El Comité Europeo para la Protección de Datos (CEPD) ha dictaminado que las organizaciones que sean víctimas de infecciones de ransomware deberán notificar a los usuarios y empleados, sin importar si el ataque deriva en el robo de información confidencial, especialmente los hospitales. Por el momento solo es una propuesta, pero esto podría cambiar en el futuro inmediato. El CPDE es un organismo que colabora para el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea (GPDR).
El Comité ha decidido que los hospitales tendrán que notificar a sus pacientes y staff en caso de infección de ransomware o cualquier otro incidente de ciberseguridad: “Entendemos que es necesario proveer de información a aquellos pacientes y personal en general que puedan convertirse en objetivos de ciberataques”. Como recordará, un ataque de ransomware consiste en la infección de un dispositivo afectado con un malware de cifrado, bloqueando el acceso a la información hasta que se cumpla el pago de un rescate, usualmente en criptomoneda.
De esta forma las autoridades europeas de protección de datos buscan obligar a las empresas a mantener información actualizada sobre cualquier riesgo de seguridad. Expertos en ciberseguridad aseguran que, si bien estas prácticas han mejorado con la promulgación del GDPR, muchas organizaciones siguen renuentes a presentar informes de seguridad informática ante los organismos de control pertinentes.
Las autoridades siguen buscando las mejores formas de evitar filtraciones de datos y mejorar el servicio a los usuarios: “Los responsables de las instituciones de salud deben informar a sus pacientes sobre cualquier falla de servicio o retraso en tratamientos médicos”, menciona el borrador del CPDE.
Pacientes afectados por fallas en sistemas hospitalarios
Estas no son medidas improvisadas. Por más de un año el CEPD ha recolectado información sobre diversos casos que justifican la posible implementación de estas medidas; el más grave de estos casos ocurrió en Alemania, donde los fallos en los sistemas de un hospital derivados de un ataque de ransomware provocaron la muerte de una paciente que debía ser operada de urgencia.
Laura Prats, especialista en ciberseguridad en una firma española de gestión de riesgos, cree que el proceso de adaptación a estas normas puede ser complicado, pero que esta es una medida necesaria: “Seguiremos adaptándonos a las nuevas amenazas cibernéticas para reducir al mínimo los perjuicios a los usuarios de los servicios de salud”, menciona.
El sector salud se ha convertido en uno de los principales objetivos de ciberataques, ya que estas organizaciones almacenan información altamente sensible y sus sistemas informáticos deben ser salvaguardados a toda costa, en especial en el contexto de la pandemia.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.