La industria farmacéutica es una de las más reguladas del mundo, especialmente en lo concerniente a ensayos clínicos, fabricación o publicidad. Se plantea constantemente nuevos requisitos y obligaciones relacionadas con la protección de los datos confidenciales y el cumplimiento al respecto de las leyes. Es uno de los sectores que más ha invertido en su transformación digital en los últimos años, pero es necesario hacer un foco especial en la securización de este proceso. El espionaje industrial, el intento de robo de patentes y datos y resultados de ensayos clínicos y contactos son algunos de los objetivos de los ciberdelincuentes.

El Informe Emerging Technology Trends Survey 2019 de GlobalData destaca que más del 70% de los directivos farmacéuticos, vinculados a la implementación de tecnologías emergentes, priorizarán ámbitos como la ciberseguridad (73%), las soluciones de almacenamiento en la nube (71%) y el Big Data (71%). Ciberseguridad, computación en la nube, Big Data y Blockchain están correlacionados. Los grandes conjuntos de datos requieren un alto nivel de seguridad asociado con el procesamiento, la transferencia y el almacenamiento de la información. Y aunque el ROI de la ciberseguridad es difícil de calcular, ya que se basa en hipotéticas situaciones, obviarla puede convertirse en un importante gasto, afectar a los ingresos, interrumpir la cadena de suministro, dañar la reputación de la marca y provocar acciones de litigio.

 

La importancia de la ciberseguridad para la industria farmacéutica es absolutamente clave. Basta con recordar dos conocidos casos de ciberataques. El que sufrieron industrias farmacéuticas relevantes en junio de 2017 y que provocó una interrupción de sus operaciones globales, incluidas la fabricación, la investigación y las ventas. El impacto en las ventas y los gastos relacionados alcanzaron los 695 millones de dólares, mientras que la recuperación del seguro fue de tan solo 45 millones de dólares.

En abril de 2019, otra industria reveló también que estaba siendo víctima de intensos ciberataques y que los responsables podrían ser Wicked Panda Group, cibercriminales de origen chino. El espionaje industrial estaba detrás y el objetivo era el robo de patentes.

Ahora bien, ¿qué estrategia de ciberseguridad sigue el tejido empresarial español del sector? Un estudio realizado por la aseguradora Hiscox en colaboración con Forrester Consulting, analizando la situación de la ciberseguridad del tejido empresarial del sector de 7 países, revela con respecto a las empresas españolas de Farma y Salud que son las que menos porcentaje del presupuesto total de TIC destinan a ciberseguridad (4,6%), si lo comparamos con el 8,4% que invierten de media las empresas del mismo sector en otros países. Preguntadas sobre su previsión de inversión durante los próximos 12 meses, el 74% de las empresas españolas afirmaron tener previsto aumentar su inversión en ciberseguridad, un resultado por encima de la media de otros países (68%). Aunque las empresas españolas son las que menos invierten, su previsión de incrementar la inversión es muestra de que el sector es consciente del riesgo que corre. El 74% de las empresas españolas de Farma y Salud analizadas reconoció haber sufrido un incidente cibernético en el último año.

Estos ciberataques ocurren porque existe un lucrativo mercado para los datos relacionados con la industria de la Salud. El acceso a los sistemas de las compañías farmacéuticas, el aumento del uso del teletrabajo, las reuniones con clientes por videoconfencia, el acceso desde exterior a los sistemas de información y el intercambio de documentos nos expone y compromete información muy sensible de nuestras compañías y que sin lugar a duda atraen el interés de los ciberdelincuentes.

De ahí que sea prioritario hablar de ciberseguridad en el sector farmacéutico, de la misma forma que se hizo en su día en el sector bancario. Máxime cuando los ciberdelincuentes lo ven como un objetivo fácil. Las inversiones en este sentido por parte de la industria farmacéutica deben ir dirigidas no sólo a la investigación y desarrollo de nuevos productos, ensayos clínicos, etc., sino también a la incorporación de recursos tecnológicos que la protejan y aumenten su capacidad de cibervigilancia, de detección y control de brechas de seguridad, la emisión de alertas tempranas en sistemas críticos o la obtención de respuestas rápidas frente a posibles ataques. En definitiva, contar con una estrategia de prevención.

La ciberseguridad alcanza también la convergencia entre los sistemas tradicionales de TI y los industriales, que antes no solían estar conectados. En este sentido, las personas son uno de los mayores retos. La mayoría de las fugas de información provienen de actuaciones de los propios empleados por falta de concienciación. Los ciberdelincuentes lo saben y por eso se dirigen a perfiles con acceso privilegiado a datos, sistemas o contactos sensibles. La mecánica que siguen es sencilla: engañan a los trabajadores enviándoles un correo electrónico en el que se les invita a abrir un archivo adjunto o un enlace que conduce a un sitio de malware.

A modo de conclusión, la creciente variedad de amenazas está aumentando el número de ciberataques, y cuando se producen, no sólo es más costoso resolverlos, sino que también tardan más tiempo en solucionarse. Así lo recoge el informe anual de Ponemon Institute “Cost of a data Breach Report”. El coste medio anual que supondría un robo de datos para una empresa es de 3,92 millones de dólares. Además, los ataques pueden durar años. El 67% de los gastos se producen el primer año, pudiendo llegar a notar los efectos incluso tres años después. Según el estudio se tarda una media de 206 días en detectar un ataque y el tiempo medio para contenerlo es de 73 días. Las brechas producidas por malware son las más costosas, un 27% más que una producida por un fallo humano. Un ataque cibernético puede en definitiva causar la quiebra del negocio, además de elevadas multas por incumplimiento de la RGPD.

Mejorando la ciberseguridad se reduce el riesgo, los costes del cibercrimen y sus consecuencias. Para ello, hay que priorizar la protección de ataques dirigidos a los profesionales del sector, invertir en tecnologías que limiten la pérdida de información y la interrupción del negocio, y adoptar tecnologías que minoricen los costes de seguridad.

 Autor: Inmaculada Pérez Garro