Está claro que se necesita adoptar medidas estratégicas y estructurales para protegerse de ellos, ya que pueden derivar en faltas graves en la continuidad operativa de la organización, en la filtración de información médica y en y en gastos financieros no previstos.
Pero, ¿Están las organizaciones de salud preparadas para enfrentar a los ciberataques? . Lisa Rivera, socia de Bass, Berry y Sims (que se enfoca en la seguridad de la salud) dijo en en una entrevista en Healthcare IT News que «todos los sectores de negocios reciben ataques, pero la atención médica está experimentando el mayor crecimiento de ataques cibernéticos debido a la naturaleza de su información».
Estos ataques, «afectan las finanzas de los hospitales y las aseguradoras, ya que más allá del costo de encontrar una solución para reparar las infracciones y resolver cualquier queja civil, en Estados Unidos hoy existen las multas de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (OCR) que, en 2018, emitió 10 resoluciones que totalizaron en U$s 28 millones», explicó la experta y puntualizó que, a pesar de la cantidad de infracciones, la atención médica ha estado detrás de otros sectores al tomar medidas de seguridad. Según ella, del cuatro al siete por ciento del presupuesto de TI de un sistema de salud está en ciberseguridad, en comparación con aproximadamente el 15% para otros sectores, como la industria financiera.
Entre sus recomendaciones para mejorar la ciberseguridad de los hospitales, Rivera remarcó que los mismos deberían poder determinar dónde se descargan ciertos datos (por ejemplo, los grandes sistemas que investigan tienen información de resultados que puede no estar dentro del sistema de protección) y para ello lo primero que se necesita, tanto para sistemas grandes como pequeños, es una evaluación de riesgos. “Los precios de otras medidas de ciberseguridad varían desde la compra de un software que podría ser de millones hasta la supervisión del proveedor. Los hospitales también pueden comprar un seguro cibernético, que varía en costo y cobertura. Algunos lo obtienen en caso de demandas colectivas”, dijo.
Para ella, Los hospitales y sus socios comerciales deben realizar una evaluación exhaustiva de las amenazas y vulnerabilidades; implementar medidas para reducirlas a un nivel razonable; y asegurarse de que cualquier proveedor u otra organización que acceda o almacene información de salud privada cumpla con la seguridad.
Por su parte, la encuesta de ciberseguridad HIMSS de 2019, revela que en la actualidad existe una serie de desarrollos positivos de las organizaciones de atención médica de Estados Unidos para abordar las amenazas de ciberseguridad. Los encuestados indicaron una serie de avances en las prácticas de ciberseguridad diseñadas para fortalecer sus organizaciones, pero también indicaron que los principales desafíos de ciberseguridad de 2018 persistirán en 2019.
«Desde aumentar los montos asignados en los presupuestos de TI para actividades de seguridad cibernética hasta la uniformidad en las evaluaciones de riesgos de seguridad, hay una creciente riqueza de recursos de seguridad cibernética disponibles para que los líderes de la salud se mantengan por delante de las amenazas de privacidad y seguridad», dijo Rod Piechowski, director senior de sistemas de información de salud en HIMSS. «Si bien estos hallazgos deberían alentar a los líderes, también deben considerar las brechas notables de seguridad de la información identificadas en la encuesta de este año«. Si no se abordan, explicó, estas brechas tienen el potencial de amenazar la integridad de la información del ecosistema de atención médica.
Algunos de los aspectos a tener en cuenta de la encuesta de ciberseguridad HIMSS 2019 son:
Los malos actores siguen siendo prevalentes
La mayoría de los actores de amenazas involucrados en incidentes de seguridad (57 por ciento) pueden caracterizarse como malos actores (por ejemplo, ciberdelincuentes y otros con intenciones maliciosas). Los estafadores en línea siguen siendo las amenazas más citadas (28 por ciento en 2019; 30 por ciento en 2018) y los informantes negligentes (20 por ciento) también son citados como contribuyentes a incidentes de seguridad.
El phishing por correo electrónico sigue siendo una amenaza
El 59 por ciento de los encuestados citó el correo electrónico como el punto más común; lo que indica que en 2019, los correos electrónicos de phishing continúan siendo una amenaza de seguridad significativa. A pesar de esto, un 36 por ciento de las organizaciones de atención afirmó que su organización no realiza pruebas de phishing.
Los presupuestos de ciberseguridad continúan aumentando.
La mayoría de los encuestados (55 por ciento) informó que una cantidad designada de su presupuesto actual de TI se asigna para fines de seguridad cibernética. Además, el 72 por ciento indicó que sus presupuestos de seguridad cibernética aumentaron un 5 por ciento o más (38 por ciento) o se mantuvieron igual (34 por ciento).
Los sistemas heredados son dominantes.
La mayoría de los encuestados (69 por ciento) indicó que tenían al menos algunos sistema heredado (sistemas de tecnología clínica más antiguos) en sus organizaciones de atención médica. «Los sistemas operativos que no han recibido soporte durante cinco, diez o más años, aumentan enormemente el riesgo de que una organización se vea comprometida», dijo Piechowski.
En otra instancia, el informe CHIME 2019, concluyó que los grandes sistemas de salud están mejor preparados en seguridad cibernética que las pequeñas organizaciones de atención médica, ya que, según la encuesta que se lleva a cabo anualmente con el fin de identificar las mejores prácticas de la industria, entre otras cosas, menos de la mitad de las organizaciones pequeñas encuestadas usan la segmentación de la red para controlar la propagación de infecciones; las grandes organizaciones utilizan análisis de vulnerabilidades y pruebas de aplicaciones más sofisticados que las organizaciones pequeñas; y las organizaciones pequeñas tienen menos probabilidades de usar políticas de seguridad cibernética, y tienen cuatro veces menos probabilidades de tener un director de seguridad de la información que las organizaciones grandes.
Las recomendaciones en el informe CHIME contienen una serie de políticas de seguridad cibernética, que incluyen sistemas de protección de correo electrónico y punto final, protección de datos y prevención de pérdidas, gestión de redes y vulnerabilidades, respuesta a incidentes y seguridad de dispositivos médicos, entre otras cosas.
Gestionar de forma adecuada la seguridad de la información en salud es esencial y el enfoque debe ser que la ciberseguridad es un elemento central en la agenda para los ejecutivos del sector.
Para ello, entre otras cosas, HIMSS creó una Comunidad de Ciberseguridad, que organiza un foro mensual para líderes de opinión y constituyentes de la salud en el que se discuten los avances y el estado de la ciberseguridad en el sector de la salud, y publica mensualmente un Informe de salud y ciberseguridad intersectorial, que proporciona información valiosa sobre amenazas, vulnerabilidades, información de mitigación, informes y recursos.
Por su parte, EHNAC, una organización de desarrollo de estándares sin fines de lucro y organismo de acreditación para grupos de atención médica que intercambian datos electrónicos de salud, lanzó un nuevo negocio de asesoramiento para el cumplimiento de privacidad y seguridad, mediante el cual ayudará a los clientes de atención médica a optimizar las evaluaciones de riesgos, detectar y corregir las brechas de cumplimiento y administrar las necesidades de aseguramiento de terceros.
Fuentes:
https://www.himss.org/himss-healthcare-cybersecurity-environmental-scan-reports?ItemNumber=47762
https://www.healthcarefinancenews.com/node/139027
