La digitalització accelerada del sector salut i biotecnològic ha multiplicat les vulnerabilitats enfront dels ciberatacs. La creixent interconnexió de dispositius, l'absència d'estructures de governança, el desconeixement generalitzat en bones pràctiques de seguretat i la percepció de la ciberseguretat com un assumpte exclusivament tècnic configuren un escenari de risc que afecta directament la qualitat assistencial i a la integritat de les dades clíniques.
Esta va ser una de les principals conclusions de la I Jornada sobre Ciberseguretat en el Sector Salut i Biotecnologia, organitzada de manera conjunta per la Càtedra de Ciberseguretat INCIBE-UPV i la Fundació Parc Científic Universitat de València (FPCUV). La trobada es va celebrar el passat 4 de juliol a l'auditori Marie Curie del Parc Científic de la Universitat de València, en el marc del programa de Càtedres de Ciberseguretat a Espanya, impulsat per l'Institut Nacional de Ciberseguretat (INCIBE) amb finançament dels fons europeus Next Generation-EU a través del Pla de Recuperació, Transformació i Resiliència.
Torna a veure la sessió "I Jornada sobre Ciberseguretat en el Sector Salut i Biotecnologia" que vam acollir el passat 4 de juliol en el PCUV
En l'obertura institucional, el director del Parc Científic, Pedro Carrasco, va assenyalar que “la ciberseguretat ja no és una opció tecnològica, sinó una responsabilitat compartida que travessa l'organitzatiu, l'ètic i l'estratègic”. Va reivindicar també el paper clau de la cooperació entre administracions, centres d'investigació, hospitals, startups, organitzacions tecnològiques i universitats. Així mateix, va anunciar que el PCUV treballa ja en la primera convocatòria d'IAtecUV, una incubadora especialitzada en intel·ligència artificial, i va convidar a les entitats assistents a sumar-se al projecte.
El director de la Càtedra INCIBE-UPV, Santiago Escobar, va repassar els pilars que estructuren la càtedra i va posar el focus en la necessitat d'una implicació transversal en els entorns sanitaris: “La ciberseguretat va amb les persones, però la tecnologia genera noves situacions de risc. Només estem veient la punta de l'iceberg; les organitzacions del sector salut i biotecnologia hauran d'invertir més i adoptar una cultura preventiva”. Escobar va alertar sobre els perills d'assumir que la seguretat digital és responsabilitat exclusiva de l'àrea de sistemes, quan en realitat es tracta d'un risc compartit per tota l'organització.
La primera taula redona, titulada “Marcs i bones pràctiques de ciberseguretat aplicades al sector salut i biotech”, va comptar amb la participació de professionals de Mobiliza Consulting, ISACA València, UPV, Kiwa, Qualliance, S2 Grup i la pròpia Càtedra. Al llarg del debat es van assenyalar carències comunes com la fragmentació de la seguretat per departaments, la falta de visió de conjunt i l'escassa formació del personal en protocols bàsics.
María José González, managing partner en Qualliance, va destacar que gran part dels incidents s'originen per errors humans i una feble cultura organitzativa entorn de la seguretat digital. Fernando Seco, director de la divisió de Govern de la Seguretat en S2 Grup, va advertir de la falta d'estructures de governança i planificació des dels equips directius, la qual cosa impedix desplegar estratègies sostingudes de protecció, i va recalcar que la responsabilitat en esta matèria pot fins i tot tindre implicacions legals.
En este context, els marcs normatius com l'ENS, la norma ISO 27001 o la directiva NIS2 van ser destacats com a ferramentes útils per a ordenar i millorar els sistemes. Segons Francisco Javier Peiró, auditor en Kiwa, estos marcs “no porten res radicalment nou, però permeten normalitzar processos i reforçar la maduresa operativa”. Va insistir també que la certificació no és obligatòria, però sí recomanable, i que els plans de continuïtat han d'assajar-se en escenaris reals. “Moltes vegades fallen perquè mai s'han posat a prova”, va apuntar.
