Ayuda a la atención sanitaria a ganar su otra gran batalla: los ciberataques
Cualquier persona que lleve un negocio entenderá la expresión "construir aviones en el aire". Y a través de la locura de los últimos 19 meses, muchos de nosotros vivimos la frase, convirtiéndonos en pilotos e ingenieros de nuestras nuevas realidades de la noche a la mañana.
Pero pocos lo vivieron como lo hizo el sector sanitario. No solo han tenido que construir el avión en vuelo, siguiendo la analogía, se han visto obligadas a cambiar los planes de vuelo, utilizar aeropuertos diferentes y formar a nuevos miembros de la tripulación. En otras palabras, descubrieron cómo habilitar una plantilla remota, ampliar exponencialmente la atención virtual y desarrollar una vacuna, todo ello mientras un gran número de empleados trabajaban horas extra en condiciones arriesgadas para atender a cientos de miles de personas gravemente enfermas.
Dediquemos un momento a celebrar este increíble aumento de la innovación en la asistencia sanitaria. El sector supo transformar años de bloqueos normativos, deudas técnicas y escepticismo en experiencias digitales que permitían una atención continuada para miles de millones de personas.
Aquí mostramos la otra parte. Las entidades del sector sanitario lograron todo esto y, al mismo tiempo, se vieron sometidas a un número y una variedad de ciberataques cada vez mayores. Sí, en medio de una pandemia, la atención sanitaria se enfrentó a otro frente de batalla que creó otro grupo de héroes.
Como el personal del University of Florida Health. Cuando UF Health fue golpeado con un evento de ciberseguridad en parte de su red el pasado mes de junio, el personal tuvo que ponerse en contacto con las farmacias para rellenar la información sobre medicamentos que faltaba. Se apresuraron a encontrar nuevas rutas para la atención mediante médicos externos. Ed Jiménez, CEO de uno de los hospitales afectados, otorgó un reconocimiento a su gente por haber logrado que su institución superara la crisis. "Nuestros empleados dedicados son verdaderamente nuestros héroes, ya que se enfrentaron al desafío de restaurar las operaciones normales, a menudo sacrificando tiempo con sus seres queridos para trabajar horas extra".
Los ataques de malware aprovechan el flujo de la pandemia
Según un informe del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. y una investigación de IBM, el sector sanitario ha experimentado un aumento del 50 % en ciberataques desde el inicio de la pandemia, y esos ataques fueron los más caros, con un coste medio de 7,13 millones de dólares por incidente. Según los datos de IBM, los ataques de ransomware eran la amenaza más común, ya que los agentes maliciosos se aprovechaban de la necesidad de restaurar rápidamente los sistemas hospitalarios y sanitarios, seguidos del robo de datos y el acceso a servidores. En concreto, los proveedores de atención sanitaria resultan objetivos muy atractivos para el ransomware, ya que los historiales médicos electrónicos (EHR) pueden alcanzar un precio de 1000 USD en la Dark Web, un alto valor si se compara con la información de tarjetas de crédito, que se vende a unos 110 USD, y los números de la seguridad social, que tienen un valor de 1 USD.
"Los sistemas de los hospitales ya eran frágiles antes de la pandemia", comentó Josh Corman, jefe del grupo de trabajo sobre la COVID-19 de la Agencia de seguridad de infraestructura y ciberseguridad (CISA). "Entonces los ataques de ransomware se volvieron más variados, más agresivos y con mayores demandas de pago". En otoño de 2020, esa agresión provocó un asesoramiento sobre ciberseguridad poco habitual conjuntamente con la CISA, la Oficina Federal de Investigaciones (FBI) y el HHS, advirtiendo específicamente a los líderes del sector sanitario sobre ataques de ransomware inminentes y aconsejando un enfoque de copia de seguridad para guardar tres copias de todos los datos críticos en al menos dos formatos diferentes, con una copia fuera de línea, fuera del alcance del código malicioso.
Sin embargo, para muchas organizaciones sanitarias, seguir ese consejo crea otra difícil desventaja financiera. Según Stephen Lopez, PhD, MBA y director sénior de seguridad de la información de la Association of American Medical Colleges (AAMC), las organizaciones sanitarias tienden a aplazar la inversión en ciberseguridad. "Puede ser difícil desviar recursos hacia la seguridad de la información", indicó, "si parece que se produce a expensas de los servicios a los pacientes. Pero en este entorno, los servicios a los pacientes están en riesgo si las organizaciones posponen la protección contra el ransomware". CISA está de acuerdo con esto, señalando en su informe de perspectivas médicas de 2021 que, cuando la infraestructura que respalda la prestación de servicios sanitarios recibe un ataque o se le pide un rescate, las operaciones se degradan rápidamente, especialmente en momentos de crisis o urgencia.
