Según la ANSSI, el sector sanitario es el tercer sector más afectado por los ciberataques. ¿Por qué las instituciones sanitarias son un objetivo prioritario para los atacantes?

Emmanuel Meyrieux :Los datos sanitarios son especialmente sensibles porque están estrechamente vinculados a la identidad de las personas y pueden revelar información personal muy detallada. Por ejemplo, un análisis de ADN puede proporcionar información más detallada que un documento de identidad. Por tanto, la confidencialidad de estos datos es crucial.
En el caso de un sitio de comercio electrónico, la pérdida de direcciones de correo electrónico es ciertamente problemática, pero en ningún caso comparable a la pérdida de datos sanitarios, cuyas repercusiones son mucho más graves debido a su naturaleza altamente sensible. Por ello, el RGPD concede especial importancia a su protección, lo que llevó a la creación de la certificación HDS para los servidores de datos sanitarios. Esta certificación adquiere cada vez más importancia en un momento en el que el consumo de datos va en aumento, sobre todo con los avances en inteligencia artificial y las posibilidades de procesamiento de datos.

¿Cuáles son los principales elementos a considerar para asegurar el desempeño del sistema de información en salud preservando la confidencialidad y seguridad de los datos?

En :Es fundamental adaptarse a la tipología de los datos utilizados. Los datos de salud se dividen en varias categorías: algunos no son identificativos en sí mismos, mientras que otros contienen directamente información personal crítica. En función de estas tipologías, las medidas de confidencialidad que se deben establecer pueden variar.

El reto es doble: por un lado, garantizar que el sistema responda rápidamente y, por otro, garantizar que proporcione las respuestas correctas. Por tanto, la integridad de los datos es crucial, ya que la información incorrecta en un sistema sanitario puede dar lugar a graves errores médicos. Este factor de integridad, completitud y coherencia general de los datos es fundamentalmente más crítico que la velocidad de respuesta del sistema.

La resiliencia de los datos, es decir, la capacidad de la institución sanitaria para recuperarse de una filtración de datos u otro tipo de vulneración, también es una cuestión clave. En este nivel, son posibles dos enfoques. El primero implica diversificar los medios de respaldo, mediante la implementación de sistemas basados ​​en copias de seguridad externalizadas que permitan una rápida restauración y reinicio del SI en caso de un problema.
El segundo enfoque es asegurar la redundancia de los sistemas para que sigan funcionando en todas las circunstancias. Esto obviamente aumenta el costo de la infraestructura, de ahí la importancia de identificar adecuadamente los datos más críticos y definir las necesidades de los equipos en caso de degradación del funcionamiento.

¿Qué acciones se deben implementar de forma prioritaria en caso de compromiso de los sistemas de salud?

En Ponerse en contacto con el CERT de Salud de la ANS, que ofrece un servicio de respuesta a incidentes 24 horas al día, 7 días a la semana, es un primer paso: la ayuda proporcionada por los expertos del CERT de Salud es a menudo decisiva.

En general, las instituciones sanitarias cuentan con un plan maestro de sistemas de información, a partir del cual se debe implementar un plan de recuperación. De esta manera, los equipos de TI pueden priorizar las aplicaciones más críticas para el correcto funcionamiento de los servicios y luego iniciar procedimientos de recuperación de datos. Se debe prestar especial atención al estado de las copias de seguridad: ¡es importante no reinstalar el malware que estamos tratando de eliminar!

Por lo tanto, la TI debe considerarse como una función de apoyo. Debe estar al servicio de la continuidad de la atención, de ahí la importancia de probar los procedimientos en fase previa y garantizar que el funcionamiento en modo degradado sea operativo.

OVHcloud cuenta con la certificación HDS para sus ofertas de nube privada, de hardware y de nube pública. Esta norma ha evolucionado desde su creación. ¿Qué opinas de estos avances?

En :En un principio, la acreditación HADS (Approved Health Data Host) no cubría a todos los actores que participan en la provisión de sistemas de información sanitaria. En realidad, bastaba con que uno de los subcontratistas tuviera esta acreditación para que toda la cadena de subcontratación se considerara cubierta. El paso a la certificación HDS (Health Data Host) ha sido un gran paso adelante. Hemos pasado de una situación en la que sólo tenía que certificarse un actor de la cadena de subcontratación a una situación en la que deben certificarse todos los actores de la cadena que participan en la obtención de información sanitaria.

La certificación, alineada con los estándares internacionales de seguridad de los sistemas de información ISO 27001, ha reforzado claramente la confianza de los pacientes y los profesionales, pero adolece de una serie de deficiencias.

El último desarrollo de HDS ha llenado precisamente estas lagunas del marco. ¿Cómo percibe este avance para el ecosistema sanitario?

En :Hemos tenido la oportunidad de contribuir a este desarrollo como un reconocido industrial en el sector de alojamiento de datos sanitarios. En general, estamos satisfechos con el progreso logrado en esta área.

El trabajo ha permitido avanzar en la madurez de la cuestión del alojamiento de datos sanitarios, con precisiones, en particular sobre la dicotomía entre la certificación "host de infraestructura física" y "host gestionado", cuya distinción no presentaba un interés real. También se han aclarado algunos elementos, en particular sobre la trazabilidad de la información proporcionada por el host y la obligación de informar sobre los riesgos y las medidas aplicadas para limitarlos, en particular en caso de acceso remoto a los datos desde un país fuera de la UE, por parte del host o de uno de sus subcontratistas, o en caso de que este último esté sujeto a una legislación extraeuropea que no garantice un nivel de protección adecuado en el sentido del RGPD.

En mi opinión, la innovación esencial que introduce este trabajo se refiere a la representación de las garantías y a la obligación impuesta a los prestadores de servicios de declarar toda su cadena de subcontratación. Se trata de un verdadero avance en materia de transparencia y acceso a la información.

Concretamente, ¿cómo se aplican estas exigencias de transparencia en términos de responsabilidad y garantías del servicio?

En :Prestamos mucha atención a la calidad de la información que entregamos y somos conscientes del papel que debemos desempeñar cuando surge un problema. OVHcloud debe proporcionar el nivel adecuado de información sobre toda la cadena de valor involucrada en sus servicios, de acuerdo con los avances del estándar HDS.

Esto se traduce en una identificación precisa de nuestros subcontratistas, los criterios que se les aplican en términos de soberanía y sus certificaciones. Esta representación de garantías también ha sido publicado en la mayoría de nuestros productosTambién publicamos RACIEn él se detalla el reparto de responsabilidades entre OVHcloud y sus clientes, servicio por servicio, prestando especial atención a la legibilidad de la información para nuestros clientes. En particular, hemos rediseñado la estructura de estos RACI para que reflejen el ciclo de consumo de nuestros productos. De este modo, los clientes pueden acceder fácilmente a la información que les concierne en caso de problema.

En la misma línea, documentamos nuestra políticas de reversibilidad Proporcionar una visión clara de cómo nuestros clientes pueden unirse o abandonar los servicios de OVHcloud, con los presupuestos asociados.

Por último, la nueva versión del estándar HDS especifica cómo se alinean los requisitos de la certificación HDS con los de la certificación SecNumCloud. También en este nivel hemos empezado a trabajar para documentar la soberanía de nuestros productos. Este objetivo de transparencia es, en mi opinión, un indicador esencial que debería extenderse rápidamente a todo el ecosistema.