Ciberseguridad en la atención sanitaria

Un virus completamente diferente

Una breve descripción general de la batalla en curso para detener la marea de incursión cibernética en el sector de la salud.

No hace mucho, los negocios estaban protegidos con cerraduras en puertas y ventanas. Era una época más sencilla y, lamentablemente, es una época que ha ido y venido en esta era moderna de guerra cibernética. Si los recientes ataques de ransomware WannaCry son un indicio, ahora más que nunca las empresas e instituciones deben tomar en serio la seguridad cibernética para evitar consecuencias potencialmente devastadoras.

Ciberseguridad en la atención sanitaria

salud-informática.com

Además del pirateo subversivo en el mundo empresarial, donde la información privada puede verse comprometida y los datos confidenciales de las empresas pueden fugarse, ahora se emplean medidas de seguridad cibernética para anular los efectos del pirateo por parte de entidades extranjeras, utilizadas como arma política. Es un problema global cada vez más grave y que ha requerido la implementación de metodologías avanzadas de ciberseguridad para contrarrestar las capacidades cada vez más sofisticadas de los piratas informáticos para subvertir estos mismos sistemas.

“En los últimos años, la seguridad cibernética ha sido una preocupación creciente en el sector de la salud, con ataques cibernéticos y vulnerabilidades de alto perfil que causan perturbaciones para las aseguradoras, hospitales y fabricantes de dispositivos médicos. Hay mucho en juego para los pacientes también, ya que los datos de los pacientes podrían perderse o alterarse, interrumpirse los servicios hospitalarios o dañarse a los pacientes mediante ataques dirigidos a dispositivos específicos…” 1

Intervención gubernamental para combatir el cibercrimen

Ciberseguridad en la atención sanitaria

nacionalisacs.org

La rápida digitalización de la industria de la salud hace que este sector sea particularmente vulnerable a los ataques cibernéticos y este hecho no ha pasado desapercibido para el Congreso de los Estados Unidos. El Comité de Energía y Comercio de la Cámara de Representantes se reunió recientemente para abordar la seguridad cibernética en el sector de la salud. Los Centros de Análisis e Intercambio de Información (ISACS) pueden ser clave para brindar mayor seguridad a los proveedores de atención médica y frustrar los esfuerzos de posibles ciberatacantes.

A través de los esfuerzos interactivos de las 24 organizaciones que componen el Consejo Nacional de ISAC (NCI), se están realizando grandes esfuerzos para “maximizar el flujo de información a través de las infraestructuras críticas del sector privado y con el gobierno. Se invita a los sectores y subsectores de infraestructura crítica que no tienen ISAC a comunicarse con el NCI para saber cómo pueden participar en las actividades del NCI”.2

Por supuesto, es una tarea hercúlea fortalecer la asociación entre entidades públicas y privadas en el sector de la atención médica con respecto a la seguridad cibernética, considerando las innumerables industrias y agencias gubernamentales que son responsables de regular y brindar dicha atención médica. Se ha alentado al Congreso a proporcionar exenciones fiscales y otros incentivos para incitar a las empresas a involucrarse en el esfuerzo continuo de los ISAC.

La escasa participación impide la implementación de la seguridad cibernética

Desafortunadamente, las bajas tasas de participación entre los centros de salud han sido un problema persistente en los esfuerzos en curso para implementar medidas efectivas de ciberseguridad en todo el sector. Según Terry Rice, vicepresidente de gestión de riesgos de TI y director de seguridad de la información de Merck, “las empresas pueden dudar en compartir información dentro de un ISAC si temen que la información no permanezca confidencial para sus miembros”.3

"Creo que la estadística más impactante fue realmente el hecho de que el 40% de las personas en la cima de una organización (ejecutivos como CEO y CIO, e incluso miembros de la junta directiva) no se sentían personalmente responsables de la ciberseguridad o de la protección de los datos de los clientes". Dave Damato, director de seguridad de Tanium, sobre Caja de graznidos de CNBC, hablando de ciberseguridad en la industria sanitaria 13

