¿Qué tan vulnerables son los hospitales a los ataques de ciberseguridad?

Michael Ash, DDS, PMP, ITIL

Socio asociado, Estrategia de seguridad Riesgo y cumplimiento, Seguridad de IBM

“Como consultor de ciberseguridad en el sector de la salud, a menudo los directores de salud me hacen las mismas preguntas, y con mayor frecuencia los CIO y CISO están preocupados por su riesgo, pero no aprecian del todo el panorama de amenazas específico. Muchos se sorprenden al saber que 1: 3 tenía registros de salud comprometidos en 2015. Cuando considera que el año pasado se vieron comprometidos más de 100 millones de registros, es evidente que los hospitales son vulnerables a los ataques.

Los registros de atención médica son un objetivo de valor increíblemente alto que vale 100 veces más que las tarjetas de crédito en el mercado negro. La razón por la cual su valor es tan alto es que los registros de salud contienen datos inmutables lo que significa que no se cambian fácilmente: SSAN, direcciones pasadas y presentes, información de contacto, datos de seguros que la hacen valiosa durante mucho tiempo en términos de robo de identidad o fraude de seguros.

La razón por la cual la atención médica es vulnerable es a pesar de que tienen registros de alto valor, como grupo, gastan el 3% o menos de su presupuesto de TI en seguridad, en comparación con más del 13% para otras industrias. Esto significa que tienen recursos limitados, combinados con un personal, que muchas veces, debido a las condiciones del mercado, no tienen la experiencia o capacitación brindadas a otras industrias. Combine esto con la lucha constante entre el acceso fácil y rápido a los datos clínicos por parte de médicos, enfermeras y la paciencia contra la necesidad de una seguridad más estricta y más estricta.

La asistencia sanitaria también es única en lo que respecta al riesgo de seguridad, ya que son una federación flexible de sistemas con un equilibrio fino entre usabilidad y seguridad. Además, a diferencia de otras industrias, el cuidado de la salud tiene múltiples superficies de ataque:

– Sistemas electrónicos de registro médico (EMR)

– Sistemas e interfaces de terceros (pagadores, transcripciones, etc.)

– Dispositivos médicos, muchos de los cuales no tienen control sobre el sistema operativo o los niveles de seguridad

– Proveedores y contratistas remotos que ellos mismos introducen riesgos

– Acceso en línea para pacientes y dispositivos móviles

Esto significa que, aunque superan las auditorías HIPAA, no cuentan con la infraestructura de seguridad para protegerse contra los ataques de otras industrias. Con su falta de fondos en seguridad (tanto software como servicios), la atención médica seguirá siendo un objetivo de oportunidad independientemente de su cumplimiento de los estándares de cumplimiento … La única manera de solucionar este problema es que la atención médica debe enfocar más sus recursos en proteger el datos vitales que se les confía.

Algo que no tengo espacio para cubrir aquí, pero es otro riesgo importante para la atención médica debido a que sus datos sensibles al tiempo son Ransomware. Para obtener más información sobre Ransomware, así como enlaces a recursos específicos de atención médica, consulte mi artículo ‘Ransomware y atención médica: hay más en riesgo que solo dinero’.

Espero que hayas encontrado esto útil! ”

Cualquier información que IBM proporcione no es asesoramiento legal.

Año tras año, el terrorismo adquiere más conocimiento tecnológico y, en algún momento, van a comenzar a atacar nuestra infraestructura y la atención médica es una parte importante de nuestra infraestructura. Es posible piratear los dispositivos médicos conectados a los pacientes, así como los sistemas que monitorean las condiciones y el cuidado del paciente. También modificar un registro médico para decir, cambiar las alergias de alguien, cambiar los medicamentos a los que son alérgicos, cambiar su historial médico para decir, quizás hay diabéticos o no son diabéticos.

Los hospitales deben priorizar la ciberseguridad porque es una batalla constante contra las nuevas tecnologías. El malware bloqueó el acceso a los registros de los pacientes hasta que el hospital pagó un rescate a los ciberdelincuentes. Obtener un conocimiento excelente sobre ciberseguridad es la mejor manera de defender los ciberataques. Comunidad de profesionales de Cyber ​​Risk & Compliance | Digital Healthcare | Comunidad de Opsfolio: esta comunidad de seguridad cibernética es una buena fuente para obtener conocimientos sobre ciberseguridad, Cumplimiento de HIPAA, etc.

Los hospitales o cualquier otra institución enfrentan los mismos desafíos de seguridad. Cada industria tiene su respectivo estándar de seguridad a seguir: PCI DSS para empresas que aceptan tarjetas como pagos; HIPPA (EE. UU.) O PHIPA (Canadá) para instituciones de atención médica e investigación que recopilan información personal, de salud, etc.

La vulnerabilidad de estas instituciones depende de su programa de seguridad de datos. Su esfuerzo de cumplimiento es uno de los muchos indicadores.

