11 cosas que el sector sanitario debe hacer para mejorar la ciberseguridad
Resumen.
Ninguna industria o sector es inmune a la piratería informática. Esa realidad quedó dolorosamente clara a mediados de mayo, cuando un ciberatacante usando ransomware WannaCry las instituciones sanitarias paralizadas y muchos otros tipos de organizaciones en todo el mundo. Algunos de los ejemplos más conocidos de ciberataques en la última década han incluido el robo masivo de millones de números de tarjetas de crédito y débito, la penetración de sistemas bancarios sensibles y la manipulación del comercio de acciones y otras violaciones relacionadas con los mercados de capitales. Esta agitación provocó enormes cambios operativos en el sector de servicios financieros, donde se centra más que nunca en la educación de los consumidores, el intercambio de información de la industria y formas más sólidas de autenticación, entre otras cosas. En comparación, la atención médica está atrasada en su preparación para la seguridad. Hay 11 lecciones que el sector de la atención de la salud puede aprender de las organizaciones de servicios financieros.
Ninguna industria o sector es inmune a la piratería informática. Esa realidad quedó dolorosamente clara a mediados de mayo, cuando un ciberatacante usando ransomware WannaCry paralizado instituciones de atención de salud y muchos otros tipos de organizaciones en todo el mundo. En 2015 se expusieron más de 113 millones de registros médicos estadounidenses, y en 2016 el número fue de más de 16 millones, según informes presentado a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de los Estados Unidos. A principios de 2017 Experian predicho que el sector de la atención de la salud sería la industria vertical más selectiva. Un informe de marzo de 2017 del Centro de recursos de robo de identidad indicó que más del 25% de todas las infracciones de datos se relacionaron con la atención de la salud. La pérdida estimada para la industria es 5.600 millones de dólares al año. Estas estadísticas deberían ser una llamada de atención para toda la industria.
Hay tres razones por las que la atención médica es la fuente de tantos datos robados en este momento. En primer lugar, los datos de atención médica pueden monetizarse. Por ejemplo, los ciberdelincuentes pueden usar datos médicos para vender identidades falsas, construir identidades sintéticas y permitir que alguien lleve a cabo el robo de identidad médica. Si eso no funciona, pueden usar la información robada para el robo de identidad tradicional, ya que la información médica tiende a incluir suficiente información para permitir que un delincuente abra una tarjeta de crédito, cuenta bancaria o préstamo a nombre de la víctima. Si ninguno de estos funciona, los ciberdelincuentes pueden usar ransomware para extorsionar a las organizaciones de atención médica para que les paguen dinero para recuperar el acceso a sistemas y datos comprometidos.
En segundo lugar, las organizaciones de atención de la salud han tardado en adoptar prácticas que han funcionado para otras industrias. La mayoría de los portales de atención médica, por ejemplo, no tienen autenticación multifactor. Muchos miembros del personal médico no son conscientes de los riesgos para la seguridad de los datos (lo cual es irónico dado el fuerte énfasis en la privacidad de los pacientes). Y las organizaciones de salud tienden a tener presupuestos y equipos de seguridad más pequeños que las organizaciones de servicios financieros.
Por último, a medida que otras industrias se han vuelto más sofisticadas en la detección y el bloqueo de ataques cibernéticos, los delincuentes han tenido que encontrar nuevas fuentes de datos. Aparte del hecho de que las instituciones de atención de la salud colectivamente poseen información sobre la gran mayoría de la población, sus sistemas de IT también tienen vínculos con servicios financieros (por ejemplo, cuentas de gastos flexibles con sus propias tarjetas de débito o cuentas de ahorro sanitario que pueden tener saldos de cinco cifras después de dos a tres años).
Video RelacionadoLoading...
Las juntas descuidan la ciberseguridad bajo el riesgo de sus empresas
La brecha promedio cuesta alrededor de $4 millones.
