Infecciones de malware y violaciones a HIPAA, las preocupaciones en salud

Cuatro de cada cinco ejecutivos de proveedoras de atención médica dicen que la información de la empresa fue comprometida por ciberataques. El dato se desprende del reporte Health Care and Cyber Security elaborado por el servicio de auditorías KPMG, que encuestó a 223 representantes basados en Estados Unidos.

La industria de la salud enfrenta actualmente un gran desafío en lo que refiere al resguardo de datos, ya que aloja información única y sensible que identifica a cada paciente, a la que doctores, personal administrativo, aseguradoras y organizaciones externas necesitan acceder.

Los riesgos no se limitan al fraude financiero, sino que incluyen también el fraude relacionado al seguro médico y hasta los ataques a dispositivos médicos controlados por computadoras: hemos reportado sobre una vulnerabilidad en más de 300 equipos quirúrgicos que podía permitir el acceso a sus configuraciones críticaspara controlarlos en forma remota.

Aún así, el 23% de las organizaciones no tiene un centro o sector de operaciones de seguridad dedicado a la tarea de identificar y evaluar amenazas. En muchos casos, incluso desde sus propios sitios web filtran datos a terceros sin tener conocimiento de ello.

No es de extrañar, entonces, que estén preocupadas por los posibles riesgos a los que se enfrentan. El estudio encontró que la principal preocupación entre los ejecutivos de salud es una infección de malware en los sistemas de la organización, mencionada en el 67% de los casos. Para el 57%, la mayor inquietud es una violación a HIPAA o el compromiso de la privacidad de los pacientes.

HIPAA es la regulación que domina la seguridad de la información de salud en los Estados Unidos, y hace referencia a Health Insurance Portability and Accountability Act of 1996. Si bien es un estándar deseable, su mera existencia no garantiza un nivel de seguridad apropiado; los proveedores médicos deben proteger los datos de sus clientes, pero no están obligados a permitirle al paciente proteger su propia información, la cual queda inevitablemente en manos de la compañía.

Es por eso que casos como el incidente en la aseguradora Anthem, que le permitió a los atacantes acceder a una base de datos que almacenaba nombres, direcciones, fechas de cumpleaños, números de seguridad social, direcciones de correo electrónico e información sobre empleo de casi 80 millones de clientes y empleados, causó tanto impacto.

Las otras preocupaciones en la industria, segun KPMG, son las vulnerabilidades internas (robo o negligencia por parte de empleados) en el 40% de los casos, la seguridad de los dispositivos médicos en el 32%, y hardware anticuado en el 31% de los casos.

En cuanto a la seguridad de los datos, los ejecutivos señalaron como preocupación a las siguientes vulnerabilidades:

    Atacantes externosInformación compartida con terceras partesRobo o brecha causada por un empleadoUso de sistemas de computación inalámbricosFirewalls inadecuados

Pero a pesar de estos riesgos, esta industria parece no avanzar tan rápido como otras en lo que respecta a la gestión de la seguridad. Según el estudio de KPMG, hay cinco factores que constituyen amenazas crecientes:

  1. La adopción de registros de pacientes digitales y la automatización de sistemas clínicos
  2. El uso de aplicaciones que no fueron diseñadas para operar en forma segura en el entorno conectado de hoy en día, y proveedores de software que dejan el asunto en manos del fabricante
  3. La facilidad para distribuir información de salud protegida en forma electrónica, tanto internamente (a través de laptops o dispositivos móviles) como externamente (mediante terceros o servicios en la nube)
  4. La naturaleza heterogénea de los sistemas y aplicaciones conectados, como por ejemplo bombas de respiradores conectadas a la misma red que sistemas de registro que pueden navegar por Internet
  5. El panorama de amenazas en evolución, en el que los ciberataques son más sofisticados y mejor financiados, dado el elevado valor de la información robada en el mercado negro

“La riqueza de la información implica que la amenaza a la ciberseguridad en salud ha aumentado”, dijo Michael Ebert, socio de KPMG. “La magnitud de la amenaza contra la información de salud  ha crecido exponencialmente, pero la intención o la propia inversión en asegurar esa información no siempre le ha seguido”, concluyó.

Sigue leyendo: Robo de registros y datos de salud: más que información médica

Créditos imagen: ©Alex Proimos/Flickr

Autor , ESET

Síguenos