Entre el masivo ciberataque a la unidad de Change Healthcare de Optum y el reciente ataque al sistema de salud Ascension con sede en St. Louis, parece que hay un nuevo incidente de ciberseguridad en la atención médica cada mes, creando serios dolores de cabeza para los proveedores de atención médica.
El ciberataque de febrero a Change Healthcare fue el evento de ciberseguridad más grave en la historia del sector de la salud de los EE. UU., impactando los registros de salud de 85 millones de pacientes. Estos incidentes no solo ponen en riesgo la información sensible de los pacientes, sino que también causan importantes interrupciones en la atención. Cuando Ascension, el cuarto sistema de salud más grande del país, fue atacado a principios de este mes, las ambulancias tuvieron que ser desviadas a hospitales cuyos sistemas seguían funcionando, y los médicos en todo el país tuvieron que volver al registro en papel.
Estos eventos también son devastadoramente caros. Desde 2020, la industria de la salud ha mantenido los costos promedio más altos de brechas de datos durante 13 años seguidos en todos los sectores, alcanzando $10.93 millones por evento de ciberseguridad.
No sorprende que los líderes hospitalarios estén priorizando la ciberseguridad más que nunca.
” No estoy quitando los ojos de la pelota cuando se trata de ciberseguridad, no es un riesgo que vaya a desaparecer pronto. Simplemente está aumentando “, declaró Dan Shoenthal, director de innovación en el Centro de Cáncer MD Anderson en Houston.
Este artículo explora las reacciones de cinco ejecutivos hospitalarios de C-suite diferentes sobre el reciente ataque a Ascension: por qué los asustó, qué están haciendo para evitar un destino similar en su propio sistema de salud y cómo quieren que cambien las cosas en el futuro.
Las amenazas son más abundantes que nunca
Los presupuestos son ajustados para la mayoría de los hospitales en todo el país, lo que los obliga a replantear su gasto. Sin embargo, la ciberseguridad debería estar fuera de límites al buscar áreas para reducir gastos, dijo Shoenthal.
Lo que da miedo es que las tácticas de los cibercriminales se están volviendo más sofisticadas cada día, y los hospitales están lidiando con más amenazas de seguridad que nunca, señaló.
” Desde un punto de vista cibernético, siempre hay alguien por delante de ti, un actor malintencionado. Y esos actores malintencionados toman diferentes formas “, señaló Shoenthal.
Optum y Ascension no son precisamente tiendas de mamá y papá, por lo que uno podría asumir que estas organizaciones tenían defensas de ciberseguridad estándar de la industria en su lugar. Pero cuando el CEO de UnitedHealth Group, Andrew Witty, compareció en el Congreso a principios de este mes, admitió que el ataque a Change Healthcare ocurrió porque uno de sus servidores no tenía autenticación multifactor.
Cuando se trata de la salud cibernética de un hospital, solo eres tan bueno como puedas ser hoy, y debes seguir tratando de mejorar cada día, dijo Shoenthal.
Otro líder hospitalario, Lee Schwamm, director de salud digital en el Sistema de Salud de Yale New Haven, también señaló que los cibercriminales se están volviendo más fuertes cada día mientras los hospitales continúan luchando para defenderse.
” Las herramientas que están disponibles ahora pueden convertir a actores malos aficionados en actores malos bastante buenos “, afirmó Schwamm. ” Literalmente puedes usar productos LLM y hacer que te ayuden a construir código de ransomware “.
Si eso no es lo suficientemente aterrador desde un punto de vista de defensa técnica, luchar contra los ciberatacantes también introduce un poco de un problema de eficiencia.
” Con un nivel creciente de amenaza, hay un equilibrio entre seguridad y productividad. Cuanto más reduces el acceso y cierras las redes para intentar mantenerlas seguras, más difícil es para los trabajadores acceder a lo que necesitan para hacer el trabajo “, dijo Schwamm.
La gestión del riesgo de terceros es una tarea titánica
Schwamm destacó el hecho de que los proveedores de atención médica cada vez más dependen de una arquitectura distribuida de herramientas de software como servicio, donde la mayoría de las aplicaciones residen en la nube. Esto significa que los datos sensibles de un hospital tienen que moverse a muchos lugares diferentes, lo que hace que los datos sean más susceptibles a vulnerabilidades.
” Esto pone las cosas muy difíciles a los sistemas de salud porque solo eres tan bueno como tu proveedor más débil. Pero hay cientos y cientos de ellos, y solo sabes que tu proveedor es débil cuando ocurre una de estas vulnerabilidades “, declaró.
