El hackeo del NHS impulsa normas de ciberseguridad más estrictas en el Reino Unido para proveedores privados.

Desbloquee el Digest del Editor de forma gratuita

Un ataque cibernético que afectó a miles de pacientes del NHS en el Reino Unido ha ayudado a desencadenar la acción del gobierno de Sir Keir Starmer para obligar a los proveedores privados de servicios públicos esenciales a reforzar las protecciones contra hackers. 

Los contratistas tendrán que fortalecer la seguridad digital bajo los planes presentados en el Discurso de la Reina para abordar la creciente vulnerabilidad de las “cadenas de suministro” digitales que sirven a instituciones estatales. 

El ciberataque con ransomware del 3 de junio por el grupo ruso Qilin en la empresa conjunta de patología pública-privada Synnovis ha interrumpido la atención médica de miles de personas inscritas en grandes hospitales de Londres.

Subraya los riesgos adicionales de seguridad digital en el aumento del uso de proveedores de servicios privados por parte del NHS, una política tanto de gobiernos conservadores como laboristas.

“Existe una gran brecha en el sistema, ya que no tenemos un regulador claro para la ciberseguridad de la atención médica que investigará el impacto en la seguridad de los pacientes de los incidentes de ciberseguridad, supervisará el comportamiento de los proveedores y hará cumplir castigos por incumplimiento”, dijo el Dr. Saif Abed, un ex médico del NHS y experto en ciberseguridad y salud pública.

El gran apagón internacional de TI el viernes que dejó a la mayoría de los consultorios de médicos de cabecera en Inglaterra sin acceso a los sistemas de registro de pacientes, algunos hospitales teniendo que trabajar manualmente desde papel, y algunas farmacias sin poder dispensar medicamentos vitales ha destacado el impacto profundo de la interrupción de los servicios digitales en el NHS.

LEAR  Donald Trump promete un arancel del 100% a los países que abandonen el dólar.

Los ministros propusieron esta semana un proyecto de ley de ciberseguridad y resiliencia en respuesta a los ataques de “criminales y actores estatales” a “hospitales, universidades, autoridades locales, instituciones democráticas y departamentos gubernamentales”.

La legislación tiene como objetivo fortalecer las reglas de ciberseguridad y los requisitos de informe que se encuentran actualmente dispersos entre 12 reguladores que cubren sectores de infraestructura básica y servicios digitales como los mercados en línea. 

El gobierno dijo que Gran Bretaña necesitaba una “actualización urgente” de sus reglas para que su infraestructura y economía no fueran “comparativamente más vulnerables” que las de sus homólogos de la UE, ya que el bloque ha lanzado su propia actualización de sus regulaciones sobre ciberresiliencia desde que el Reino Unido salió en 2020.

Si se convierte en ley, el proyecto de ley del Reino Unido endurecería las salvaguardias cibernéticas y los requisitos de informe de incidentes para empresas privadas que suministran servicios públicos. También dotaría de recursos a los reguladores a través de “mecanismos potenciales de recuperación de costos” y ampliaría sus poderes para investigar vulnerabilidades cibernéticas potenciales.

La salud es un enfoque principal del movimiento del Reino Unido y un gran objetivo de los hackers en todo el mundo. El gobierno ha destacado cómo el ataque a Synnovis en junio ha llevado hasta ahora al aplazamiento de 3,396 citas de pacientes ambulatorios y 1,255 procedimientos electivos en King’s y Guy’s y St Thomas’s.

El incidente dejó en claro “de forma dolorosa cuán vulnerables son algunas partes del servicio de salud a los ataques”, dijo un funcionario gubernamental. 

“Estos atacantes vieron un eslabón débil en la línea de suministro del NHS y lo explotaron sin piedad”, agregó el funcionario. “Los proveedores digitales deben tener las mismas protecciones que el propio servicio de salud”.

LEAR  Análisis - Sheinbaum de México puede que no sea un títere pero su mentor acecha de cerca Por Reuters

Synnovis, que es propiedad en un 51 por ciento de la empresa internacional de diagnóstico Synlab, dijo que acogía con agrado todos los esfuerzos para fortalecer las defensas cibernéticas y proteger los servicios contra la actividad de criminales y actores hostiles.

Agregó que había dedicado “todos los recursos disponibles” para contener el impacto del ataque del 3 de junio y reconstruir la capacidad del servicio, e investigó el incidente con el NHS y el Centro Nacional de Seguridad Cibernética, una rama de la agencia de inteligencia de señales del Reino Unido, GCHQ.

El proyecto de ley de ciberseguridad fue un “paso definitivo en la dirección correcta” hacia la protección de la atención médica, dijo la Dra. Saira Ghafur, líder de salud digital en el Instituto de Innovación en Salud Global del Imperial College de Londres.

Todavía se necesitan establecer detalles importantes, agregó, como qué regulador supervisaría las nuevas reglas, cómo se implementarían y qué sanciones contendrían si las empresas no utilizan una seguridad adecuada.

“Necesitamos ser mejores en hacer cumplir los estándares de ciberseguridad en los proveedores y tomar medidas punitivas cuando no se cumplan estos estándares”, dijo Ghafur. “Solo somos tan fuertes como el eslabón más débil, y hemos visto el daño resultante en la atención al paciente cuando esto ha fallado”.