El NHS (National Health Service) británico, es decir, el responsable público de los servicios de salud de la unión, ha sometido a todas las concesionarias y fideicomisos con las que trabaja a una completa auditoría centrada en la seguridad que ofrecen sus plataformas IT. La auditoría ha sido llevada a cabo por la NAO (National Audit Office), entidad que ya ha publicado un informe con los resultados, y que deja una clara conclusión: la situación no es mala, pero sí queda un gran margen para la mejora, por lo que tampoco se puede afirmar que actualmente sea buena.
Por ponerle algunos números a la situación actual de las concesionarias del NHS, la media de las puntuaciones obtenidas por las entidades fue de 6,3 sobre 10, y solo una de las 204 participantes logró obtener el distintivo «Cyber Essentials Plus», que reconoce a aquellas que lograron superar todas las pruebas de seguridad de la auditoría. Solo una de 204, lo que indica que es posible superar todas las pruebas y, al tiempo, que queda un gran cantidad de trabajo por hacer.
Uno de los principales problemas detectados por la NAO en las colaboradoras del NHS es la obsolescencia de muchos sistemas analizados. Así, urge a las entidades apercibidas de dicho problema a que actualicen sus sistemas, tanto en lo referido al hardware como al software, por soluciones actuales que todavía reciban soporte por parte de sus fabricantes. y es que, por ejemplo, se detectó una importante cantidad de dispositivos funcionando con Windows XP. Esto decía Microsoft al respecto hace seis años:
«Después de 12 años, el soporte técnico para Windows XP finalizó el 8 de abril de 2014. Microsoft ya no proporcionará actualizaciones de seguridad ni soporte técnico para el sistema operativo Windows XP. Es fundamental migrar ahora a un sistema operativo moderno.»
Recordemos que la seguridad del NHS ya ha sido cuestionada anteriormente, principalmente a partir de los devastadores efectos de WannaCry, del que fue una de las víctimas más destacadas. Recordemos que entonces la NAO realizó otra auditoría a 88 de 236 colaboradoras, y que en aquel caso ninguna de ellas llegó a aprobar la prueba.
Con estos números, el NHS probablemente deba replantearse las fechas y objetivos del ambicioso plan con el que pretende lograr una interoperabilidad plena entre todos los actores implicados en el servicio nacional de salud. Es urgente que las colaboradoras revisen a conciencia tanto sus infraestructuras como las soluciones de seguridad empleadas en las mismas. Y es que si ya es peligroso que una de ellas tenga agujeros de seguridad, da miedo pensar lo que puede ocurrir si, desde la misma, un potencial atacante logra acceder a todos los sistemas de la red del NHS.
La entrada NHS: «Aprobado raspado» en seguridad para las concesionarias es original de MuySeguridad. Seguridad informática.