Como radiólogo, sé demasiado bien cómo la ciberseguridad es fundamental para el trabajo diario de imágenes que mi equipo y yo realizamos. Si bien los radiólogos no somos expertos en phishing, confianza cero o caza de amenazas, sabemos que la infraestructura básica, que incluye la seguridad, siempre necesita funcionar para que podamos interactuar con los médicos y pacientes que dependen de nosotros.
Sin embargo, cuando ocurren brechas de datos y tiempos de inactividad, los radiólogos necesitan información para entender qué sucedió y cuándo el sistema estará nuevamente en funcionamiento. Sin ese conocimiento, existe una situación insostenible para hospitales, IT, médicos y, sobre todo, para los pacientes.
Esta brecha de comunicación se ve exacerbada por el retraso en la adopción de la seguridad en demasiadas prácticas y proveedores. En mi experiencia, cada vez que introducimos nueva tecnología, el proyecto es primero educativo y luego de implementación. Cuando voy a conferencias como SIIM, veo tecnología de seguridad en exhibición que está más avanzada que lo que muchos equipos de seguridad internos en organizaciones de imágenes están haciendo.
Esto no es un fenómeno nuevo, pero está empeorando. Los hackers y ciberdelincuentes cada vez son más avanzados y sofisticados en sus métodos para comprometer datos de atención médica. Y los principales sistemas de salud y organizaciones de imágenes son demasiado lentos y no lo suficientemente ágiles para mantenerse al día con este ritmo.
Los proveedores de seguridad deben ser de vanguardia porque los sistemas de salud no pueden serlo. Demasiada inercia mantiene el ritmo de la tecnología y el conocimiento de seguridad internos en un lugar donde no debería estar. Al mismo tiempo, hay pasos que los proveedores de atención médica pueden tomar, internamente y con la ayuda de socios externos, para mejorar tanto sus capacidades de seguridad como la confianza de sus médicos en esas capacidades.
Cómo piensan los radiólogos sobre la ciberseguridad
Una encuesta de HIPAA de 2024 subraya esta ansiedad: en la primera mitad de 2024, 387 brechas de datos reportadas involucraron 500 o más registros médicos, un aumento del 8,4% con respecto al mismo período en 2023 y un 9,3% más que en 2022.
Sin embargo, si bien las brechas de datos en atención médica pueden estar aumentando, la ciberseguridad es algo en lo que solo a veces pensamos activamente como radiólogos. Las imágenes de pacientes frente a nuestros ojos, no los temores latentes sobre brechas y piratería, son lo primero en nuestra mente. Porque estamos leyendo cientos o miles de imágenes diariamente, no tenemos tiempo para pensar en la ciberseguridad de nuestra práctica más de lo que podemos pensar en la electricidad. Ya sea que esté allí o no, solo cuando no está es cuando lo notamos.
Ese estado de juego, siempre preocupado por el riesgo pero rara vez pensando activamente en él, es precisamente por qué muchos de nosotros nos sentimos ansiosos acerca de nuestra preparación para la ciberseguridad.
Dicho esto, hay pasos concretos que los proveedores de atención médica pueden tomar para tranquilizar mejor a sus radiólogos sobre su confianza en la ciberseguridad y la preparación más amplia de la organización para frustrar o desactivar amenazas.
1. Implementación de capacitación básica en seguridad: esto es la Higiene de IT 101, pero hay una razón para ello. Si bien no se puede esperar que los radiólogos gestionen la estrategia de defensa cibernética de su organización, la conciencia básica sobre cómo detectar correos electrónicos de phishing, por ejemplo, puede mejorar la autoconfianza de estos médicos. Esta preparación puede respaldar un esfuerzo considerable en equipo para repeler amenazas cibernéticas en lugar de indicar esta responsabilidad como la de otra persona con un gesto mental.
Como parte del equipo, los radiólogos pueden ayudar a tapar algunos de los agujeros más comunes explotados por los hackers, es decir, empleados que pueden no saber mejor.
2. Actualización de la infraestructura de IT heredada: Entiendo por qué los radiólogos dudan en tener nuevos hardware o actualizaciones de software lanzados en su regazo. Cuando se utiliza el mismo sistema para leer cientos, si no miles, de imágenes diariamente, no se puede evitar acostumbrarse a sus herramientas.