Jorge Edo, director de Mobiliza Consulting i responsable de certificacions d'ISACA València, va ser contundent: “Una bona seguretat en els sistemes d'informació és també una bona seguretat per al pacient. Igual que controlem les dosis d'un medicament, hem de garantir la protecció de les seues dades clíniques. Una filtració pot tindre conseqüències fatals”.
"Una bona seguretat en els sistemes d'informació és també una bona seguretat per al pacient. Igual que controlem les dosis d'un medicament, hem de garantir la protecció de les seues dades clíniques. Una filtració pot tindre conseqüències fatals", Jorge Edo, director de Mobililiza Consulting
La segona taula redona, centrada en “Experiències empresarials en el sector salut i biotec”, va reunir representants de l'Institut de Física Corpuscular (IFIC), Dawako, Hospital Francesc de Borja, NTT DATA, ADM Biópolis i la Fundació Institut Valencià d'Oncologia (IVO). Les intervencions es van centrar en com s'implementen polítiques de ciberseguretat en organitzacions amb realitats molt distintes, i quines estratègies funcionen per a implicar el conjunt dels equips.
Albert Martínez, cap del Servici d'Informàtica de l'Hospital Francesc de Borja, va explicar que un dels principals reptes del sistema sanitari ha sigut adaptar-se a les noves tecnologies per falta d'inversió. Va detallar que el seu equip manté un contacte directe amb els servicis clínics per a anticipar problemes i que l'apagada peninsular del 28 d'abril va ser una prova real de resiliència per als seus sistemes. “Van funcionar els mecanismes interns, però van fallar les aplicacions comunes a altres centres. Encara estem lluny del nivell que volguérem aconseguir”, va reconéixer.
Des de la Fundació IVO, Fernando Zapatero va compartir que la seua infraestructura evita l'ús d'emmagatzematge en el núvol i que han desenrotllat una arquitectura que podria operar fins i tot sense connexió a internet, incloent-hi sistemes propis d'alimentació elèctrica i centres de processament protegits enfront d'inundacions, com les viscudes durant la DANA d'octubre.
Kiko Albiol, investigador de l'IFIC, va explicar com el seu equip treballa en el disseny i testatge de programari per a dispositius clínics, especialment aquells basats en intel·ligència artificial. Encara que col·laboren amb centres sanitaris, va assenyalar que la governança de dades continua sent un obstacle important per a tancar acords amb hospitals.
Des del sector empresarial, Javier Navarro, manager OT en ADM Biópolis, va descriure un enfocament multicapa de protecció, amb fins a tres nivells de xarxa per a protegir entorns industrials altament sensibles, com els que gestionen ceps bacterians únics en el desenrotllament de probiòtics. Marta Ruiz Server, de NTT DATA, va explicar el seu sistema de formació interna a través de cursos ludificats i obligatoris cada tres mesos, que busquen implicar el personal sense recórrer a formats llargs o burocràtics.
"Si no haguérem fet una adaptació ràpida, no hauríem pogut acostar-nos al mercat estatunidenc. A Europa hi ha cultures de seguretat molt diverses i més flexibles, per això és essencial conéixer l'entorn regulador de cada país", Lucas Sanjuan, responsable de Regulatory Affairs i Quality Asurance en Dawako
Lucas Sanjuan, responsable de qualitat i regulació en Dawako, va fer èmfasi en la necessitat d'adaptar les pràctiques de seguretat a les exigències internacionals: “Si no haguérem fet una adaptació ràpida, no hauríem pogut acostar-nos al mercat estatunidenc. A Europa hi ha cultures de seguretat molt diverses i més flexibles, per això és essencial conéixer l'entorn regulador de cada país”.
La jornada va finalitzar amb la intervenció de Silvia Rueda, vicepresidenta segona del Col·legi d'Enginyeria Informàtica de la Comunitat Valenciana, qui va apel·lar a la comunitat científica i tecnològica a impulsar solucions realistes, amb empatia i enfocament humà. “La seguretat també són les persones i el planeta. Necessitem consciència, però també compromís per a integrar estes pràctiques en el dia a dia”, va concloure.