El alto costo del cibercrimen en la atención médica

Ciberseguridad en la atención sanitaria

dcpracticeinsights.com

Aparte de la amenaza obvia de la información comprometida de los pacientes y otros incidentes de robo de datos, las fallas de seguridad cibernética son increíblemente costosas, por una suma de $6.2 mil millones al año, según un proyecto de investigación de 2016 realizado por el Instituto Poneman. Los conocimientos revelados en sus estudios revelaron que “casi el 90 por ciento de las organizaciones de atención médica… habían sufrido una violación de datos durante los dos años anteriores. El cuarenta y cinco por ciento sufrió más de cinco violaciones de datos en ese período, con un costo promedio de un ciberataque de $2,2 millones. Los datos contenidos en los registros médicos electrónicos (EHR) a menudo se citan como la razón por la que la atención médica es un objetivo tan atractivo a los ojos de un hacker”.4

Por más segura que a la gente le guste creer que su información de salud está en posesión del consultorio de su médico o del hospital, a menudo no es así. La digitalización en curso de los registros médicos ha sido una propuesta costosa para la industria de la salud. Proteger toda esa información es otro gasto monumental y, a veces, esta parte de la ecuación de la seguridad cibernética se ha descuidado en aras de ahorrar costos o simplemente por la naturaleza a gran escala del esfuerzo general.

La naturaleza lucrativa del robo cibernético en la atención sanitaria

Ciberseguridad en la atención sanitaria

littlegatepublishing.com

Por supuesto, los registros médicos son un bien de moda en el mercado negro y pueden obtener mucho dinero de partes que buscan obtener información personal, direcciones de facturación y números de tarjetas de crédito. De hecho, la piratería informática puede ser una empresa muy lucrativa. Considere este ejemplo. “Los piratas informáticos se llevaron más de 2,2 millones de registros de pacientes de 21st Century Oncology, con sede en Fort Myers, Florida, en marzo de 2016. Un mes después, alguien robó una computadora portátil con 205,748 registros de pacientes no seguros de Premier Healthcare, LLC”. 5

La llegada del ransomware

Ransomware es un término nuevo para la mayoría de las personas, que se familiariza con los recientes ataques WannaCry desatados a nivel mundial, que paralizaron sistemas de infraestructura críticos y provocaron importantes rescates financieros de quienes fueron víctimas de la ansiedad y la posible pérdida de datos características de dichos ataques. La industria de la salud en particular es vulnerable a las incursiones de ransomware.

“Los hospitales son el blanco perfecto para este tipo de extorsión porque brindan cuidados críticos y dependen de información actualizada de los registros de los pacientes. Sin un acceso rápido a los historiales farmacológicos, directivas quirúrgicas y otra información, la atención al paciente puede retrasarse o detenerse, lo que hace que los hospitales sean más propensos a pagar un rescate en lugar de arriesgarse a retrasos que podrían provocar la muerte y demandas judiciales”. 6

En efecto, el malware ransomware bloquea una computadora y hace que los datos sean inaccesibles a menos que se pague un rescate al perpetrador. Normalmente este pago se realiza en forma de bitcoin. En la mayoría de los casos, se establece un límite de tiempo para el pago del rescate, de lo contrario los datos del ordenador serán destruidos. Aunque la mayoría de las partes afectadas no pagan el rescate, lo hacen suficientes para convertirla en una empresa criminal particularmente lucrativa.

Ciberseguridad en la atención sanitaria

wctechblog.com

La industria de la salud ha sido vulnerable a los ataques de ransomware porque, sorprendentemente, muchos hospitales no han tomado medidas inadecuadas para evitar violaciones de seguridad cibernética. En cambio, la mayoría de los hospitales han centrado su principal preocupación en cumplir con la HIPAA y las pautas federales para garantizar la seguridad de la información del paciente. En última instancia, la mayoría de los empleados del sector sanitario simplemente no están lo suficientemente capacitados para reconocer y frustrar los ciberataques antes de que ocurran. Incluso cuando se cuenta con la capacitación y las medidas de seguridad cibernética adecuadas, es un desafío continuo burlar a los perpetradores que constantemente van un paso por delante del juego.