La mayoría de las veces, un hospital no tiene forma de saber con certeza que sus proveedores de terceros están parcheando sus sistemas cada vez que se descubre una nueva vulnerabilidad, dijo Schwamm. Y en esta época, si no arreglas el parche el día en que te alertaron, te estás exponiendo a un riesgo importante, agregó.
Este problema no se puede resolver en el escritorio de un ejecutivo de la C-suite: en opinión de Schwamm, la gestión de estos riesgos debe ser un trabajo a tiempo completo.
En CommonSpirit Health, la segunda cadena de hospitales sin fines de lucro más grande del país, Leah Miller sabe lo serio que es el riesgo de terceros.
Miller, que se desempeña como directora de aplicaciones clínicas y datos del sistema, dijo que los incidentes de ciberseguridad de terceros se han “operacionalizado como la norma” en CommonSpirit, dado que el sistema experimenta un promedio de dos por semana.
” Tenemos 4,800 aplicaciones diferentes en nuestro entorno, con 1,700 conectadas al EHR. Eso son 4,800 proveedores que pueden fallar todos los días, por eso tenemos dos o tres eventos cada semana “, explicó.
Cuando CommonSpirit se entera de que uno de sus socios de terceros ha sido impactado por un incidente de ciberseguridad, el sistema de salud toma medidas inmediatas para detener el uso del producto del proveedor y evaluar si se vio afectada alguna información del paciente, señaló Miller.
Si bien obviamente hay algunos eventos de ciberseguridad que son más importantes que otros, CommonSpirit está dejando de tratar estos incidentes como catástrofes importantes. Estos eventos son inevitables, por lo que el sistema de salud se está enfocando en capacitar a sus equipos para responder a estas interrupciones rápidamente como parte de las operaciones diarias, dijo Miller.
Los hospitales están siendo más exigentes con sus relaciones con los proveedores
Cada vez que un hospital adquiere un nuevo proveedor de terceros, su superficie de ataque aumenta. Conscientes de esto, los hospitales están pensando con más cuidado en las nuevas herramientas y modelos de software que están trayendo a sus instalaciones, señaló Ashis Barad, director digital e informático en la Red de Salud de Allegheny con sede en Pittsburgh.
Dijo que los recientes ciberataques han “cambiado absolutamente” la forma en que su sistema de salud piensa sobre la ciberseguridad, no solo con los nuevos proveedores que pueden traer a su ecosistema, sino también con sus actuales proveedores de terceros. AHN se está asegurando de evaluar la postura de ciberseguridad de sus socios existentes, algunos de los cuales el sistema de salud puede haber tenido una relación durante décadas. Esto significa pedir a los proveedores información específica sobre cómo aseguran sus sistemas, dijo Barad.
Todos los hospitales deben asegurarse de aplicar ese alto nivel de escrutinio, señaló, especialmente a medida que los dispositivos y sistemas médicos se vuelven más conectados.
” Los hospitales están instalando muchos dispositivos de IoT: todo se está conectando a la red. Cada máquina de resonancia magnética está ahora conectada a una red, pero no era así antes. Así que creo que eso genera mucho escrutinio “, explicó.
Si bien no necesariamente le preocupa que alguien se cuele en el sótano de un hospital de AHN y meta un USB en una máquina de resonancia magnética para hackear la red, ese tipo de escenario no es del todo imposible, dijo Barad.
No necesariamente tiene una respuesta sobre cómo un hospital podría evitar un escenario poco probable como ese, pero Barad cree que podría ser hora de empezar a pensar en ese tipo de riesgos. Gran parte de los esfuerzos de ciberseguridad de hoy en el mundo de la salud se centran en el software, pero la industria debe comenzar a considerar los riesgos asociados con el hardware también, afirmó.
¿Qué necesita cambiar?
Al igual que un hospital solo es tan fuerte como su proveedor más débil, a veces solo es tan fuerte como su empleado más débil. El phishing es la causa principal de violaciones de datos en el sector de la salud, según The HIPAA Journal. Durante un ataque de phishing, un cibercriminal se hace pasar por una entidad de confianza a través de correos electrónicos o mensajes de texto para engañar a las personas y hacer que revelen información sensible, como contraseñas, números de tarjetas de crédito o datos personales.
Esto significa que los hospitales necesitan capacitar a todos sus miembros del personal para hacer cosas como detectar correos electrónicos de phishing y usar correctamente la autenticación de dos factores. Algunos hospitales van más allá, estableciendo políticas que restringen el acceso de un empleado cuando no logran dominar estas habilidades, señaló Schwamm de Yale New Haven Health System.
