Los ciberdelincuentes en todo el mundo continúan atacando a organizaciones de salud, explotando cualquier vulnerabilidad que puedan encontrar. Las entidades de salud siguen luchando por protegerse contra estos hackers, cuyas tácticas se están volviendo más sofisticadas cada día.
A continuación se presentan tres cambios que los expertos en ciberseguridad consideran necesarios para fortalecer la postura defensiva de la industria de la salud.
Todos los empleados de salud necesitan capacitación en ciberseguridad.
El error humano interno es uno de los factores más comunes que causan ciberataques en empresas de todas las industrias, señaló Anurag Lal, CEO de NetSfere, una empresa de ciberseguridad que ofrece una plataforma de mensajería segura.
“La mayoría de los ataques ocurren a manos de un empleado que simplemente cometió un error”, dijo. “Estos errores tienen impactos perjudiciales, lo que está llevando a un creciente miedo entre los miembros del personal. De hecho, según una encuesta, algunos profesionales de ciberseguridad dicen que no han informado de una brecha debido al miedo a perder sus trabajos”.
Para abordar este problema, las empresas necesitan crear una política de puertas abiertas en el lugar de trabajo para que los empleados se sientan empoderados para hablar sobre todos los riesgos que su organización pueda enfrentar, recomendó Lal.
Las empresas también deben asegurarse de que todos los empleados entiendan cómo reconocer los riesgos de ciberseguridad, así como educar a todos los trabajadores sobre cómo comunicar o transportar adecuadamente la información de salud electrónica de los pacientes, agregó.
“Las empresas de salud deben asignar roles y descripciones de trabajo claros y asegurarse de que se comuniquen en toda la organización”, comentó Lal. “Las entidades de salud deben asegurarse de que los miembros de la fuerza laboral estén equipados con el conocimiento, las habilidades y las capacidades necesarias para cumplir roles específicos y que estos requisitos se incluyan como parte del proceso de contratación de personal”.
Lal también señaló que la capacitación en ciberseguridad de los empleados debe ser un proceso continuo y evolutivo que responda a los cambios ambientales y operativos.
El gobierno debe establecer estándares mínimos de ciberseguridad.
El gobierno federal aún no ha establecido un estándar para un conjunto mínimo de protecciones de ciberseguridad en todas las industrias, señaló Joel Burleson-Davis, vicepresidente senior de ingeniería y ciberseguridad mundial en la empresa de seguridad de identidad digital Imprivata.
“Existen algunos problemas que surgen de la falta de un programa gubernamental de ciberseguridad”, dijo. “El primer problema que surge es el cambio de mentalidad para las organizaciones que están tomando decisiones difíciles: cuando los controles son ‘debería’ en lugar de ‘debe’ implementar, las organizaciones con recursos limitados pueden alejarse de implementarlos”.
La falta de un programa gubernamental sólido lleva a prácticas de seguridad inconsistentes en el sector de la salud, lo que facilita que los hackers exploten vulnerabilidades, y esto se está convirtiendo en un problema aún mayor a medida que las organizaciones de salud se vuelven más interconectadas y, en muchos casos, se consolidan, señaló Burleson-Davis.
Organizaciones como la Agencia de Seguridad Nacional (NSA), la Agencia de Ciberseguridad e Infraestructura (CISA) y el Instituto Nacional de Estándares y Tecnología (NIST) han publicado pautas y marcos de ciberseguridad para organizaciones de salud, pero no han sido muy efectivos, dijo.
“Aunque estas pautas proporcionan información útil, no han establecido estándares firmes, incentivos o responsabilidad para que las organizaciones avancen con la implementación de las mejores prácticas actualizadas. Son solo recomendaciones, lo que significa que las organizaciones pueden aceptarlas o rechazarlas”, declaró Burleson-Davis.
La falta de consecuencias en caso de un ataque también permite a las organizaciones de salud jugar con su seguridad y la seguridad de los pacientes cuando no implementan las mejores prácticas o los métodos adecuados de respaldo y recuperación de datos, agregó.
El impacto del ciberataque de Change Healthcare es un ejemplo clave.
“Muchos sabían que Change Healthcare era el único punto de falla para todos los procesos de pago, sin embargo, no implementaron un método de respaldo, ya que se consideraba un proceso demasiado costoso y que consumía mucho tiempo”, comentó Burleson-Davis.
El ataque del mes pasado a Ascension es otro ejemplo oportuno, señaló. Ascension es uno de los sistemas de salud más grandes del país, con 140 hospitales en 19 estados. Si puede ser atacado, entonces cada sistema de salud en los EE. UU. está en riesgo de sufrir un devastador ciberataque, dijo.
En opinión de Burleson-Davis, lo primero que debe cambiar para mejorar la ciberseguridad en el sector de la salud es el establecimiento de estándares mínimos de ciberseguridad específicos de la industria de la salud, aplicados por el gobierno, junto con incentivos y recursos para garantizar que las organizaciones de salud puedan construir y mantener con éxito sus programas de ciberseguridad.
“El cambio real vendrá cuando se introduzcan estándares e iniciativas junto con los medios necesarios para lograrlos”, declaró. “La presupuestación es un problema habitual para los proveedores de atención médica más pequeños, ya que sus líderes saben que los ciberataques tienen consecuencias graves para la privacidad y las finanzas. Cuando se ven obligados a elegir entre una máquina de resonancia magnética urgentemente necesaria para sus pacientes o un nuevo producto de ciberseguridad, comprensiblemente eligen lo primero”.
Las organizaciones de salud deben colaborar para abordar vulnerabilidades compartidas.
Los ciberataques son bastante horizontales, pero los puntos de entrada están orientados verticalmente, dijo Gaurav Kapoor, CEO de la empresa de software de ciberseguridad MetricStream.
Señaló que cuando ocurre un ciberataque en la industria financiera, las partes interesadas de todo el sector a menudo colaboran para resolver el problema lo más rápido posible. El sector financiero también trabaja colaborativamente de manera proactiva: los bancos de todo el mundo han establecido redes donde comparten regularmente nuevos riesgos que están surgiendo y cómo anticiparse a ellos, afirmó.
Pero en el mundo de la ciberseguridad de la salud, no parece haber el mismo tipo de enfoque colaborativo y rápido.
“Siento que puede haber más colaboración en la salud en términos de tapar donde están los puntos débiles”, comentó Kapoor.
Los proveedores de salud que han sido hackeados deberían compartir detalles con otras organizaciones en todo el sector para que puedan estar al tanto de lo que deben parchar en sus propios sistemas, recomendó.
Foto: JuSun, Getty Images