La ciberseguridad es un reto en el nuevo modelo de atención al paciente y en la investigación

El hospital líquido, nuevo modelo de atención al paciente basado en la e-health, supone un cambio de paradigma que se encamina hacia una medicina más personalizada y precisa. El reto en este contexto es la ciberseguridad de la interconexión entre sistemas y en los dispositivos médicos dentro y fuera de los centros asistenciales, así como la garantía de privacidad de las personas.

La investigación in sillico implica el modelado, la simulación y la visualización de procesos biológicos y médicos por medio de ordenadores. Este contexto exige una investigación más colaborativa y de compartición de datos para el entrenamiento de modelos matemáticos. Las redes federadas se convierten en un elemento clave para garantizar el uso de los datos de un modo seguro.

Según la guía de ciberseguridad en el sector salud del BID, desde que tiene éxito un ciberataque hasta que la institución se da cuenta que sus datos han sido vulnerados, hay un promedio de 329 días.

Los centros de respuesta a incidentes de ciberseguridad deben contar con: sistemas de automatización avanzados, soportados por modelos de inteligencia artificial; tecnología capaz de aumentar la visibilidad de la organización a la hora de tratar un posible incidente de seguridad y equipos de respuesta cuyo trabajo sea homogéneo y trazable.

La multinacional tecnológica GMV ha celebrado en el día de hoy la II Jornada del HealthTech Observer (HTO) en colaboración con la Asociación Nacional de Informadores de la Salud (ANIS). En esta ocasión, la sesión se ha centrado en los temas críticos de la ciberseguridad, gobernanza del dato en salud y conectividad en los sistemas de información, abarcando desde los centros de salud, hospital y CERT líquidos.

El hospital líquido es un nuevo modelo de atención al paciente basado en la e-health o medicina sustentada en las nuevas tecnologías, que va más allá de las paredes físicas del centro y para permeabilizar fuera, implicando y corresponsabilizando a los pacientes, sus familiares, a los profesionales en el cuidado de su salud, de forma colaborativa, con el consiguiente beneficio por el seguimiento continuo y ubicuo de personas dependientes, frágiles y crónicos sin necesidad de estar en el hospital.

Esta continuidad asistencial, más allá de la atención hospitalaria, no se limita hoy día a la telemedicina o la monitorización en remoto, sino que despliega todo su potencial mediante el análisis de grandes volúmenes de datos procedentes de multitud de fuentes y la inteligencia artificial (IA) para, entre otras cosas, poder personalizar tratamientos y contribuir en la investigación de terapias, destacando el beneficio para investigar enfermedades poco frecuentes. Es un modelo caracterizado por su flexibilidad, que se adapta mejor a las necesidades y entorno de los pacientes, es más motivador, interactivo y más ágil en la resolución de todos los procesos. En esta nueva forma de atención sanitaria, el dato cobra una especial importancia para ofrecer evidencias en cada uno de los eventos clínicos.

Este nuevo escenario supone un cambio de paradigma organizativo y asistencial que se encamina hacia una medicina predictiva, personalizada, de precisión y colaborativa gracias a los nuevos y constantes avances tecnológicos digitales. Es un híbrido entre la atención presencial y las prestaciones que nos facilita la tecnología, pensado para el paciente del siglo XXI.

Pero toda transformación supone un reto. Por un lado, hay que garantizar la ciberseguridad de los sistemas y por otro la privacidad de las personas. Un ciberataque puede llevar a hacer más vulnerables a los pacientes, paralizar la actividad asistencial y comprometer investigaciones en la que los datos son la principal evidencia.

Cabe destacar que el número de ciberataques de phishing y ransomware en el sector sanitario ha aumentado un 650 % en el último año. Por otro lado, aprovechar todo el potencial de herramientas como la inteligencia artificial, con la que poder acelerar la investigación mediante la creación de redes federadas de datos, propiedad de diversas organizaciones públicas y privadas, para aplicar la medicina personalizada y de precisión, a la vez que dar respuesta a enfermedades aún sin ellas, conlleva disponer de los máximos estándares de seguridad instaurados en la organización.

