La ciberseguridad en la atención médica es esencial para mantener a los pacientes seguros. Para los hospitales, una violación de datos no es solo una molestia, puede retrasar tratamientos que salvan vidas y interrumpir la atención vital. Abordar estos riesgos requiere legislación específica y de apoyo que haga de la ciberseguridad la base de la seguridad del paciente, capacitando a las organizaciones de atención médica, independientemente de su tamaño, para cumplir con los estándares de seguridad esenciales y mantener a los pacientes seguros.
Los ciberataques tienen consecuencias directas e inmediatas para los pacientes, desde retrasos en el diagnóstico y ambulancias desviadas hasta recetas estancadas. Si bien los sistemas de atención médica grandes en áreas densamente pobladas a menudo tienen los recursos para recuperarse rápidamente e invertir en una ciberseguridad sólida desde el principio, los proveedores más pequeños, especialmente en regiones rurales o desatendidas, enfrentan una batalla más desafiante. Presupuestos limitados, infraestructura obsoleta y amenazas cibernéticas constantes hacen que la protección integral sea un desafío persistente para estas instalaciones.
Los líderes en los círculos de atención médica, tecnología y política coinciden en que la ciberseguridad no es solo una necesidad técnica, es fundamental para la seguridad del paciente. Si bien la seguridad sólida es esencial, las políticas específicas a nivel estatal y federal son cruciales para ayudar a los proveedores de atención médica a cumplir con estos estándares, especialmente para aquellos con recursos limitados, garantizando que la ciberseguridad proteja a todos los pacientes.
Por qué la salud es un objetivo principal para los ciberataques
Debido a su infraestructura extensa e interconectada, la atención médica es un objetivo principal para los ciberataques. Los registros médicos electrónicos (EMR), las herramientas de imágenes médicas, los sistemas de facturación, los dispositivos médicos, dispositivos móviles y más contribuyen a un vasto paisaje digital que ha crecido rápidamente en los últimos años. Desafortunadamente, las medidas de ciberseguridad para proteger esta infraestructura han luchado por mantenerse al día con su rápido crecimiento.
Los datos de atención médica son una mina de oro para los atacantes, ya que los registros médicos contienen información de salud protegida altamente sensible (PHI) que vale mucho dinero en la web oscura. Los ciberdelincuentes también entienden que la capacidad de operar de un hospital es crítica para la vida, lo que los hace más propensos a pagar el rescate.
A medida que los ciberataques crecen en sofisticación y escala, más organizaciones de atención médica y las comunidades a las que sirven están en riesgo. La ahora famosa violación de Change Healthcare es un ejemplo notable, que ilustró cómo un solo punto de falla puede propagarse por múltiples instalaciones e impactar la atención al paciente.
Una red de procesamiento de facturación, reclamos e ingresos comprometida obligó a los hospitales a depender de facturación en papel, un método arriesgado que retrasó la atención al paciente. Varios hospitales enfrentaron crisis financieras, incapaces de procesar reclamos durante meses, con hospitales más pequeños casi en bancarrota cuando los sistemas volvieron a estar en línea. Esto puso de relieve el creciente desafío de la ciberinequidad y sus implicaciones para la salud pública.
Desafíos de la atención médica planteados por la ciberinequidad
Los sistemas de atención médica grandes en áreas más densamente pobladas a menudo tienen más recursos para contratar equipos de TI completos, implementar software de seguridad avanzado y adoptar planes de recuperación. Pero francamente, la mayoría de las organizaciones de atención médica, incluso las más grandes, tienen pocos empleados y están rezagadas en la curva de transformación digital. Aquellos con la menor cantidad de recursos sufren más. Los hospitales más pequeños operan con presupuestos más ajustados, lo que los obliga a elegir entre ciberseguridad y otras necesidades inmediatas en la atención al paciente.
En una mesa redonda reciente, un administrador de hospital rural destacó la presión financiera en los hospitales rurales, explicando que los presupuestos limitados a menudo obligan a estas instalaciones a priorizar inversiones que respalden la atención al paciente inmediata y las operaciones esenciales del día a día, como reemplazar máquinas de resonancia magnética o computadoras obsoletas. Sin embargo, esto afecta la cantidad de presupuesto y recursos que la organización puede asignar específicamente a la ciberseguridad, creando una brecha que introduce riesgos. Trabajar con sistemas obsoletos y tecnologías mal integradas, la incapacidad para invertir en ciberseguridad aumenta las vulnerabilidades para las instalaciones con recursos limitados.
La contratación de talento de TI es un desafío significativo, también. Muchos hospitales no pueden pagar a profesionales especializados en ciberseguridad, por no mencionar la enorme carga de trabajo de boletos de ayuda, actualizaciones tecnológicas y otros proyectos que abruman a un equipo de TI ya agobiado. Por lo tanto, cuando un ciberataque golpea a un hospital rural, magnifica el impacto; los pacientes pueden quedarse sin otras opciones de atención inmediata si su hospital local no puede abrir o funcionar.