Los dispositivos IoT también están en riesgo

Para añadir un poco más de gravedad a la situación actual, los ciberataques pueden afectar no sólo a los ordenadores, sino también a los dispositivos conectados a ellos. Las herramientas médicas y los monitores cardíacos y de glucosa son sólo algunos ejemplos de dispositivos vulnerables a los ciberataques. El vicepresidente Dick Cheney exigió que su marcapasos estuviera a salvo de ataques cibernéticos, para que aquellos con malas intenciones no manipularan la función de su dispositivo de forma remota. Francamente, la interferencia con estos dispositivos puede ser mortal para los pacientes que dependen de ellos para vivir.

Ciberseguridad en la atención sanitaria

cableado.com

Como ejemplo de piratería médica, “en un exploit que se utiliza actualmente, conocido como MedJack, los atacantes inyectan malware en dispositivos médicos para luego distribuirlos por una red. Los datos médicos descubiertos en este tipo de ataques pueden usarse para fraude fiscal o robo de identidad, e incluso pueden usarse para rastrear recetas de medicamentos activas, lo que permite a los piratas informáticos pedir medicamentos en línea para luego venderlos en la web oscura”. 7

Hasta donde yo sé, ningún paciente ha muerto debido a un marcapasos pirateado, pero los pacientes han muerto debido al mal funcionamiento de sus dispositivos médicos, errores de configuración y errores de software. Esto significa que la investigación de seguridad en forma de piratería preventiva, seguida de una divulgación coordinada de vulnerabilidades y soluciones de proveedores, puede ayudar a salvar vidas humanas.” Marie Moe, investigadora de seguridad de SINTEF, en “Adelante, piratas informáticos. Romper mi corazón” (Cableado)13

La FCC ahora ha sugerido que los proveedores de dispositivos médicos de IoT incorporen medidas de seguridad en los productos que fabrican; la palabra clave que allí se sugiere. En realidad, instaurar prácticas y requisitos de seguridad obligatorios para esos fabricantes es un esfuerzo que requiere mucho tiempo. Además, las redes asignadas para transmitir datos entre dispositivos y bases de datos también tienen una necesidad crítica de implementación y monitoreo de la seguridad cibernética.

Un nuevo presidente, un nuevo orden

Ciberseguridad en la atención sanitaria

abcnewsgo.com

Hubo mucha especulación sobre cómo abordaría la administración Trump las cuestiones de seguridad cibernética. El 11 de mayo de 2017, el presidente firmó una orden ejecutiva que ordenaba una revisión de las capacidades generales del país para combatir la ciberactividad criminal. La orden coloca la mayor parte de la responsabilidad relativa a la seguridad cibernética en las agencias federales que debían realizar evaluaciones de riesgos y entregar sus respectivos informes dentro de los 90 días. Seis meses después de que se emitiera la orden del presidente debían presentarse informes adicionales que examinaran los riesgos de infraestructura crítica.

“La orden exige una revisión de la amenaza que representan las botnets, que se dirigen a sitios web con tráfico de spam generado automáticamente. El Red de bots Mirai fue responsable de importantes cortes de Internet el año pasado. Pero Access Now dice que la orden también debería abordar el proceso del gobierno para la divulgación de vulnerabilidades y su respuesta a las violaciones de datos”. 8

  • Evaluaciones de riesgo

  • Planes de contingencia y recuperación ante desastres

  • Equipos de operaciones de seguridad dedicados

  • Escrutinio de socios comerciales/proveedores

  • Mejor formación de los empleados

Esta lista es cortesía de Healthcareitnews.com, de un artículo publicado en enero de 2017. 9

