Cada sistema de atención médica en los Estados Unidos tiene su propio nivel de vulnerabilidad a los ciberataques. Y cada sistema, en la medida en que sus recursos y percepción lo permitan, está tratando de eliminar esas vulnerabilidades. Pero muchos hospitales no tienen una imagen clara de dónde y cómo son susceptibles a los ataques.
Los sistemas luchan por cumplir con los requisitos mínimos de cumplimiento mientras carecen de los recursos o el apoyo para implementar medidas de ciberseguridad más amplias. Como resultado, los ciberdelincuentes están rompiendo las barreras con una frecuencia alarmante. Considere:
El ciberataque a Change Healthcare a principios de este año ha costado a la empresa matriz UnitedHealth $900 millones y ha afectado directa o indirectamente a casi un tercio de los estadounidenses
Un ataque en mayo comprometió la atención médica en Ascension, incluyendo cirugías pospuestas, citas canceladas y ambulancias desviadas
Un hackeo de datos de HCA Healthcare que afectó a 11 millones de pacientes fue el más grande en 2023, un año que vio un récord de 725 violaciones
Los proveedores de atención médica y los vendedores están aprendiendo de la manera difícil que los hackers son implacables y recursosos, ajustando constantemente tácticas y herramientas y utilizando nueva tecnología, incluida la inteligencia artificial, para lanzar ataques más sofisticados. Las defensas hospitalarias suelen quedarse atrás. Las defensas cibernéticas que funcionaron hace unos años ya no son adecuadas. A menudo, los objetivos no tienen claro dónde y cómo mejorar su protección.
Medidas públicas y privadas
Alarmados por los ataques, los sectores público y privado están presionando a los sistemas de atención médica para que hagan más. Las aseguradoras que venden seguros contra ciberataques insisten en que los hospitales refuercen sus defensas o pierdan la cobertura.
La administración está asignando $800 millones para ciberseguridad en el presupuesto propuesto del Departamento de Salud y Servicios Humanos (HHS) para el año fiscal 2025. Además, hay proyectos de ley separados de ciberseguridad en el sector de la salud en la Cámara y el Senado. La medida del Senado penalizaría a los sistemas que no mejoren sus defensas.
Nueva York es el primer estado en regular la ciberseguridad. Sus nuevos requisitos exigen que los hospitales adopten protección de datos más allá de lo que exige la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) federal. Requieren que los sistemas de atención médica realicen una evaluación anual de posibles riesgos y vulnerabilidades y establezcan un programa de ciberseguridad basado en esa auditoría, incluyendo disposiciones para informar, contrarrestar y recuperarse de una violación de datos.
Además, los hospitales deben tener un director de seguridad de la información (CISO) a tiempo parcial o completo para guiar y apoyar las medidas de ciberseguridad.
Subfinanciados y bajo ataque
Las organizaciones de atención médica no pueden permitirse esperar. Deben actuar rápidamente y continuamente para repeler los ataques. Sin embargo, muchos sistemas no tienen los presupuestos necesarios, el conocimiento o el personal para llevar a cabo todo lo que necesitan.
El personal de los equipos de ciberseguridad es un problema particular. Según una encuesta de ciberseguridad de la atención médica de HIMSS:
El 74% de los encuestados dijo que reclutar profesionales cualificados en ciberseguridad era un desafío
El 47% dijo que la falta de experiencia o habilidades en ciberseguridad era un desafío en la contratación
El 38% dijo que la falta de candidatos con experiencia en atención médica era un desafío
Junto con la escasez de candidatos calificados, las organizaciones de atención médica a menudo no tienen el presupuesto para contratarlos:
El 43% de los encuestados dijo que no tienen suficiente presupuesto para contratar al personal que necesitan
El 28% dijo que la compensación no competitiva era una barrera
La compensación inadecuada, el estrés y las largas horas contribuyen a un problema de retención. En la encuesta de HIMSS, el 57% de los encuestados dijo que retener trabajadores cualificados es un problema.
Los presupuestos de ciberseguridad están aumentando, sin embargo, lo que podría aliviar algunos de los problemas.
Gestión de riesgos de terceros
Los ataques no van a detenerse.
Las organizaciones de atención médica son objetivos tentadores para los hackers por varias razones. Tienen enormes cantidades de datos de pacientes, que son particularmente valiosos porque incluyen información personal y financiera. Además, tienen numerosas vulnerabilidades, internas y externas, especialmente porque los datos están fragmentados y se encuentran en múltiples lugares; y, en el caso del ransomware, cualquier interrupción en las operaciones críticas ejerce una enorme presión para resolver la situación, incluso si significa pagar un rescate.
Los hospitales son atacados más a menudo de forma indirecta a través de proveedores de terceros cuyo software licencian. Es extremadamente difícil, si no imposible con métodos manuales, que los sistemas de atención médica que trabajan con cientos de aplicaciones de terceros se aseguren de que cada proveedor tenga defensas adecuadas y siga las mejores prácticas de ciberseguridad.
Incluso si el proveedor tiene la culpa, las organizaciones de atención médica sufren el peso del ataque. Afortunadamente, hay formas en que pueden protegerse:
Evaluación de riesgos: mapeo de la red de proveedores, auditoría de los procesos de seguridad de los proveedores y monitoreo de su postura de seguridad de forma regular.
Remediación de vulnerabilidades: corrección de las vulnerabilidades de los proveedores identificadas en el Paso 1, ajuste de la responsabilidad por daños directos si es necesario, o reemplazo de proveedores que no cumplan.
Adaptación de prácticas: implementación de políticas y procedimientos que continúen priorizando la gestión de riesgos de terceros, como la integración de revisiones de seguridad en el proceso de compra ANTES de que se haya realizado una compra.
La necesidad de ayuda externa
Los sistemas de atención médica operan con márgenes estrechos, ya que luchan con los costos laborales y la escasez de personal. En este entorno, las solicitudes de fondos para reforzar la ciberseguridad deben competir con otras prioridades. Los consejos de los hospitales pueden ser reacios a asignar fondos porque desconocen cuán vulnerables son sus organizaciones. El resultado suele ser un enfoque parcheado de la ciberseguridad que deja brechas para los atacantes. Y la próxima ola de regulaciones gubernamentales que aborden la ciberseguridad aumentará la carga financiera de los hospitales.
La mayoría de los sistemas de atención médica no tienen los recursos o la experiencia para implementar defensas confiables y mantenerse al tanto de todas las amenazas. Muchos encuentran más eficiente asociarse con una empresa dedicada a servicios de ciberseguridad y gestión de riesgos. Los expertos en ciberseguridad de la atención médica están familiarizados con la tecnología hospitalaria, las prácticas comerciales, la interoperabilidad y las mejores defensas contra ciberataques. Pueden proporcionar a las organizaciones una visión integral del riesgo y guiar la creación y mejora de un programa de ciberseguridad general del sistema de salud.
También ayudan a identificar y gestionar el riesgo de terceros planteado por los proveedores. Estos expertos pueden dar a las organizaciones de atención médica tranquilidad y permitirles centrarse en brindar atención médica.
No hay una salvaguardia infalible contra los hackers, pero las organizaciones de atención médica se deben a sí mismas, a sus pacientes y socios montar la mejor defensa posible.