” Todos enviamos ataques de phishing falsos internamente para educar a los empleados. Algunas organizaciones de atención médica tienen una política en la que si fallas seis veces, tu acceso al correo electrónico se restringe a solo lectura. Y muchas organizaciones prohíben el acceso al correo electrónico personal como Gmail en el lugar de trabajo “, dijo Schwamm.
Está claro que la ciberseguridad debe ser algo para lo que todos los empleados estén entrenados, dado la cantidad de diferentes miembros del personal del hospital que pueden estar involucrados en la cadena de custodia de datos sensibles, declaró.
La ciberseguridad también está comenzando a ser una prioridad más alta en las C-suites de los hospitales. Durante una charla junto al fuego la semana pasada en la conferencia INVEST de MedCity News en Chicago, Nitin Natarajan, subdirector de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), señaló que ha estado teniendo muchas más conversaciones sobre ciberseguridad con los líderes de la C-suite de los hospitales en los últimos meses porque estos líderes finalmente reconocen la gravedad del panorama de riesgos.
” Realmente ven esto como un problema de riesgo empresarial en toda la empresa “, comentó Natarajan.
Pero para que las cosas mejoren verdaderamente, los hospitales necesitan invertir más dinero en sus esfuerzos de ciberseguridad, según Robert Bart, director de información médica en UPMC.
La investigación del año pasado muestra que el sector de la salud gasta mucho menos en ciberseguridad que otras industrias, como la banca y la tecnología. El informe revela que las organizaciones de salud asignan el 8.1% de su presupuesto de TI a ciberseguridad, mientras que las empresas de tecnología y finanzas asignan el 19.4% y el 13.6% respectivamente.
” Creo que la respuesta es el dinero: invertir más, para ser honesto. Eso es lamentable porque puede convertirse en una parte relativamente grande del presupuesto de TI de un sistema de salud, pero al final del día, nuestros médicos y los pacientes a los que cuidamos confían en nosotros para mantener su información lo más segura posible “, afirmó Bart.
Esta realidad es mucho más fácil de asimilar para una organización masiva como UPMC que para un pequeño sistema de salud rural o un hospital comunitario, señaló.
¿No debería el gobierno hacer su parte?
Además de más inversión en ciberseguridad, Bart pidió más asistencia del gobierno.
” El gobierno necesita ayudarnos a crear algunas protecciones desde un nivel más nacional. Estamos dejando que cada organización independiente o cada vertical de la industria tenga que crear sus propias defensas. Tenemos que hacer eso, pero también hay un efecto de paraguas que el gobierno de Estados Unidos puede jugar en esto para apoyar una buena ciberseguridad “, declaró.
Para empezar, Bart cree que el gobierno federal debería establecer requisitos mínimos para la ciberhigiene de los proveedores de atención médica. Una buena ciberhigiene implica mantener actualizaciones regulares en sistemas y dispositivos, usar contraseñas fuertes y capacitar al personal en cómo ser cauteloso con correos electrónicos y descargas sospechosas.
También cree que debemos cambiar nuestras percepciones sobre la culpa. Cuando un proveedor es hackeado, esa organización se considera culpable y debe sufrir las consecuencias financieras, pero Bart no está seguro de que este tipo de pensamiento sea justo.
” La verdad es que puedes hacer todo correctamente y seguir los mejores estándares de la industria, y aún así puedes ser el que desafortunadamente termina siendo hackeado y teniendo datos en riesgo “, explicó. ” Somos una sociedad basada en la culpa; no estoy juzgando si eso es bueno o malo, es solo una realidad. Pero tenemos que reconocer que incluso las mejores organizaciones que hacen todo correctamente con la intención correcta aún son atacadas “.
Hay pequeños hospitales rurales en todo el país que simplemente no tienen los recursos para cumplir con los estándares de ciberseguridad que evolucionan rápidamente. Los pacientes que dependen de estos hospitales no deberían ver su acceso a la atención interrumpido porque la instalación tuvo que cerrar después de la devastación financiera de un ataque, señaló Bart.
Dada esta realidad, Bart cree que debería haber algunas protecciones financieras emitidas por el gobierno para los sistemas de salud en caso de que sean golpeados con un ciberataque desastroso. Y la asistencia debería llegar más temprano que tarde.
” Cuando nos mudamos a los registros médicos electrónicos, hubo fondos federales que respaldaron la adopción de esos sistemas: la Ley HITECH bajo la administración de Obama en 2009. Tal vez necesite haber algo similar que respalde la adopción de ciberseguridad líder en la industria para la salud “, dijo.