  • Defensa en capas

  • Higiene tecnológica mejorada

  • Asociaciones de ciberseguridad

  • Mejor software

  • consultores forenses

No existe ninguna medida preventiva general que pueda eliminar el riesgo de ciberataques. Más bien, los hospitales, clínicas y consultorios privados sólo pueden esperar trabajar juntos y gestionar los riesgos continuos en aras de proteger la información privada y la seguridad general de sus pacientes. Al mismo tiempo, se espera que los continuos avances tecnológicos aborden la vulnerabilidad de los dispositivos médicos y las redes informáticas.

Este esfuerzo por frenar los efectos potencialmente desastrosos del delito cibernético en el sector de la salud y más allá se extiende mucho más allá de los Estados Unidos. Actualmente se está llevando a cabo un esfuerzo global para detener la marea de ataques cibernéticos en todo el mundo, o al menos minimizar el impacto de lo que parece ser un esfuerzo interminable por parte de los ciberdelincuentes para infiltrarse en los sistemas de salud y causar estragos y extorsionar siempre que sea posible. , con cualquier fin nefasto.

Motivaciones políticas para los ciberataques

Ciberseguridad en la atención sanitaria

dailymail.co.uk

Con el clima político hostil que existe entre Corea del Norte y prácticamente todos los demás países del mundo civilizado, no es sorprendente que la nación rebelde haya sido citada como un probable delincuente en los recientes ataques de ransomware WannaCry y otros esfuerzos malintencionados emprendidos para razones políticas y con fines de extorsión financiera.

“Los investigadores de seguridad cibernética han encontrado pistas técnicas que, según dijeron, podrían vincular a Corea del Norte con el ciberataque global de “ransomware” WannaCry que... infectó más de 300.000 máquinas en 150 países. Symantec y Kaspersky Lab dijeron... algún código en una versión anterior de el software WannaCry También había aparecido en programas utilizados por el Grupo Lazarus, que investigadores de muchas empresas han identificado como una operación de piratería dirigida por Corea del Norte”. 10

No todos los expertos creen que el ataque del ransomware WannaCry estuvo motivado por motivos financieros. Algunos, como Matthew Hickey, de la consultora cibernética británica Hacker House, creen que los perpetradores simplemente esperaban "causar el mayor daño posible". Este fue ciertamente el caso en los países más afectados por el ataque, incluidos India, Taiwán, Ucrania y Rusia.

Algunos, como el líder ruso Vladimir Putin, culparon a la NSA por lo que afirmó fue su papel en los ataques de ransomware WannaCry. Se cree que la tecnología WannaCry está “basada en una herramienta filtrada que aprovecha una falla de seguridad en Windows que parece originarse en la NSA. "Somos plenamente conscientes de que los genios, en particular los creados por los servicios secretos, pueden dañar a sus propios autores y creadores, si se les deja salir de la botella", dijo Putin en Beijing. según el servicio de noticias estatal ruso, Tass.” 11

"Este próximo presidente heredará las culturas de ciberespionaje más sofisticadas y persistentes que el mundo haya visto jamás. Necesita rodearse de expertos que puedan acelerar la asignación de capas potentes de defensas de próxima generación alrededor de nuestros silos de infraestructura crítica específicos". James Scott, miembro principal del Instituto de Tecnología de Infraestructura Crítica 14

Tendencias en la lucha contra la ciberincursión en el sector sanitario

Obviamente, la amenaza de violaciones de la seguridad cibernética en todos los sectores empresariales e industriales no disminuirá. En el ámbito de la atención sanitaria, habrá una necesidad constante e incesante de mejorar la tecnología y la vigilancia general para evitar incidentes desastrosos en el futuro. Están surgiendo ciertas tendencias protectoras que podrían verse como el futuro de la disuasión del cibercrimen en la atención sanitaria.