Un estudio en The Journal of the American Medical Association encontró que un ciberataque en una instalación de atención médica desencadena un efecto dominó, presionando a hospitales cercanos a redirigir pacientes y estirar los recursos del personal. Un ataque puede afectar gravemente a hospitales más pequeños y con recursos limitados, poniendo en peligro la vida de los pacientes al enfrentar retrasos en la atención crítica. A veces, el hospital más cercano está a más de 100 millas de distancia, lo que, en una emergencia médica, puede significar la diferencia entre la vida y la muerte.
Además, la dependencia de la atención médica en asociaciones técnicas expone al sector a un mayor volumen de ataques de terceros, haciéndolos especialmente vulnerables. Este riesgo se ve agravado por violaciones de proveedores de software, que pueden afectar gravemente a hospitales que dependen de estos servicios, como se ejemplificó en el incidente de Change Healthcare. A pesar de iniciativas como el compromiso de CISA, que alienta a los proveedores a cumplir con ciertos estándares para 2025, la ausencia de repercusiones aplicadas deja una brecha significativa en la dirección de la ciberinequidad y las vulnerabilidades asociadas con los ataques de terceros en la atención médica.
La escasez de recursos de ciberseguridad para hospitales rurales es más que solo un problema logístico; es una cuestión de equidad. Sin intervención, la brecha entre sistemas de atención médica bien dotados y con pocos recursos aumentará, lo que conducirá a disparidades reales en la seguridad del paciente y la calidad de la atención.
El caso de un mayor apoyo gubernamental
La industria de la salud no puede gestionar la ciberseguridad sola. Si bien está claro que se necesitan estándares mínimos de ciberseguridad, los mandatos sin fondos corren el riesgo de abrumar a los pequeños proveedores que ya están muy presionados. Un sistema de atención médica más sólido y equitativo requiere un apoyo gubernamental específico para ayudar a cerrar estas brechas.
El Consejo de Coordinación del Sector de la Salud, un grupo de trabajo de ciberseguridad de más de 450 organizaciones de atención médica que trabaja con el Departamento de Salud y Servicios Humanos de EE. UU. (HHS), ha elaborado un marco de ciberseguridad adaptado a la atención médica, que incluye pautas sobre respuesta a incidentes y continuidad de operaciones.
Adjuntar fondos de ciberseguridad a los programas gubernamentales existentes en forma de incentivos podría permitir que más hospitales accedan a subvenciones o subsidios para medidas de ciberseguridad. El apoyo gubernamental alentaría a las instalaciones de atención médica a invertir en su infraestructura de seguridad sin que esto tenga un gran impacto en las finanzas de la organización.
Ampliar el acceso al seguro de ciberseguridad, especialmente para instalaciones de alto riesgo o vulnerables, también proporcionaría a los hospitales una red de seguridad en caso de un ataque, lo que es importante tener en cuenta en cualquier mandato o incentivo gubernamental para la ciberseguridad en la atención médica.
Una política cibernética inteligente es fundamental para la seguridad del paciente
Hay muchos factores que afectan la capacidad de la atención médica para invertir en ciberseguridad, pero uno de los mayores desafíos proviene de la falta de impulsores legislativos estratégicamente diseñados y estándares definidos. Es fundamental que las políticas no solo incluyan incentivos para invertir, sino que también estén diseñadas específicamente para las demandas de seguridad, cumplimiento y flujo de trabajo únicas de las organizaciones y clínicas de atención médica.
Por ejemplo, la implementación de autenticación sin contraseña puede reducir significativamente el riesgo de robo de credenciales causado por errores humanos o de los clínicos. Este enfoque no solo refuerza la seguridad al minimizar los riesgos de phishing, sino que también reduce el agotamiento de los clínicos y ahorra tiempo que se puede redirigir a la atención al paciente. Gestionar el acceso de proveedores y terceros de manera segura también es crucial para prevenir ataques a la cadena de suministro y debería ser una parte fundamental de cualquier política o regulación cibernética de la atención médica.
Aunque esperamos ver legislación motivadora y significativa en el horizonte, en su ausencia, la colaboración es la herramienta más poderosa de la atención médica. Los líderes y proveedores de atención médica deben colaborar estratégicamente para desarrollar soluciones innovadoras que cumplan con las demandas específicas de seguridad, cumplimiento y eficiencia del sector.
Foto: anyaberkut, Getty Images
El Dr. Sean Kelly es el Director Médico (CMO) y Vicepresidente Senior de Estrategia del Cliente para la Atención Médica en Imprivata, donde lidera el equipo de Flujo de Trabajo Clínico de la empresa y asesora sobre la práctica clínica de la seguridad de TI en la atención médica. Además, el Dr. Kelly practica medicina de emergencia en Beth Israel Lahey Health y es Profesor Asistente de Medicina de Emergencia, a tiempo parcial, en la Escuela de Medicina de Harvard. Capacitado en Harvard College, la Universidad de Massachusetts Medical School y la Universidad de Vanderbilt, el Dr. Kelly está certificado en Medicina de Emergencia y es miembro de la American College of Emergency Physicians.
Esta publicación aparece a través del programa MedCity Influencers. Cualquiera puede publicar su perspectiva sobre negocios e innovación en la atención médica en MedCity News a través de MedCity Influencers. Haga clic aquí para descubrir cómo.