Ver más vídeos >Ver más vídeos >
Dado que la mayoría de las transacciones en el sector de la salud se realizan a través de hardware y software vulnerables, es fundamental que los proveedores y los pagadores fortalezcan su ciberseguridad. Para un ejemplo de cómo proceder, pueden mirar a la industria de servicios financieros, donde se han producido algunos de los ejemplos más conocidos de ciberataques en la última década. Esta agitación provocó enormes cambios operativos en el sector de servicios financieros, donde se centra más que nunca en la educación de los consumidores, el intercambio de información de la industria y formas más sólidas de autenticación, entre otras cosas.
Estas son algunas recomendaciones específicas, que se basan en nuestra experiencia colectiva en la prestación de cuidados, sistemas de salud, regulación financiera y gestión de riesgos.
Actualizar HIPAA. Al igual que el Reglas PCI DSS para la seguridad de las tarjetas de débito y crédito, el Regla de seguridad HIPAA y el Regla de privacidad de HIPAA ya son marcos bien conocidos para definir cómo una organización de atención médica debe proteger a sus personas, sistemas, datos y equipos. Estos métodos establecidos para abordar la seguridad de la atención de la salud sólo tendrían que actualizarse para abarcar nuevas formas de ciberataques y nuevas tácticas empleadas por los ciberdelincuentes.
Realza el servicio de limpieza básica. Los proveedores de atención médica deben aplicar cifrado fuerte a todos los datos de los pacientes y limitar quién tiene permiso para acceder a las cartas médicas. Además, las organizaciones deben supervisar las búsquedas y descargas de sus sistemas de IT mediante el seguimiento de datos exfiltrados, como archivos por lotes grandes de datos de pacientes, investigaciones, financieros u otros datos confidenciales.
Compra un seguro. Muchas organizaciones de servicios financieros tienen seguros cibernéticos, y los sistemas de atención médica también deberían conseguirlo. Dado que este es un tipo relativamente incipiente de seguro, la mayoría de los líderes de las organizaciones de atención de la salud y los consejos de administración pueden no ser conscientes de que existe. Todavía quedan preguntas importantes pendientes al respecto, incluyendo quién debe pagar por tales políticas y si debe proteger a la institución, al paciente o a ambos. Por el momento, las propias instituciones están pagando, y esto probablemente no cambiará en un futuro previsible.
Requerir capacitación para el personal. Error humano, incluyendo caer ataques de phishing, es la principal causa de graves violaciones de seguridad hoy en día. Los sistemas de atención de la salud deben recordar regularmente a la gente la importancia de prácticas recomendadas de seguridad de la información mediante la capacitación necesaria, recordatorios estratégicos y otros medios.
Proteger las cadenas de suministro. Los hospitales y los sistemas de atención de la salud tienen cadenas de suministro diversificadas y listas masivas de proveedores con los que interactúan digitalmente. Son una forma tentadora para que los ciberdelincuentes tengan acceso a los sistemas IT de las organizaciones de salud. En consecuencia, los proveedores de atención deben comprender las numerosas partes móviles que están involucradas y proteger sus relaciones e intercambios de información con y entre esos grupos. Los proveedores externos pueden ayudar a evaluar dichos riesgos y recomendar formas de minimizarlos.
Comparta las mejores prácticas del sector con respecto a la ciberseguridad El FS-ISAC ha facilitado y seguro la vida del sector de los servicios financieros al permitir que las instituciones financieras homólogos compartan información rápida y directamente. Grupos similares, como el NH-ISAC, puede servir como punto de partida para expandir tipos similares de discusiones y planificación.
Implementar autenticación segura. Los sistemas de atención médica deben usar autenticación multifactor u otros tipos de seguridad del consumidor que ya son omnipresentes en el ámbito de los servicios financieros de Estados Unidos. La mayoría de los consumidores estadounidenses ya están familiarizados con este tipo de tecnología y no necesitarán ser reeducados significativamente (un reto que el sector de servicios financieros tuvo que enfrentar hace una década).