Al mismo tiempo, hay muchas buenas y necesarias razones por las que nuestra infraestructura de imágenes heredada necesita una actualización: ya sea para aprovechar la nube, proporcionar un mejor soporte para la tele radiología y el intercambio de imágenes, o hacer mejoras en la calidad de vida como flujos de trabajo simplificados y menos clics. La ciberseguridad puede y debe ser parte de ese mismo impulso.
Los proveedores también deberían aprovechar estas otras iniciativas de modernización al planificar la actualización de su infraestructura de seguridad. Incluyen auditorías de sistemas, controles más estrictos de privacidad de datos de pacientes, monitoreo continuo en tiempo real y protocolos de confianza cero que dificultan la penetración de actores malintencionados. Esto también ayuda a reforzar la confianza de los médicos en la seguridad.
Si su infraestructura de IT necesita ser mejorada, como su elección de PACS para sus implementaciones en la nube (o elección de usar la nube), los radiólogos se sentirán menos seguros acerca de la preparación de seguridad de su organización. Si la tecnología se siente más avanzada, entonces esa confianza aumenta.
3. Apoyándose en un grupo más amplio de experiencia externa: no es suficiente para las organizaciones de imágenes y atención médica asociarse con proveedores de seguridad; estos proveedores deben recurrir a un grupo amplio y flexible de talento experto. Al igual que las organizaciones de atención médica, los ingenieros de seguridad internos también pueden estrellarse contra una pared en conocimientos y capacidades nuevos.
Refrescar esas capacidades con nuevas perspectivas ayuda a garantizar que los proveedores siempre traigan expertos con experiencia fresca, armados con conocimientos sobre las últimas tendencias de amenazas y capaces de implementar soluciones por delante de la curva en lugar de ir a la zaga.
¿Tienes las herramientas para identificar a los actores malintencionados? Si esos actores malos penetran el firewall, ¿puedes reaccionar y adaptarte rápidamente a esas situaciones? ¿Pueden comunicar el alcance de la amenaza y el plazo para restaurar la normalidad en la organización de atención médica?
Los efectos a la baja son reales, poniendo en riesgo a los pacientes y manteniendo a los equipos de médicos en la oscuridad. Cuando los equipos internos no tienen suficientes recursos o no son lo suficientemente rápidos para mantenerse al tanto de estos desafíos, los expertos externos y los proveedores pueden ayudar a llenar el vacío y brindar un nuevo nivel de confianza a la práctica.
4. Cerrando la brecha de comunicación: la falta de comunicación durante una interrupción o brecha, cuando el proveedor no puede decirte el plazo porque no lo sabe, es una de las mayores fuentes de frustración durante una crisis cibernética o un tiempo de inactividad. Por esta razón, es aún más importante aprovechar un grupo más grande de expertos en dominio que puedan ayudar a diagnosticar más fácilmente un ataque y comunicar al respecto en tiempo real.
Necesitamos que los proveedores de seguridad y de atención médica digan rápidamente qué medidas tienen en marcha para prevenir que ocurra y se propague una amenaza, y qué tan rápido pueden poner en funcionamiento nuevamente los sistemas. La falta de conocimiento no solo es frustrante, es inaceptable. Dar la mayor cantidad de información posible sobre qué se ve afectado y cuándo terminará es crítico, y muchos equipos internos de seguridad y proveedores no pueden hacer esto.
Cuando sea necesario, involucrar a expertos externos, como proveedores de seguridad, con más experiencia que cualquier organización de seguridad de la empresa. Traen las herramientas y la información adecuadas que los proveedores de atención médica y sus equipos de imágenes ansían para ayudar a restaurar la confianza y la confianza en nuestra preparación para la ciberseguridad que necesitamos los radiólogos.
Foto: athima tongloom, Getty Images
Raj Chopra, MD, es el Director Médico de Merge by Merative. Tiene más de 20 años de experiencia clínica como radiólogo certificado. Ha estado involucrado activamente en varios roles de asesoramiento, ayudando a guiar a muchas organizaciones sobre IA de imágenes, regulaciones de la FDA, facturación y codificación, procesamiento de reclamaciones, revisiones de utilización y cumplimiento de Medicare/Medicaid.
Esta publicación aparece a través del programa MedCity Influencers. Cualquiera puede publicar su perspectiva sobre negocios e innovación en atención médica en MedCity News a través de MedCity Influencers. Haga clic aquí para obtener más información.