Los expertos han advertido de que el envejecimiento de los equipos y la infraestructura de TI está dejando al NHS peligrosamente expuesto a infracciones cibernéticas más dañinas e incidentes similares al ataque de ransomware que afectó al proveedor de servicios de patología Synnovis en junio, causando una gran interrupción de la atención de primera línea en Londres. En declaraciones a la BBC, Ciaran Martin, director ejecutivo fundador del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, dijo que estaba «horrorizado, pero no completamente sorprendido» por el ataque del 4 de junio. El incidente provocó la cancelación de miles de procedimientos médicos y, en última instancia, vio la filtración de 400 GB de datos confidenciales por parte de la banda Qilin, después de que Synnovis se negara a pagar una demanda de rescate. Dijo que estaba «bastante claro» que el NHS estaba utilizando una gran cantidad de TI obsoleta, y también que el NHS necesitaba mejorar en la identificación y el tratamiento de los puntos vulnerables que podrían permitir a un cibercriminal acceder a sus sistemas, y hacer más para abordar las mejores prácticas básicas de seguridad cibernética. Las preocupaciones de Martin están respaldadas por los médicos, con un informe de la Asociación Médica Británica (BMA) de diciembre de 2022 que revela que los médicos estaban desperdiciando más de 13 millones de horas cada año debido a retrasos derivados de sistemas y equipos «inadecuados o que funcionaban mal». En ese momento, esto equivalía a 8.000 médicos a tiempo completo, o 1.000 millones de libras esterlinas. Un total del 80% de los médicos que respondieron a la encuesta en la que la BMA basó su informe dijeron que mejorar la infraestructura de TI tendría un impacto positivo en la eliminación de los enormes retrasos a los que se enfrenta el NHS. Los médicos que hablaron con el equipo de investigaciones de la BBC informaron que usaban PC de 10 años de antigüedad con Windows 7 y lamentaron 14 años de recortes constantes de financiación por parte del gobierno anterior. Aspectos básicos de la ciberseguridad que se pasan por alto Aunque el Servicio Nacional de Salud de Inglaterra ha dicho que ha gastado casi 340 millones de libras en mejorar la ciberseguridad en todo el servicio de salud desde 2017, las advertencias de Martin llegan después de que Computer Weekly expusiera una falta de atención prestada a cuestiones básicas como la autenticación multifactor (MFA) en partes del servicio de salud. El mes pasado, los denunciantes destacaron cómo el Programa de Resultados y Registros (ORP) del Servicio Nacional de Salud de Inglaterra, que tiene como objetivo recopilar datos de varios registros clínicos al servicio de una mejor atención al paciente, estaba exponiendo potencialmente datos altamente sensibles a interferencias y robos al dejar el portal de acceso del programa expuesto a Internet público, sin la autenticación multifactor en su lugar. El Servicio Nacional de Salud de Inglaterra le dijo a Computer Weekly que el ORP había sido probado con las credenciales pertinentes y que el proveedor contratado para ejecutar el programa cumplía con los estándares actuales. Dijo que cuando se adjudicó el contrato por primera vez, la MFA, considerada una piedra angular fundamental de las ciberdefensas, no era un requisito para los sistemas basados ​​en Internet orientados al exterior, pero que ahora se estaba poniendo en marcha. “Ningún sector es intocable en lo que respecta a los delitos cibernéticos y, lamentablemente, el NHS es un objetivo principal debido a su infraestructura de TI obsoleta y la cantidad de datos confidenciales que almacena”, dijo Gregg Hardie, director del sector público en SailPoint. “Sus complejas redes de necesidades de acceso hacen que sea más fácil para los actores maliciosos piratear y explotar los datos confidenciales de los pacientes. “El NHS y todas las empresas de atención médica deben asegurarse de implementar múltiples controles de seguridad para protegerse contra el panorama cibernético en rápida evolución de hoy”, dijo. “Pero para reducir el riesgo de que se produzca una violación en primer lugar, la tecnología como la seguridad de la identidad es crucial para gestionar quién tiene acceso a qué y marcar de inmediato cualquier comportamiento sospechoso dentro de una organización”.