Actualización de la Gobernanza de Ciberseguridad del NHS

El Servicio Nacional de Salud (NHS) de Inglaterra, en colaboración con el Guardián Nacional de Datos (NDG), ha anunciado hoy un nuevo marco de resiliencia cibernética para organizaciones de salud y atención social. Este marco tiene como objetivo alinear los estándares de seguridad cibernética del NHS con los de otros sectores.

Este cambio, parte de la estrategia de seguridad cibernética 2023-2030 del Departamento de Salud y Atención Social, tiene como objetivo alinear la salud y la atención con los estándares de resiliencia cibernética utilizados en otros sectores.

A partir del 2 de septiembre de 2024, el Kit de Herramientas de Seguridad y Protección de Datos del NHS comenzará la transición de los 10 estándares de seguridad de datos del NDG al Marco de Evaluación Cibernética (CAF) del Centro Nacional de Seguridad Cibernética como su marco de evaluación principal.

La fase inicial afectará a un grupo selecto de grandes organizaciones, y luego seguirán otras gradualmente. Se espera que el DSPT alineado con el CAF se enfoque en alcanzar resultados en lugar de simplemente aprobar controles de seguridad, permitiendo a las organizaciones adaptar su enfoque a sus necesidades específicas, como se informó en la declaración original.

Este cambio se produce en respuesta a varios ciberataques de alto perfil que han interrumpido los servicios del NHS.

Un incidente notable ocurrió en junio de 2024 cuando el proveedor de patología Synnovis fue víctima de un ciberataque. El ataque resultó en el aplazamiento de miles de citas y operaciones de pacientes en todo el sureste de Londres mientras la empresa trabajaba para reconstruir sus sistemas de TI.

En marzo de 2024, NHS Dumfries y Galloway fueron víctimas de un ataque de ransomware. Los atacantes robaron tres terabytes de datos de pacientes y los publicaron en la web oscura. Este incidente llevó a la junta de salud a advertir a casi 150,000 pacientes que su información personal podría haber sido comprometida.

En agosto de 2024, otro incidente cibernético afectó a un subcontratista de un proveedor externo para varias juntas del NHS Scotland. El ataque resultó en la compromiso de números móviles pertenecientes al personal del NHS.

Estos ataques subrayan la creciente vulnerabilidad de las organizaciones de salud frente a las amenazas cibernéticas. A medida que la dependencia de los sistemas digitales crece, es imperativo que estas organizaciones inviertan en robustas medidas de ciberseguridad para proteger los datos de los pacientes y garantizar la continuidad de los servicios esenciales.