Itongadol.- Los hospitales israelíes fueron «significativamente pirateados» en 13 ocasiones, según un informe del interventor del Estado, Matanyahu Englman, publicado el martes sobre el estado actual de la ciberseguridad en el ámbito médico de Israel.
Diez de estos hackeos fueron «del nivel más grave», señaló Englman en el informe.
Además, Englman señaló que el coste de la recuperación del Centro Médico Hillel Yaffe de Hadera tras ser pirateado en octubre de 2021 había superado los 36 millones de NIS.
En aquel momento, un hackeo masivo del centro médico inhabilitó gran parte de su capacidad para continuar con las operaciones en curso basadas en procedimientos estándar.
Ya en 2021, el sector sanitario de Israel era uno de los más atacados por los piratas informáticos, denominado «A» en el informe.
Una de las principales formas en que Englman descubrió el alcance de la deficiente situación de ciberseguridad del sector sanitario fue utilizando un «equipo rojo» gestionado por su oficina para realizar un pirateo controlado de un importante centro médico.
El «hackeo» reveló un gran número de deficiencias en los conceptos de ciberseguridad de A, en la defensa y en el manejo de un hackeo una vez ya penetrado – todo lo cual puede aplicarse también a una variedad de otros centros médicos, decía el informe.
Más concretamente, el informe afirmaba que el sector sanitario carece de suficientes: segmentación de sus distintos servicios en red, inspecciones continuas de ciberseguridad, sondeos de las distintas formas en que los dispositivos e instalaciones médicas acceden a Internet, amplias defensas estructurales y falta de actualización de la seguridad de los contenidos. El informe citaba una amplia variedad de maquinaria cada vez más conectada en red, desde aparatos relacionados con la resonancia magnética hasta dispositivos de tomografía computarizada y ecografía.
El coste de subsanar las deficiencias se estimó en un coste anual continuado de más de 10 millones de NIS para la instalación «A».
Según el interventor, no sólo es fundamental que los centros médicos cuenten con defensas iniciales de ciberseguridad, sino también saber cómo mitigar las pérdidas incluso después de que un pirata informático consiga penetrar en uno o varios sistemas, antes de que puedan propagarse a otros.
Además, el informe recomienda que el Ministerio de Sanidad adopte un papel más activo en la aplicación de normas de ciberseguridad más estrictas entre los distintos centros médicos.
En este sentido, Englman afirmó que todos los centros médicos deberían someterse periódicamente a una prueba de piratería controlada por un «equipo rojo» para poner al descubierto sus puntos débiles.
Mientras tanto, el informe también dijo que «expuso largos años de negligencia en materia de seguridad de la información», por el Servicio de Prisiones de Israel
Según el informe, «existen profundas lagunas y deficiencias significativas en materia de seguridad de la información que crean peligros concretos» de ser pirateados.
Según el informe, el IPS está mal equipado culturalmente para abordar las cuestiones de ciberseguridad y no se toma suficientemente en serio su papel en el mantenimiento de la seguridad de la información sobre artículos clasificados.
La lista de deficiencias iba desde la incapacidad de llevar a cabo una ciberdefensa básica de la información clasificada, el intercambio negligente de información con partes externas y la incapacidad de delimitar adecuadamente lo que deben incluir y lo que no deben incluir las autorizaciones de seguridad de los distintos funcionarios del IPS.
Englman escribió que una inversión anterior de 144 millones de NIS para mejorar la seguridad de las comunicaciones y la información de la organización fracasó estrepitosamente, pero que, a pesar de ese fracaso, el IPS no hizo ninguna revisión en profundidad de lo que había ido mal y de cómo mejorar.
Además, el informe criticaba tanto al Ministerio de Seguridad Pública -ahora Ministerio de Seguridad Nacional- como al IPS por no aprobar ni utilizar el nuevo presupuesto aprobado para abordar los problemas de seguridad de la información.
Aunque se supone que se han aprobado 532 millones de NIS, el escalón político sólo ha aprobado el uso de 104 millones de NIS, e incluso de esos fondos limitados, el IPS sólo ha utilizado 39 millones de NIS.
El 62% de las órdenes de adquisición necesarias para implantar nuevos programas de ciberseguridad ni siquiera se han enviado.
Mientras que el presupuesto del IPS ha aumentado un 12% y otros ministerios han incrementado sus presupuestos tecnológicos un 25% de media, el IPS ha reducido su presupuesto tecnológico un 13%, según el informe.
Al igual que en el sector sanitario, el interventor sugirió que el IPS se sometiera periódicamente a «hackeos» controlados por «equipos rojos» para descubrir sus deficiencias.
Además, según el informe, el IPS no tiene un plan sólido para hacer frente a un episodio en el que sus redes sufran un «hackeo» importante.
Englman afirmó que el IPS, el Ministerio de Seguridad Nacional e incluso el Primer Ministro Benjamin Netanyahu, al estar implicada la seguridad nacional, tienen la responsabilidad de mejorar la situación.