Un ciberataque “catastrófico” representa ahora una amenaza mayor para el NHS que otra pandemia, advirtieron funcionarios de salud.
Sir Jim Mackie, director ejecutivo del NHS de Inglaterra, dijo ayer en una reunión de la junta directiva que el riesgo había aumentado “dramáticamente” en las últimas semanas.
Una nueva evaluación de riesgos publicada por la empresa esta semana muestra que ha elevado el nivel de riesgo registrado para la seguridad cibernética a la calificación más alta de 25 sobre 25.
Al describir la probabilidad como “frecuente” y el impacto como “catastrófico”, advirtió que era poco probable que el riesgo disminuyera durante al menos cuatro años.
Su impacto se considera ahora la mayor amenaza para el NHS.
Mark Bailey, presidente del comité de tecnología del NHS de Inglaterra, dijo a la junta que los sistemas de información extensos y vagamente actualizados del NHS eran un “problema directo de seguridad del paciente”.
El director no ejecutivo dijo anteriormente en la reunión de la junta directiva de marzo que la amenaza cibernética era un área importante de debilidad.
Desde entonces, los datos de pacientes del Biobanco del Reino Unido, una base de datos de investigación respaldada por el gobierno, se han puesto a la venta en sitios de subastas chinos.
Sir Jim Mackie, director ejecutivo del NHS de Inglaterra, dijo en una reunión de la junta directiva que el riesgo había aumentado “dramáticamente” en las últimas semanas.
Los proveedores del NHS son particularmente vulnerables: un ataque al proveedor de patología Synnovis en 2024 provocó retrasos en los análisis de sangre y, como resultado, la muerte de pacientes.
Sir Jim dijo: ‘Todos estamos algo incómodos con lo bien preparados que estamos para hacer frente a un peligro potencial.
“Pero el entorno de riesgo ha cambiado radicalmente y se está acelerando”.
Reveló que el NHS England planea enviar un mensaje a los líderes locales para que establezcan una serie de “cosas fundamentales” que todas las organizaciones deben hacer para reducir el riesgo, y agregó que “debido a que ahora nos encontramos en un entorno de riesgo muy diferente, todos deben unirse”.
El jefe añadió: “Estamos todos unidos y es un sistema muy conectado”. Así que todos tenemos que hacer lo que tenemos que hacer y ser proactivos a medida que evolucionan las cosas”.
Un experto en seguridad cibernética dijo al Health Service Journal, un sitio web de noticias comerciales, que una mayor interoperabilidad entre sistemas y un mayor uso de la IA han hecho que el NHS sea más vulnerable.
Incluye nuevas herramientas de inteligencia artificial que pueden detectar y convertir de manera efectiva en armas las vulnerabilidades en los sistemas y aplicaciones de TI.
El Sr. Bailey dijo: ‘Hay nuevos grandes modelos de lenguaje como Mythos de Anthropic que se lanzarán en las próximas cuatro a seis semanas.
Una nueva evaluación de riesgos publicada por el NHS de Inglaterra esta semana muestra que el nivel de riesgo registrado para la seguridad cibernética se ha elevado a la calificación más alta de 25 sobre 25.
“Sin duda, esto proporcionará un enorme potencial, para bien y para mal, en términos de identificación de vulnerabilidades y cómo gestionarlas, por lo que la superficie de ataque aumentará materialmente en las próximas semanas”.
“La clave para esto es que hay que cambiar el enfoque a medida que cambian los riesgos y el equipo está asumiendo esto con el apoyo total de Jim, lo cual es fantástico”.
Para algunos códigos de código abierto del NHS, como la aplicación NHS, la amenaza Mythos se ha eliminado temporalmente de Internet.
El HSJ informó el mes pasado que el NHS de Inglaterra y el Departamento de Salud y Asistencia Social están dando prioridad a las ofertas de financiación este año para mejoras en la seguridad cibernética y tecnología de voz ambiental, que puede escuchar conversaciones y crear transcripciones automatizadas para los médicos.
La evaluación de riesgos de la junta dijo que el NHS de Inglaterra se centró en “medidas de resiliencia operativa como arquitectura segura, gestión de cambios, criptografía, controles de identidad y acceso y monitoreo y copias de seguridad del centro de operaciones de seguridad cibernética”.
“Las salvaguardias adicionales cubren la gestión de vulnerabilidades, la configuración segura y la seguridad de los proveedores”, afirmó.
“Las mitigaciones se centran en el inventario de activos, marcos de aseguramiento integrados, eliminación de tecnología heredada, monitoreo de amenazas internas y gestión proactiva de vulnerabilidades”.
Está previsto realizar un importante ejercicio de ciberseguridad para el próximo mes y el NHS de Inglaterra está trabajando en una lista completa de “activos organizacionales” potencialmente vulnerables.
El HSJ dice que el “monitoreo de amenazas internas” probablemente sea una respuesta al uso oficial y no oficial de la IA en el NHS, así como por parte de terceros contratistas.
El consultor de seguridad cibernética Saif Abed dijo a la publicación: ‘El descubrimiento de este riesgo continuo es un ejemplo de las crecientes amenazas a la salud pública y la seguridad nacional que enfrenta el NHS y que surgen tanto de la tecnología como de una cadena de suministro compleja y no regulada.
‘Si bien se enumeran muchas mitigaciones, no veo ninguna discusión significativa sobre cómo desarrollar resiliencia que preserve la seguridad del paciente cuando se manifiestan ataques disruptivos.
“La escala y el impacto clínico de los ciberataques sólo aumentarán a medida que aumente la interoperabilidad y la adopción de la IA en todo el NHS”.
