NIS2 y sanidad: control de activos IT en hospitales y clinicas

En mayo de 2017, el ransomware WannaCry paralizo el NHS britanico. Mas de 80 organizaciones sanitarias afectadas, 19.000 citas canceladas y cinco hospitales desviando ambulancias. Coste estimado: 92 millones de libras. El motivo: miles de ordenadores con Windows XP sin parchear que nadie tenia inventariados.

En sanidad, un activo IT sin controlar no es solo un riesgo economico — puede ser un riesgo para la vida del paciente.

Por que NIS2 afecta al sector sanitario

NIS2 clasifica al sector sanitario como entidad esencial (Anexo I). Incluye hospitales, laboratorios, centros de investigacion, fabricantes de dispositivos medicos y farmacias.

• Inventario completo de activos como parte de las medidas de gestion de riesgos (Articulo 21.2)
• Gestion de incidentes vinculada a los activos afectados, con notificacion en 24/72 horas
• Continuidad asistencial: planes que dependen de saber que activos son criticos para la atencion al paciente
• Seguridad de la cadena de suministro: control sobre dispositivos medicos de terceros conectados a la red

Incidentes reales en el sector sanitario

• HSE Irlanda, 2021: Ataque Conti que paralizo los sistemas durante meses. Historiales clinicos inaccesibles. Coste de recuperacion: 600 millones de euros. Entro por una estacion de trabajo sin antivirus actualizado.
• Hospital de Dusseldorf, 2020: Ransomware que obligo a desviar una paciente de emergencia a otro hospital a 30 km. La paciente fallecio durante el traslado. Explotaron una vulnerabilidad en un dispositivo VPN que el hospital no sabia que tenia expuesto.
• Hospital Clinic de Barcelona, 2023: RansomHouse cifro los sistemas, cancelando 150 cirugias y 3.000 consultas. Se exfiltraron 4,5 TB de datos de pacientes.

Por que el control exhaustivo de activos es imprescindible

• Los dispositivos medicos conectados (IoMT) se multiplican. Bombas de infusion, monitores, equipos de imagen — un hospital medio tiene entre 10.000 y 15.000 dispositivos conectados. Sin inventario, son puntos ciegos de seguridad.
• El equipamiento se mueve entre departamentos. Un ecografo portatil puede estar en urgencias por la manana y en planta por la tarde. Sin registro de ubicaciones, es imposible localizar activos en caso de incidente.
• Los dispositivos medicos no se parchean facilmente. Muchos funcionan con SO antiguos. Necesitas saber cuales son para aplicar medidas compensatorias.
• La auditoria NIS2 preguntara por cada dispositivo conectado. Cuantos equipos medicos con red tienes? Que SO ejecutan? Cuando fue la ultima actualizacion?

Que necesitas controlar

• Dispositivos medicos conectados: Equipos de diagnostico, monitores de pacientes, bombas de infusion
• Infraestructura IT clinica: Servidores de historia clinica, estaciones de trabajo, impresoras de pulseras
• Equipos de red: Switches, access points WiFi, firewalls de segmentacion
• Dispositivos moviles: Tablets de enfermeria, portatiles de guardia, telefonos corporativos
• Equipos de laboratorio: Analizadores, secuenciadores, robots de dispensacion

Metrica Control te permite tener una vision completa de todos los activos de tu centro sanitario, con trazabilidad de ubicacion, historial de incidencias y alertas de ciclo de vida para cualquier auditoria NIS2.