Imagina un hospital sumido en la oscuridad: sin internet, sin acceso a sistemas médicos y un costo de $22 millones para encontrar la luz. Esto no es ficción: es la dura realidad del ransomware en el sector de la salud. Desde el hospital más grande de Vermont hasta la principal instalación pediátrica de Chicago, las instituciones de salud han sido paralizadas por estos ataques, enfrentando millones en daños y graves interrupciones en la atención al paciente.
Estos incidentes resaltan una realidad escalofriante: el sector de la salud es un blanco principal para ciberataques en nuestra era global e interconectada digitalmente. La amenaza no es solo los activos financieros o la privacidad de los datos; es un peligro inmediato para la seguridad de los pacientes y la continuidad de la atención. La urgencia de medidas de ciberseguridad fortalecidas nunca ha sido más evidente, enfatizando la necesidad de proteger la información y las vidas.
El FBI reveló que la salud fue el sector de infraestructura más atacado por ciberdelincuentes con 249 violaciones en 2023. Esto muestra que los hackers ven a los hospitales, clínicas y otras organizaciones de salud como objetivos clave porque los operadores tienden a pagar un rescate para mantener los servicios críticos en funcionamiento. La cruda realidad hace que la ciberseguridad sea un imperativo moral, consistente con el compromiso del Juramento Hipocrático de priorizar el bienestar del paciente.
En este siglo, el credo de “hacer lo correcto por nuestros pacientes” ha evolucionado hacia la necesidad crítica de cuidar la ciberseguridad en los servicios de salud. Los líderes de la salud y la seguridad deben integrar protocolos sólidos de ciberseguridad como un elemento esencial para brindar una atención de calidad al paciente.
Al adentrarnos en estrategias cruciales a considerar, veremos cómo una postura proactiva de ciberseguridad puede mantener la integridad de la atención médica, asegurando que la atención siga siendo tanto continua como segura.
Aquí hay cuatro recomendaciones para los líderes de la salud:
Mapear el campo minado: Mejorar el análisis de riesgos
La adopción de dispositivos médicos conectados, registros de pacientes y sistemas de gestión de edificios ha ampliado significativamente las superficies de ataque digitales internas y externas de los hospitales. Esta complejidad se ve agravada por el hecho de que el 12% de la industria de la salud todavía utiliza sistemas operativos en fin de vida o fin de soporte, exponiendo vulnerabilidades críticas. Evaluar con precisión los riesgos de seguridad planteados por esta diversa gama de activos conectados, desde sistemas obsoletos hasta tecnologías de vanguardia, presenta un desafío formidable, pero es esencial para salvaguardar los datos de los pacientes y los servicios de salud.
En respuesta, las organizaciones de salud deben adoptar un enfoque más matizado de ciberseguridad, centrándose en el comportamiento operativo de dispositivos y servicios y en la adhesión a las líneas base de seguridad establecidas. Las preguntas deben cambiar hacia la comprensión de las medidas de seguridad específicas en su lugar y los impactos potenciales de los ciberataques, con el objetivo de idear estrategias efectivas de mitigación (por ejemplo, comparando con las líneas base de comportamiento “buenas conocidas”). Esto destaca la importancia de utilizar herramientas y metodologías integrales de análisis de riesgos para navegar eficientemente por el complejo panorama de ciberseguridad, asegurando una postura proactiva contra posibles amenazas.
Vigilancia como virtud: Cultivar la conciencia de ciberseguridad
No se puede decir lo suficiente: la ciberseguridad es responsabilidad de cada individuo dentro de una organización.
El phishing es una forma extremadamente barata y fácil para que los hackers comprometan una organización, ya sea desplegando ransomware o recopilando credenciales para acceder a la red. Todo lo que se necesita es que un empleado haga clic en el archivo adjunto incorrecto de un correo electrónico o proporcione información sensible a una parte no autorizada para causar posibles interrupciones.
