad que dé respuesta real a los retos que se plantean. El proceso de digitalización lleva aparejado aspectos tan importantes como el uso de la nube y el intercambio de datos sensibles entre entidades o instituciones sanitarias, y esto es algo que es inevitable si se quiere seguir avanzando. Por lo que se hace necesario seguir buscando nuevas líneas de desarrollo tecnológico que mejoren la gestión y el uso de los datos.