Para debatir sobre todo ello, la II Jornada del HealthTech Observer (HTO) organizada por  GMV, ha contado con relevantes expertos como son: Miguel Ángel Benito, coordinador autonómico de seguridad de la información del Servicio de Salud de las Illes Balears; Luis Pérez Pau, European Chief Information de FutuRS, compañía del Grupo Ribera Salud; Óscar Riaño, responsable del CERT de GMV; Francesc García Cuyás, director de Estrategia Digital y Datos del Hospital Sant Joan de Déu  Barcelona; Inmaculada Pérez, directora de Salud Digital de Secure e-Solutions de GMV y Alberto Estirado, director de Sistemas de Información y Transformación Digital de HM Hospitales.

Espacio europeo de datos sanitarios (EEDS)

El 3 de mayo de 2022 la Comisión Europea puso en marcha el espacio europeo de datos sanitarios (EEDS). Se trata de un «ecosistema específico para la salud» (en palabras de la Comisión) para el intercambio de datos sanitarios que establece un marco de gobernanza para el uso de los datos sanitarios electrónicos por parte de los pacientes (uso primario) y para fines de investigación, innovación, elaboración de políticas, seguridad de los pacientes, estadística o reglamentación (uso secundario).

El EEDS supone un salto cualitativo en cuanto a cómo se prestará la atención sanitaria, pondrá los datos médicos al servicio de la ciudadanía y la ciencia, proporcionando un marco fiable para usar los datos en investigación e innovación, aumentará la eficiencia y resiliencia de los sistemas de salud, etc. Los investigadores, a través del EEDS, podrán acceder de manera más eficiente a una mayor cantidad de datos de alta calidad, dirigiendo así su trabajo hacia una Medicina personalizada, predictiva, preventiva y de precisión, hacia la asistencia médica con un claro soporte de las herramientas digitales.

Para garantizar la protección de los datos de los pacientes se lleva a cabo la protección y anonimización de los datos médicos. Este proceso consiste en modificar los datos de tal forma que no sea posible determinar la identidad de la persona a quien corresponden en aras de la investigación médica, y para cumplir con las regulaciones de privacidad de datos. Las normas del EEDS sobre la reutilización de datos se basan en el Reglamento General de Protección de Datos, el marco introducido por la Ley de Gobernanza de Datos, la propuesta de Ley de Datos y la Directiva sobre Ciberseguridad.

A estas normas se suman leyes y regulaciones para la protección de datos personales como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos, RGPD); La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y la directiva sobre protección de datos en el ámbito penal y otras normas relativas a la protección de datos personales.

Como explicaron en el evento portavoces de GMV, los algoritmos de IA necesitan gran cantidad de datos para obtener la precisión que se necesita en el ámbito médico. Para ello hay que seguir una regulación estricta. Los algoritmos actuales provienen de un número muy escaso de fuentes, lo que introduce sesgo (bias) en los algoritmos y no se pueden aplicar a distintos grupos poblacionales (poca generabilidad). Con la tecnología denominada Aprendizaje Federado, los algoritmos de IA se entrenan de forma colaborativa, sin necesidad de mover los datos del hospital que los alberga. En vez de mover los datos a un lugar en el que puedan ser tratados, la tecnología de GMV mueve los algoritmos a los centros en los que se encuentran los datos. Esta tecnología se basa en la aplicación de técnicas como Secure MultiParty Computation (SMPC) o cifrado homomórfico.

CiberAP, ayuda a proteger a los sistemas

¿Qué ocurre con estas redes federadas y con la monitorización constante para una asistencia ubicua? Que hemos de prestar especial atención en todo momento a la ciberseguridad a lo largo de todo el proceso: desde los sistemas ubicados en el centro médico, hasta llegar a los dispositivos de monitorización que utiliza el paciente en su casa. El reto es la ciberseguridad de la interconexión entre sistemas y dispositivos dentro y fuera de los centros médicos.