Educar al personal en todos los niveles de las organizaciones sanitarias es una de las claves de la lucha. "Si puede aumentar la 'higiene de seguridad' básica de los miembros del personal en relación con los correos electrónicos de phishing, puede evitar o mitigar la mayoría de los ataques de malware", añade López. Recomienda crear un programa de educación que muestre ejemplos reales de cómo son los mensajes de ataques de ransomware y que recuerde al personal que haga una pausa antes de reaccionar ante cualquier solicitud urgente de información confidencial.
Las decisiones de inversión en seguridad dependen del almacenamiento de y el acceso a los datos
Incluso con la pandemia todavía cobrándose demasiadas vidas, los líderes del sector sanitario deben abordar este nuevo frente de batalla. Primeros pasos En un alto nivel, las principales prioridades de ciberseguridad son proteger los puntos de acceso contra el ransomware (además de formar al personal para que detecte el phishing); reducir la exposición de la información sanitaria protegida (PHI) disponible en los EHR, así como la propiedad intelectual en la fabricación de fármacos; y proteger las tecnologías de conectividad que permiten compartir esa información con sistemas externos, partners y proveedores (como con el CDC y otros departamentos de salud).
Muchas organizaciones sanitarias de todo el sector han trasladado sus EHR, propiedad intelectual y otros datos médicos a la nube para mejorar la flexibilidad, la accesibilidad y la velocidad de recuperación. Sin embargo, dado que la migración a la nube se realizó tan rápidamente y sin una sólida planificación organizativa, la información sanitaria de los pacientes y otros datos confidenciales suelen alojarse en entornos de nube de varios proveedores, lo que puede debilitarse aún más por configuraciones erróneas.
Esta lista, lejos de ser exhaustiva, ilumina la gama de datos necesarios para crear una atención continua y reducir el tamaño potencial del área de amenaza de una organización sanitaria.
Historiales médicos electrónicos (EHR): historiales clínicos digitales, antecedentes médicos, resultados de pruebas y laboratorio y otros datos
Registros de pacientes o enfermedades: bases de datos que contienen los resultados clínicos de pacientes que comparten un diagnóstico o afección específicos
Datos de reclamaciones: datos de códigos de facturación enviados por los profesionales sanitarios a las compañías de seguros
Encuestas de salud: datos recopilados por las organizaciones de salud pública para evaluar los riesgos para la salud pública y que informan sobre las políticas y prácticas de salud pública
Sistema de archivado y comunicación de imágenes (PACS): datos generados por un dispositivo de adquisición de imágenes médicas (como un TAC o una resonancia magnética) que se archivan para que los médicos, investigadores u otro personal médico autorizado puedan acceder a ellos
Datos de ensayos clínicos: datos sobre los resultados de estudios clínicos, privados o públicos, utilizados en el desarrollo de dispositivos médicos, productos farmacéuticos y otras innovaciones
Los responsables de seguridad (OSC) del sector sanitario que desean reducir esa zona de amenaza y seguir el consejo del enfoque de copia de seguridad descrito en el aviso federal (guardar tres copias en al menos dos formatos diferentes, con uno fuera de línea), buscan cada vez más un enfoque híbrido. El almacenamiento de datos en el entorno local les proporciona un mayor control sobre la seguridad, pero puede resultar costoso y difícil de ampliar al ritmo necesario, especialmente con la explosión actual de datos sanitarios y la transformación digital en la atención sanitaria, ambas impulsadas por la pandemia. El almacenamiento de datos en la nube pública es más rentable, pero las organizaciones corren el riesgo de sufrir interrupciones y de que no haya transparencia en la protección de los datos.
Un enfoque híbrido permite que los datos confidenciales se conserven en el entorno local, mientras que los menos confidenciales se almacenan en la nube. Incluso esto no es perfecto, ya que se debe establecer seguridad para proteger la transferencia de datos entre los dos tipos de almacenamiento y garantizar que el acceso se limita a aquellos que están autorizados a realizar las transferencias y ver los datos. Avanzar hacia los siete requisitos clave para implementar una arquitectura de acceso de red Zero Trust ayuda a las instituciones a proteger sus datos, al otorgar a los usuarios acceso únicamente a las aplicaciones que necesitan para su función, con una mayor seguridad ofrecida por la autenticación multifactorial (MFA).
Impulsar la atención sanitaria durante y más allá de la crisis
Los profesionales de la sanidad están construyendo sus experiencias digitales del siglo XXI y Akamai tiene el honor de guiarlos en esta nueva era de la atención sanitaria online con métodos innovadores para mejorar la atención a los pacientes y ofrecer resultados positivos en cualquier momento y lugar.
Obtenga más información acerca de lo que Akamai ayuda a hacer posible en el sector sanitario.
