Page 112 - REVISTA AUDITORÍA PUBLICA 86
P. 112
El sector sanitario europeo frente a la ciberamenaza: propuesta de una fiscalización informática
sentido, durante 12 años consecutivos, el sector sanita- Estos incidentes sirven de base para identificar una lista
rio registró el coste medio más elevado de una violación de amenazas principales y de material de partida para
de seguridad en todo el mundo. 4 soportar los resultados (tendencias y estadísticas del
informe). Los incidentes se analizaron en detalle para
El informe “Threat landscape: health sector (January identificar sus elementos centrales, proporcionando
2021 to March 2023”) recoge los incidentes ciberné- respuestas a algunas preguntas importantes, como, por
ticos dirigidos al sector sanitario desde enero de 2021 ejemplo: cómo se producen los ataques, qué sistemas
hasta marzo de 2023 (“periodo de referencia”). Agrupa son el objetivo y qué organizaciones sanitarias son las
incidentes cibernéticos informados públicamente que más afectadas y cómo.
afectan a varios los siguientes tipos de organizaciones
relacionadas con la salud: La estructura del informe es la siguiente:
¡ Prestadores de asistencia sanitaria directa (hospita- ¡ Introducción. Ofrece una visión general del ámbito
les, atención primaria, asistencia sociosanitaria, asis- de aplicación y del método utilizado para elaborar
tencia odontológica, servicios de urgencias, salud este informe. 6
mental, etc,).
¡ Amenazas principales. Analiza la actividad observada
durante el periodo cubierto por el informe. Propor-
¡ Laboratorios de referencia de la UE (entidades con ciona información sobre las principales amenazas y
actividades de investigación y desarrollo de medica- la distribución geográfica de los incidentes observa-
mentos y relacionadas con la salud). dos.
¡ Industria de productos farmacéuticos. ¡ Actores de la amenaza y motivación. Analiza los tipos
de actores que atacan al sector sanitario y analiza su
¡ Industria productos sanitarios y biotecnología. posible motivación.
¡ Autoridades, organismos y agencias sanitarias nacio- ¡ Impacto. Analiza la afección en el sector sanitario,
nales y de la UE. las entidades más atacadas, los activos afectados,
así como las consecuencias de los incidentes y las
¡ Organizaciones de seguros de enfermedad. amenazas identificadas.
¡ Centros residenciales de tratamiento y proveedores ¡ Conclusiones.
de servicios sociales.
El informe aplicó la Metodología del Panorama de Ame- III. Amenazas.
nazas a la Ciberseguridad de ENISA. La recopilación y el
5
análisis de los datos se centraron en los ciberincidentes El total de incidentes notificados públicamente por los
observados en los Estados miembros de la UE y los paí- países miembros de la UE y países vecinos antes cita-
ses vecinos (Noruega, Suiza y Reino Unido). Los datos dos, en el período de referencia es de 215. Estos inclu-
recogidos fueron analizados posteriormente por el equi- yen 208 ciberataques al sector sanitario, 5 informes de
po de panorama de amenazas de ENISA y por expertos vulnerabilidades identificadas, pero no necesariamente
externos. explotadas y 2 advertencias de actividad potencial que
4 ENISA Threat Landscape 2022, November 2022. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022. Directive (EU) 2022/2555 of the European Parlia-
ment and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive
(EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive). Data retrieved by the Cybersecurity Incident Reporting and Analysis System (CIRAS). https://ciras.
enisa.europa.eu/. IBM Cost of a Data Breach Report 2022. https://www.ibm.com/reports/data-breach
5 ENISA Cybersecurity Threat Landscape Methodology, July 2022. https://www.enisa.europa.eu/publications/enisa-threat-landscape-methodology. No se trata de la lista
completa de incidentes ocurridos durante el periodo de referencia. ENISA recopiló una lista de los principales incidentes basándose en inteligencia de fuentes abiertas
(OSINT) y en las propias capacidades de inteligencia sobre ciberamenazas de ENISA.
6 ENISA y expertos externos llevaron a cabo una investigación documental en profundidad de la bibliografía disponible procedente de fuentes abiertas, como artículos de
prensa, opiniones de expertos, informes de inteligencia, análisis de incidentes e informes de investigación sobre seguridad. El informe ha sido validado y respaldado por el
Grupo de Trabajo Ad Hoc de ENISA. Grupo sobre Paisajes de Amenazas a la Ciberseguridad (CTL) y el Grupo de Cooperación NIS (línea de trabajo 12 sobre el sector sanitario).
Además, las organizaciones sanitarias de la UE deben notificar los incidentes de ciberseguridad con un impacto significativo a las autoridades nacionales de su país en virtud
de la Directiva NIS. Al final de cada año, los informes resumidos sobre estos incidentes son recopilados, anonimizados, agregados y analizados por ENISA. Debido a su
carácter anónimo, estos informes no pueden combinarse con los incidentes recogidos por OSINT, ya que existe el riesgo de que se dupliquen los incidentes. No obstante,
ofrecen una imagen complementaria y se presentarán como información adicional a lo largo del informe.
111