Adopta «tokenización». Esto enfoque, que implica sustituir datos confidenciales por otros datos únicos pero no sensibles, ha sido en boga en el mundo de las tarjetas de crédito durante los últimos años. Es una forma adecuada de proteger los datos en situaciones en las que un consumidor (es decir, un paciente) está involucrado en algún tipo de transacción basada en tarjeta. Esto podría implicar el uso de una tarjeta flexible de reembolso de gastos o pagar una factura relacionada con el cuidado médico en línea.
Copie el enfoque de la tarjeta chip. El consumidor de Estados Unidos encontrado por primera vez tarjetas con chip de una manera significativa a principios de 2015, cuando los emisores de tarjetas comenzaron a distribuirlas ampliamente. Gran parte de esto se hizo en el período previo a una cambio en quién era responsable de fraude. Los consumidores estadounidenses están íntimamente familiarizados con el uso de estas tarjetas. (Las tarjetas han estado en uso durante muchos años en Francia, el Reino Unido, Canadá, Australia y otros lugares.) Los pagadores públicos y privados están discutiendo los méritos de emitir tarjetas con chip a los beneficiarios para agilizar la identificación de los pacientes y la verificación de elegibilidad.
Experimente con blockchain. La tecnología puede registrar las transacciones entre dos partes de manera eficiente y verificable y permanente. Se está utilizando en servicios financieros, así como en otras áreas. Por ejemplo, después de que Estonia sufriera una importante infracción cibernética en 2007, el país se hizo más agresivo con la protección de su sociedad y ahora es usando blockchain para proteger los datos médicos de sus ciudadanos. Existen varios sistemas de acreditación de identidad basados en blockchain, incluyendo Tiempo de guardia, TruCred, Cívico, y Nombre de OneName.
Considere la seguridad basada en biometría. La biometría se está adoptando cada vez más como el «bioidentificador» definitivo. Start-ups como Simprints y Derecho Paciente están probando su valor como característica de verificación de los registros médicos electrónicos. Tal vez la aplicación más ambiciosa de la biometría es el Proyecto Aadhaar, que ha creado números de identidad únicos de 12 dígitos basados en información biométrica y demográfica (por ejemplo, escaneos de iris, huellas digitales y una foto digital) para casi todos los 1.200 millones de ciudadanos del país. Pero subrayando la triste realidad de que ningún sistema es totalmente seguro, este nuevo sistema ya ha enfrentado dificultades: el mes pasado, el El Centro para Internet y la Sociedad informó que 130 millones de números de Aadhaar y alrededor de 100 millones de números bancarios de beneficiarios se han filtrado en línea.
La gran bendición de la era digital ha sido que los datos médicos de los pacientes se están volviendo cada vez más portátiles. Esto promete facilitar enormemente la recopilación y el intercambio de datos de todos los actores del cuidado de la salud en los próximos años. Pero, desafortunadamente, también plantea grandes riesgos de ciberseguridad.
En este nuevo mundo, proteger la información de salud de los pacientes de acuerdo con HIPAA requerirá un esfuerzo altamente coordinado entre los proveedores de atención, aseguradoras e instituciones, así como inversiones significativas en nuevas herramientas y prácticas. También requerirá que las instituciones sanitarias examinen los riesgos cibernéticos en su negocio, no simplemente en un área de nicho (por ejemplo, el acceso a los registros de pacientes). En el mundo de la gestión de riesgos, esto se conoce como adoptando un enfoque holístico.
El sector de la atención de la salud necesita aprender de industrias, como los servicios financieros, que están mucho más avanzadas en su capacidad para frustrar los ataques cibernéticos. Dado lo mucho que las organizaciones de atención de la salud están retrasando a otras, deben hacer de impulsar la ciberseguridad una prioridad.
— Escrito por Rebecca Weintraub Rebecca Weintraub Joram Borenstein
