Muchos han alabado la transformación digital que está ocurriendo en el sector de la salud. Al modernizar su tecnología, la industria de la salud se está alejando de métodos ineficientes de intercambio de datos, como el fax. La industria también está equipando a sus clínicos y tomadores de decisiones comerciales con más datos que nunca, gracias a nuevas herramientas de IA y modelos avanzados de análisis.
Sin embargo, la transformación digital de la salud no está exenta de consecuencias, ya que a medida que los dispositivos y sistemas se vuelven más conectados, el riesgo de exponer datos de pacientes aumenta. La semana pasada, el proveedor de software de ciberseguridad Censys publicó un informe que muestra que hay más de 14,000 direcciones IP únicas en todo el mundo que exponen información médica potencialmente sensible de los pacientes en Internet público.
Los puertos abiertos y las interfaces web destinadas al intercambio y visualización de imágenes médicas representan el 36% de estas exposiciones, según el informe. Estos puertos e interfaces web se utilizan principalmente para imágenes médicas potencialmente sensibles como ecografías, radiografías, tomografías computarizadas y resonancias magnéticas.
Como mínimo, todos los usuarios que acceden a estos servicios deberían estar obligados a autenticarse, dijo Himaja Motheram, investigadora de seguridad en Censys. La implementación de la autenticación multifactor también puede proporcionar una capa adicional de seguridad más allá de solo contraseñas, agregó.
“Además, los servicios DICOM no deberían exponerse a Internet público siempre que sea posible, ya que no es necesario para su funcionalidad. En su lugar, las organizaciones deberían utilizar redes privadas virtuales (VPN) para crear conexiones seguras para usuarios autorizados”, declaró Motheram.
Los sistemas EMR representaron el segundo tipo de exposición más grande con un 28%, mostró el informe. Cuando la interfaz de inicio de sesión de un EMR se expone, una gran cantidad de datos de pacientes queda en riesgo, incluidos números de seguridad social e historias médicas sensibles.
Epic representa más del 90% de las exposiciones de EMR observadas en el informe de Censys.
Está claro que muchos proveedores de salud dependen de los productos de Epic para funcionar, esta dependencia significa que cualquier vulnerabilidad en la plataforma de Epic podría tener un impacto desproporcionado en numerosas instalaciones de salud, señaló Motheram.
“El EMR de Epic sí admite la autenticación multifactor, una rareza entre los EMR, lo que representa un paso positivo para mejorar la seguridad. Sin embargo, no hay suficiente evidencia para mostrar que esta función se requiera de manera consistente para todos los usuarios. Al igual que cualquier proveedor de software de infraestructura crítica ampliamente utilizado, Epic tiene una responsabilidad excesiva para priorizar la seguridad en sus productos”, afirmó.
El informe también señaló que los Estados Unidos tienen muchas más aplicaciones de salud disponibles públicamente que otros países. Casi 7,000 de las 14,004 exposiciones que encontró Censys están en los Estados Unidos.
Los Estados Unidos tienen un número desproporcionado de exposiciones porque su sistema de salud está tan descentralizado geográfica y organizacionalmente, señaló Motheram.
“A diferencia de algunos países con una infraestructura de salud más centralizada, los Estados Unidos tienen una gran mezcla de grandes redes de hospitales multirregionales, escuelas de medicina y miles de clínicas especializadas más pequeñas, cada una con sus propios sistemas e infraestructura digital. Esto resulta en estándares de seguridad inconsistentes en general, lo que hace que los esfuerzos de mitigación y divulgación sean más desafiantes en caso de un problema de seguridad crítico”, explicó.
Foto: WhataWin, Getty Images.