Las sesiones educativas regulares sobre higiene de ciberseguridad, incluidas simulaciones de phishing, deben ser un aspecto central del esfuerzo de conciencia de ciberseguridad de cada hospital. También se necesitan sistemas confiables y robustos para que los empleados informen sobre incidentes de ciberseguridad.
Dividir para conquistar: La estrategia de segmentación de redes
Tecnológicamente hablando, las redes de hospitales son tradicionalmente planas, consistiendo en segmentos de red con poco o ningún control de acceso, lo que amplifica enormemente los riesgos de seguridad. Por ejemplo, si una computadora del personal usada para navegar por la web durante un descanso para el almuerzo se infecta y tiene acceso a dispositivos médicos, servidores, etc., una brecha puede causar cantidades catastróficas de daño en poco tiempo.
Por eso, las políticas efectivas de segmentación, junto con un enfoque de arquitectura de Confianza Cero, un modelo de seguridad que busca evitar que actores maliciosos violen redes y se muevan lateralmente a través de ellas, son cruciales para limitar el radio de acción de los ciberataques.
Hacer que suceda requiere un esfuerzo coordinado con TI, redes, seguridad de la información, líneas de negocio y propietarios de dispositivos en hospitales. Haciendo eco del punto #1, es por eso que es tan esencial que los hospitales inviertan tiempo en inventariar todos los activos físicos y virtuales, mapear las comunicaciones, desarrollar vistas a nivel de sistema y utilizar tecnologías automatizadas para monitorear todo lo que sucede las 24 horas del día, los 7 días de la semana. Además, la autenticación multifactor debería estar habilitada en todo el entorno.
Más allá de las paredes: Asegurar la superficie de ataque externa
La superficie de ataque externa de los hospitales abarca todos los puntos de vulnerabilidad potenciales accesibles desde fuera de sus redes internas, especialmente los proveedores de terceros y los dispositivos de Internet de las Cosas (IoT). Si bien están diseñados para mejorar la eficiencia operativa y la atención al paciente, estos elementos a menudo introducen riesgos debido a descuidos de seguridad o configuraciones incorrectas. Por ejemplo, los dispositivos de IoT que monitorean la salud de los pacientes de forma remota pueden ser cruciales para la atención médica pero pueden carecer de medidas de seguridad sólidas, convirtiéndolos en objetivos principales para la explotación.
Los hospitales deben adoptar una estrategia integral para defender y gestionar sus superficies de ataque externas para mitigar estos riesgos. Esto incluye realizar evaluaciones de seguridad regulares en todos los proveedores de terceros para asegurarse de que cumplan con los estándares de seguridad rigurosos y aplicar parches de seguridad de manera oportuna para los dispositivos de IoT y otros sistemas vulnerables. Por lo tanto, los hospitales pueden abordar posibles ataques externos que puedan paralizarlos y poner en peligro la vida de los pacientes al tener un entorno de atención médica seguro y resiliente.
En el espíritu del Juramento Hipocrático, los líderes de la salud están llamados a curar y proteger. A medida que navegamos por la era digital, permitamos que este antiguo juramento inspire un mandato moderno: armar nuestros sistemas de salud contra el ransomware. Al defender el análisis de riesgos, fomentar la conciencia de ciberseguridad, segmentar nuestras redes y asegurar nuestros activos conectados, podemos honrar nuestro compromiso más profundo de no causar daño. Esta es nuestra llamada a la acción, un compromiso para salvaguardar la santidad de la atención médica en cada byte y cada interacción.
Incorporar tecnologías avanzadas es fundamental en este esfuerzo, brindando a las organizaciones de prestación de atención médica herramientas valiosas para mitigar riesgos y asegurar entornos digitales. Este enfoque se alinea con nuestro deber profesional y nos empodera para mantenernos un paso adelante de las amenazas cibernéticas en evolución. Transformemos este juramento en nuestro credo de ciberseguridad, asegurando que la seguridad y la confianza de nuestros pacientes en la tecnología permanezcan intactas.