Los ciberdelincuentes en todo el mundo continúan utilizando a las organizaciones de atención médica como su práctica objetivo. Parece que hay un nuevo desastre de ciberseguridad en la atención médica que domina los titulares cada mes, con el de este mes siendo un ataque a Ascension que obligó a los médicos en varios estados a volver al registro en papel.
Durante una charla junto al fuego el miércoles en la conferencia INVEST de MedCity News en Chicago, Nitin Natarajan, director adjunto de la Agencia de Ciberseguridad e Infraestructura (CISA), compartió algunas ideas clave que las personas necesitan entender sobre el estado actual de la ciberseguridad en la industria de la salud.
Todos son un objetivo.
A medida que la actividad de los ciberdelincuentes continúa volviéndose más sofisticada en todo el mundo, el panorama de víctimas está cambiando, dijo Natarajan.
“Estamos viendo ataques contra escuelas de K-12 en el corazón de la nación. Estamos viendo ataques a instalaciones de atención médica. En el pasado, las instalaciones de atención médica siempre estaban protegidas, incluso en la guerra cinética. Nunca solíamos atacar hospitales, nunca atacábamos una tienda con la cruz roja en ella. Pero ahora vemos hospitales atacados regularmente”, declaró.
Atacar a los proveedores de atención médica por parte de los ciberdelincuentes es un destino inevitable, comentó Natarajan.
Sabido esto, los proveedores tienen que trabajar incansablemente para aumentar su resiliencia para que puedan recuperarse de estos ataques más rápidamente en el futuro, señaló. También alentó a los proveedores a comenzar a considerar los riesgos de ciberseguridad de terceros como parte de su planificación corporativa.
Las cosas no mejorarán de la noche a la mañana.
El lunes, HHS lanzó un nuevo programa de ciberseguridad que proporcionará $50 millones para desarrollar mejores herramientas de defensa de ciberseguridad para los proveedores de atención médica. Si bien es fácil poner una etiqueta de “demasiado poco, demasiado tarde” en el esfuerzo, Natarajan señaló que todo progreso es bueno.
“Creo que mucha gente ve la ciberseguridad como un interruptor de luz. Vamos a encender el interruptor un día y luego estaremos ciberseguros. Creo que es más como un banco de aproximadamente 500 reguladores de intensidad: los cambios que hacemos cada día para elevar un regulador de intensidad nos acercarán a donde necesitamos estar”, explicó.
La ciberseguridad requiere un enfoque de todos.
Para fortalecer sus defensas, las organizaciones de atención médica necesitan asegurarse de que todos los empleados tengan al menos una capacitación básica en ciberseguridad, dijo Natarajan.
Esto significa capacitar a todos los miembros del personal en cómo hacer cosas como utilizar correctamente la autenticación de dos factores o detectar correos electrónicos de phishing, explicó. Cuando se trata de ciberseguridad, una empresa a menudo es tan fuerte como su eslabón más débil.
“No son solo los CISO y los CIO los que necesitan hacer esto, tienes que hacer que toda la fuerza laboral adopte una cultura de ser más consciente de la ciberseguridad”, comentó Natarajan.
Hay herramientas gratuitas que los proveedores deberían aprovechar.
El dinero es escaso para muchos proveedores de atención médica, y hay muchos que simplemente no tienen el dinero para invertir adecuadamente en medidas de ciberseguridad, señaló Natarajan. Sin embargo, CISA y otras organizaciones federales ofrecen herramientas que los proveedores de atención médica pueden adoptar de forma gratuita, dijo.
“No es una solución ideal para un pequeño hospital que está tratando de averiguar cómo hacer la nómina y tratando de lidiar con la contratación y retención de personal. Pero estamos viendo más y más oportunidades para ellos, en lo que el gobierno está creando, y también vemos empresas que se están ofreciendo y ofreciendo la versión gratuita de sus productos”, señaló.
“Seguro por diseño” es el futuro.
Natarajan piensa que las empresas que crean tecnología sanitaria deben avanzar hacia un enfoque de “seguro por diseño”.
“Esto significa que debería ser seguro por defecto. No deberías tener que comprar paquetes adicionales o tener que encender la seguridad”, explicó. “Significa que estamos diseñando nuestro hardware y nuestro software para utilizar cosas como lenguajes seguros para la memoria, y estamos construyendo los elementos de seguridad adecuados en el software.”