Miguel Ángel Benito,  coordinador autonómico de seguridad de la información del Servicio de Salud de las Illes Balears compartió información sobre el proyecto CiberAp financiado por el Ministerio de Sanidad, y destinado a mejorar la ciberseguridad en el sector de la salud, ante un escenario donde la IA se presenta como un habilitador para la atención sanitaria y la investigación no exenta de retos. CiberAP reportará a las 13 comunidades autónomas participantes una inversión de 40 millones de euros, en el que Baleares marcará la pauta al resto de las regiones nacionales: «la definición de estrategias y estándares que se tomarán se hacen desde nuestra coordinación».

Por su parte, Luis Pérez Pau, European Chief Information de FutuRS, compañía del Grupo Ribera Salud, recordó que en el sector salud es donde más tiempo se tarda en detectar una posible vulneración de información. Desde que tiene éxito un ataque hasta que la institución se da cuenta que sus datos han sido vulnerados, hay un promedio de 329 días, según la guía de ciberseguridad en el sector salud del BID. Asimismo, incidió en la conveniencia de que los hospitales se certifiquen con el fin de que se siga un marco de medidas comunes en todos ellos. El experto puso en valor la necesidad de «La compartición segura y responsable de datos de salud con fines asistenciales y de investigación, que puede mejorar significativamente la atención sanitaria y el bienestar social. Es cierto que los ciberataques son cada vez más frecuentes a nivel global, y las organizaciones deben conocer sus procesos críticos y contar con planes específicos para enfrentarse a ellos o exponerse a sus consecuencias; esto es un desafío y también una oportunidad para mejorar la seguridad», afirmó.

Recordando cómo la salud digital dibuja un escenario donde no hay puertas, sino que se trata de un modelo líquido, no solo se han de proteger los centros asistenciales u hospitales, sino el flujo que se produce entre los diferentes agentes que interactúan en este modelo de salud digital y hospital líquido, comentó Óscar Riaño, responsable del CERT de GMV (Computer Emergency Response Team- Equipo de Respuesta ante incidentes), quien expuso cómo deberían ser los centros de respuesta a incidentes de ciberseguridad en las instituciones sanitarias, proponiendo el modelo de CERT Líquido y afirmando que la disponibilidad digital en el sector salud es proporcional a la calidad de vida de las personas. Igualmente, repasó la normativa europea que entrará en vigor el año que viene y el próximo, en la que asistiremos a una «avalancha» legislativa centrada en ciberseguridad y resiliencia, como NIS2 y CERT, así como en datos e inteligencia artificial, como la Data Act y la AI Act.

En este sentido, Francesc García Cuyás, director de Estrategia Digital y Datos del Hospital Sant Joan de Déu Barcelona, resaltó que en este modelo el domicilio es como una habitación más del hospital y que la consigna ha de ser la de «mover el dato y no al paciente». Igualmente se refirió a la red ÚNICAS que lidera funcionalmente el Hospital Sant Joan de Déu Barcelona, y apuntó al nuevo modelo de equipos, configurados por profesionales sanitarios, científicos de datos y tecnólogos, en este contexto de salud digital y hospital líquido.

En esta misma línea participó Inmaculada Pérez, directora de Salud Digital de Secure e‑Solutions de GMV, e incidió en que el nuevo modelo conduce a centrarse en las personas más que en la propia enfermedad, facilitando al profesional un diagnóstico temprano, una medicina predictiva, preventiva, personalizada y de precisión. Y todo ello gracias a la integración de plataformas de inteligencia artificial como expendedoras de servicios asistenciales.

Como cierre de la Jornada, Alberto Estirado, director de Sistemas de Información y Transformación Digital de HM Hospitales, explicó el Plan de transformación digital de HM Hospitales: cómo se ha desarrollado el hospital líquido, la estrategia seguida del dato y el trabajo que se está desarrollando en el Instituto de Investigación Sanitaria HM Hospitales (IIS-HM): la experiencia de «#Datacovidsavelives». «El plan de transformación digital de HM Hospitales supone un esfuerzo muy importante de gestión del cambio, que involucra a todos los departamentos de la compañía, pero fundamentalmente al equipo humano, que permite una renovación apoyada en la tecnología.  Los ejes fundamentales del plan de transformación digital son: la gestión orientada al dato único, la eficiencia de procesos asistenciales y clínicos, las relaciones con el paciente digitales y la seguridad»