La industria de la salud siempre ha sido y seguirá siendo objetivo de ransomware y otros ciberataques. Estas brechas, como la serie de ataques que han afectado recientemente a varios hospitales y sistemas de salud importantes, han expuesto las vulnerabilidades de seguridad de varias de las instituciones de salud más confiables.

Más valioso en el mercado negro que obtener el número de seguro social de alguien, un registro médico electrónico podría valer cientos o incluso miles de dólares para los ciberdelincuentes. De hecho, después de varios años en los que el valor de los registros médicos en el mercado negro había disminuido, un estudio de 2019 sugiere que una violación de datos cuesta a la atención médica en promedio $ 6.5 millones, o $ 429 por registro de paciente. Según el mismo estudio, este asombroso número es un 60% más que una infracción que afecta a otras industrias.

Las vulneraciones de datos se han vuelto demasiado comunes entre las organizaciones de atención médica. Según un estudio reciente de Ponemon, el 54% de los distribuidores de salud han experimentado al menos una violación de datos de la información médica protegida perteneciente a los pacientes de los proveedores de salud a los que atienden. De ese 54% de los que respondieron, el 41% experimentó seis o más vulneraciones de datos en los últimos dos años.

Así era el panorama de la ciberdelincuencia antes de que COVID-19 llevara a la industria al borde del abismo. Ahora, muchas organizaciones sanitarias están ejecutando sus operaciones comerciales y realizando su trabajo en nuevas circunstancias, lo que significa nuevos riesgos y amenazas de seguridad. Luego está el nuevo aumento de datos de pacientes que conduce a un aumento de los ataques. A medida que la industria se apresura a desarrollar una vacuna COVID-19 junto con nuevos tratamientos terapéuticos, los piratas informáticos ven un mayor valor en perseguir las redes y sistemas de estas empresas para robar esta propiedad intelectual, lo que lleva a ataques a las empresas biofarmacéuticas, que se han disparado desde los primeros días de la pandemia.

Los tiempos estresantes conducen a un juicio deficiente en ciberseguridad

Las organizaciones sanitarias han tenido que ajustar gran parte de sus operaciones para abordar los arreglos del trabajo desde casa (políticas, controles, evaluaciones, herramientas y tecnologías). Muchos equipos de TI han tenido que cambiar su enfoque de la seguridad, la privacidad y el cumplimiento normativo. Muchos empleados de estas organizaciones trabajan desde casa, a menudo por primera vez, al mismo tiempo que enfrentan el estrés de la pandemia. Demasiados cambios, demasiado rápido.

Estas interrupciones en nuestra vida profesional y personal pueden dejarnos más distraídos y vulnerables a malas decisiones, como caer en ataques de phishing. Y no siempre se realizan a través del correo electrónico.

En uno de esos casos, el Departamento de Salud y Servicios Humanos de EE. UU. emitió una advertencia durante el inicio de la pandemia de que los oficiales de seguridad y privacidad de los hospitales estaban recibiendo postales, supuestamente del «Secretario de Cumplimiento de HIPAA» que les pedía que visitaran una URL para una evaluación de riesgos. Hubo un gran problema: el puesto de Secretario de Cumplimiento de HIPAA no existe. Este nuevo ataque de phishing se diseñó para aprovechar la confusión de todos durante el COVID-19, y muchos profesionales de la seguridad sanitaria fueron víctimas.

Proteger los datos del paciente de forma remota tiene sus desafíos

Uno de los mayores desafíos que enfrenta la industria de la salud durante la pandemia son las limitaciones presupuestarias y los recursos limitados, y en este momento, la prioridad para estas organizaciones es proteger la salud de las personas durante COVID-19. En otras palabras, muchas organizaciones tienen que sopesar objetivos de competencia y restar importancia a todo lo que no sea el desafío de tratar a los pacientes con COVID y salvar vidas. Desafortunadamente, “todo” también puede incluir iniciativas de ciberseguridad y privacidad de datos.

Sin embargo, existen varias prácticas recomendadas que los equipos de TI de la atención médica con recursos y presupuestos limitados pueden implementar para proteger mejor los datos confidenciales de sus pacientes durante este nivel de distracción único en la vida.

1. Asegúrese de que existan soluciones automatizadas. Revise las infraestructuras de ciberseguridad en cualquier nueva organización distribuida. Asegúrese de que todas las herramientas y procesos automatizados estén haciendo su trabajo. Esto incluye asegurarse de que todos los dispositivos emitidos por la empresa de los empleados estén encriptados, que exista supervisión remota para estos dispositivos y que se hayan implementado protección contra fraudes, detección de malware y detección de intrusiones.
2. Los proveedores de servicios en la nube también deben estar preparados. Póngase en contacto con terceros cuyas aplicaciones, plataformas y otras herramientas en la nube están en manos de los empleados de una organización. Se les debe preguntar qué pasos específicos han tomado para proteger sus sistemas, y los datos confidenciales de una empresa, durante este período de mayor riesgo por parte de los ciberdelincuentes.
3. Obtenga una evaluación de riesgos de terceros. La mejor manera de asegurarse de que una organización está cumpliendo con todos sus estándares regulatorios y de ciberseguridad es que su infraestructura y procesos sean auditados y probados por un experto tercearizado. Ahora más que nunca, los equipos de seguridad de TI internos tienen demasiado en su plato para asegurarse de que están abordando, o incluso viendo, todas las nuevas amenazas potenciales a la seguridad de los datos de una organización.

A medida que COVID-19 continúa alterando la fuerza laboral de la atención médica, las organizaciones deben permanecer enfocadas en mantener y, si es necesario, mejorar los protocolos de seguridad. Esto es especialmente importante en un momento en el que los empleados están haciendo su trabajo en nuevas circunstancias. En muchos casos, esto incluye trabajar desde una ubicación remota. El daño potencial a las finanzas, los ingresos futuros y la reputación de una organización de atención médica son demasiado elevados para ignorarlos, por lo que se deben tomar todas las medidas necesarias para proteger los datos de atención médica.