Los estándares de seguridad, el cumplimiento y las mejores prácticas no son nuevos. Ellos han estado alrededor. Las instituciones, debido a limitaciones de recursos y otras razones, eligen ignorarlo. Hay casos en los que el gobierno participa en un esfuerzo por mejorar la seguridad de los datos para mantener la seguridad pública. Sin embargo, la mayoría de esto es reactivo en lugar de proactivo.

Las instituciones que toman en serio su seguridad deberían ser recompensadas, y los que están rezagados deberían ser multados. En el caso de un compromiso de datos, la pérdida financiera para la organización puede ser insustancial, pero el costo incurrido para el público es significativo.

En teoría, se encuentran entre los usuarios de datos importantes menos propensos a tener problemas de seguridad debido al hecho de que la ley (HIPAA) requiere seguridad hermética. HIPPA se considera uno de los estándares de seguridad más fuertes en el mundo civil.

El problema surge cuando los proveedores de servicios de salud utilizan sistemas operativos y entornos de hospedaje menos seguros. Aunque el artículo no lo dice, estoy dispuesto a apostar que uno (o ambos) de lo siguiente es cierto para las operaciones de MedStar: 1) Usaron Windows u otros SO inseguros y / o 2) no se apegaron a la interpretación más estricta de HIPAA.

La versión más estricta de HIPPA requiere que no se guarden registros de EMR en un sistema público, con público definido como directamente accesible desde Internet. Si al menos uno de los anteriores fuera falso, ninguno de los posibles vectores de ataque en el artículo sería posible.

La magnitud de una violación de seguridad a menudo se intensifica si los registros son robados de un sistema médico o una base de datos de salud. Dado que la información del paciente es altamente confidencial, es imprescindible proteger y proteger estos datos durante todo el día para evitar cualquier uso indebido de información médica. La mayoría de las infracciones de seguridad son el resultado de riesgos y ataques de fuerzas externas que se originan en el ámbito digital. Sin embargo, en retrospectiva, los riesgos internos en la forma de un usuario que accede a los datos con un motivo nefasto también pueden conducir al mal uso de los datos, lo que hace que los riesgos internos sean más amenazantes que los externos. Lee mas….

La asistencia sanitaria ha sido un punto débil durante años. He hablado de este tema con los medios, a través de blogs y en conferencias muchas veces. El hecho es que la función principal de los hospitales es ganar dinero brindando atención médica. Para hacerlo, necesitan ahorrar dinero y obtener los mejores profesionales de la salud, ninguno de los cuales requiere seguridad. Lo que acabamos de escuchar de los profesionales de la seguridad sanitaria es que los Doctores dictan seguridad, si perciben que esto los ralentiza o no, o si realmente los ralentiza, puede perjudicar su capacidad de salvar vidas o alcanzar objetivos de ingresos. Tradicionalmente, este ha sido un área madura para el ataque y los brotes de virus.

La verdad es que las soluciones de seguridad actuales se pueden implementar y operar con poco impacto en la atención del paciente. El impacto de cuidar cuando hay un brote de virus o un ataque dirigido es mucho más significativo. El profesional de seguridad de la salud de hoy está en el primer plano de la batalla contra los actores de ataques maliciosos. Es imperativo que comiencen a implementar soluciones que protejan su entorno, permitiendo una atención médica más segura e ininterrumpida que deje a los médicos, enfermeras y otros proveedores de atención médica en condiciones de realizar su trabajo.

Mientras veamos productos de seguridad gratuitos en estos entornos o productos mal configurados y mal configurados, siempre tendremos un problema en este campo.

Un informe reciente de Sophos, un líder en seguridad de punto final y red de última generación, dice que el ransomware fue el más afectado por el ransomware con el 76% de las entidades en el segmento admitidas como afectadas por el software malicioso. Lea más sobre este informe aquí – ¡Su salud, su riqueza!

El sistema de respaldo y recuperación permite que Methodist Hospital recupere el control después del ataque de Ransomware

Cadena del Centro de Cáncer: Ataque de hackers afecta a 2.2 millones

Philips, Symantec, Anthem, ejecutivos de Sutter Health entre profesionales aprovecharon el panel de seguridad cibernética del HHS

es una combinación de procedimientos de seguridad laxos, población de empleados con bajo conocimiento y múltiple. sistemas antiguos

¿Qué hace que los hospitales sean tan atractivos para los hackers?

El problema será más peligroso si consideramos los dispositivos médicos conectados, especialmente los dispositivos de seguridad y salvamento instalados en los hospitales. En los EE. UU., La FDA ( Food and Drug Administration, Administración de Alimentos y Medicamentos) está ahora en el registro y exige que los fabricantes evalúen los riesgos de seguridad y mantengan la funcionalidad y seguridad de los dispositivos médicos a través de controles de ciberseguridad cuidadosamente seleccionados. Ya es hora de asegurar las redes con auditorías y documentación periódicas.

He estado utilizando Opsfolio y sus soportes para nuestro marco de riesgo de ciberseguridad, realizando evaluaciones integrales, implementando estándares de seguridad cibernética y documentando su infraestructura, amenazas y vulnerabilidades

Este artículo de Software Development Company Archer Software puede ser útil:

Lista de ciberseguridad hospitalaria para 2018