En la parte superior de la lista se encuentra una migración cada vez mayor a herramientas de seguridad de la información basadas en la nube. Este movimiento “permitirá que las herramientas se actualicen de manera más dinámica para abordar el malware de tipo día cero. Este paso a la nube debería, en última instancia, hacer que sea más económico poner estas herramientas a disposición de todos los proveedores de atención médica, grandes y pequeños”. 12

Ciberseguridad en la atención sanitaria

rappler.com

Además, la industria de la salud se verá obligada a fomentar un mayor intercambio de información y colaboración entre las redes de salud y entre los centros. Este esfuerzo mutuo de ciberseguridad será difícil de impulsar, ya que las instituciones de salud suelen ser bastante aisladas por naturaleza. Se predice que este intercambio de información irá más allá de la atención médica e incluirá muchos sectores empresariales e institucionales para minimizar los riesgos para todos los involucrados.

En última instancia, el esfuerzo por anular los peligros de las violaciones de seguridad cibernética, el ransomware y las amenazas nuevas y emergentes en este ámbito se reducirá a la educación y la concientización en todos los niveles de los empleados en el sector de la salud y más allá. Cuando todos estén bien educados y se les haga ver las señales de advertencia de los riesgos cibernéticos y lo que pueden hacer para ser parte de un esfuerzo global para detener la ola de incursiones cibernéticas, la industria de la salud y todos los protectores del intercambio civilizado de información en todo el mundo. Seguiremos dando pasos significativos para limitar los efectos dañinos del cibercrimen en todos los sectores.

Podemos ayudarle en su esfuerzo de seguridad cibernética

SIS International Research ha pasado décadas interactuando con la industria de la salud en muchos niveles, desde consultorios familiares independientes hasta redes de salud monolíticas y de múltiples niveles. Nuestra singular comprensión de los desafíos que enfrentan las empresas e instituciones en el sector de la salud no tiene paralelo. Proporcionamos investigación e inteligencia sobre las partes interesadas.

Nuestras soluciones incluyen:

Investigación de mejores prácticas
Investigación de las partes interesadas de los empleados
Investigación sobre tomadores de decisiones en atención médica
Investigación de mercado de administradores y partes interesadas del hospital
Investigación de líderes de opinión clave (KOL)
Inteligencia de mercado
Investigación de mercado de pacientes
Seguimiento de tendencias de amenazas

Hoy, con la complejidad añadida de la amenaza impuesta por la creciente ciberdelincuencia dirigida a nuestras instituciones sanitarias más veneradas y a los pacientes a los que atienden, consideramos nuestro papel con el más alto grado de seriedad. Como empresa que se enorgullece de comprender la importancia y la naturaleza multifacética de la industria de la salud, continuaremos prestando servicios a prácticas, instalaciones y organizaciones relacionadas con la salud con las mismas capacidades de investigación integrales y de alta calidad a las que nuestros clientes han llegado. esperar y exigir. De esta manera, esperamos hacer nuestra parte para ayudar a la comunidad médica a comprender y combatir la amenaza muy real y grave de los ciberataques en el sector de la salud.

En la elaboración de esta investigación se utilizaron los siguientes recursos:

  • http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
  • https://www.nationalisacs.org/
  • http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
  • https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
  • https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
  • https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/
  • https://www.wired.com/2017/03/medical-devices-next-security-nightmare/
  • https://techcrunch.com/2017/05/11/trump-signs-long-delayed-executive-order-on-cybersecurity/
  • http://www.healthcareitnews.com/news/top-10-cybersecurity-must-haves-2017
  • http://www.dingit.tv/highlight/1441974?utm_source=Embedded&utm_medium=Embedded&utm_campaign=Embedded
  • www.healthcareitnews.com/blog/3-trends-shaping-future-cybersecurity
  • https://www.forbes.com/sites/danmunro/2016/12/18/top-ten-healthcare-quotes-for-2016/#5f47fb6b127f
  • http://www.goodreads.com/quotes/tag/cyber-security