Un mes después de que un grupo de hackers atacara el Centro Médico Hillel Yaffe de Hadera, su infraestructura informática aún debe ser reparada, dijo el lunes el director del hospital ante el Comité de Salud de la Knesset, mientras que un funcionario de ciberseguridad dijo que el suceso podría haberse evitado si los hospitales de Israel se consideraran infraestructuras críticas, por lo que requieren un mayor nivel de protección.
El comité se reunió para debatir el estado actual del sistema sanitario del país frente al riesgo de ciberataques.
“Esperamos que esta semana podamos reiniciar nuestro sistema”, dijo el Dr. Mickey Dudkiewicz, del Hillel Yaffe, añadiendo que aún podrían pasar semanas para completar el proceso, y que otros hospitales que se enfrentan a situaciones similares a veces necesitan incluso meses.
Preguntado por el coste de la operación, el médico dijo que era del orden de millones de shekels.
El exitoso ataque de ransomware contra el centro médico a principios del mes pasado hizo saltar las alarmas entre las autoridades y organizaciones sanitarias israelíes en cuanto a su exposición a las ciberamenazas.
Las organizaciones públicas y privadas israelíes son el objetivo preferido de los ataques llevados a cabo tanto por hackers con motivación ideológica como financiera, como fue el caso de Hillel Yaffe.
Según Erez Tidhar, director del Centro de Vigilancia y Análisis de la Dirección Nacional de Ciberseguridad de Israel, el suceso podría haberse evitado. La DCIE es responsable de la ciberdefensa en el ámbito civil, incluyendo la emisión de políticas y la oferta de orientación.
“Hoy en día, las organizaciones críticas, como los bancos y los hospitales, no se definen como infraestructuras críticas del Estado y su sistema cibernético es inexistente”, dijo ante la comisión. “Si se consideraran como tales -y lo digo con cautela- probablemente no se habría producido un ataque similar. Todavía no hemos visto un ataque masivo a una infraestructura crítica que haya tenido éxito”.
La cuestión de elevar los hospitales al nivel de infraestructuras críticas se debate desde hace años, según señalaron varios expertos durante la reunión.
“Espero que los responsables de la toma de decisiones en el país comprendan que es imposible dar a un organismo como el nuestro la responsabilidad de tales organizaciones sin la debida autoridad”, añadió Tidhar.
El funcionario de la RIDC también reveló que hubo una alerta sobre un posible ataque contra Hillel Yaffe meses antes del incidente.
“Ya en junio emitimos una alerta dirigida a una serie de organizaciones del Estado de Israel, entre ellas Hillel Yaffe”, dijo. “Recibieron una alerta e instrucciones sobre cómo resolver la debilidad”.
Dudkiewicz negó haber recibido ninguna alerta.
“Este ha sido un acontecimiento nacional con todas sus implicaciones, y su manejo no dependió de las decisiones del hospital”, señaló, y añadió que cuando se produjo el ataque, la cooperación con los organismos pertinentes fue muy fructífera.
“En los últimos años hemos invertido grandes cantidades en el campo de la ciberdefensa y hemos superado todas las pruebas con éxito”, dijo Dudkiewicz. “Esto demuestra que tenemos que cambiar nuestra percepción y entender que, incluso al más alto nivel de seguridad, debemos ser conscientes de que algo así puede ocurrir y saber reaccionar rápidamente”.
Desde 2016, el Ministerio de Sanidad creó una unidad dedicada a la ciberseguridad que emplea a unos 30 trabajadores a tiempo completo.
“En cierto modo, estamos hablando de la Tercera Guerra Mundial”, dijo el jefe tecnológico del ministerio, Reuven Eliyahu. “Si antes un país necesitaba barcos y misiles para atacar a otra nación, hoy basta con una simple página web. Hay muchos más atacantes que defensores, y el problema se intensifica”.
“Nos encontramos con más de 100.000 ciberataques contra organizaciones sanitarias al mes y los frustramos”, añadió.
Tras el ataque al Hillel Yaffe, el ministerio distribuyó unas nuevas directrices para que las organizaciones sanitarias eviten los ataques, y está previsto que a finales de diciembre se publique una nueva normativa al respecto.
Eliyahu dijo que el nuevo plan requerirá recursos adicionales.