Sistemas hospitalarios objetivo de Cibercriminales

Un estudio del Departamento de Salud y Servicios Humanos de Estados Unidos, reveló cifras escalofriantes que nos confirman cuán vulnerable es nuestra información de salud.

Estas infracciones se publican en línea en el sitio web del HHS para que el mundo las vea. Esta lista se conoce en los círculos de HIPAA (Health Insurance Portability and Accountbaility Act – Ley de Portabilidad y Responsabilidad del Seguro Médico) como el “Muro de la vergüenza”. El sitio web permite la descarga de la lista en Microsoft Excel e incluye información como el nombre de la entidad cubierta responsable de la violación, cuando se informó, el número de individuos afectados por el incumplimiento y breves resúmenes de los casos de incumplimiento que OCR ha investigado y cerrado.

Según la investigación, los datos de 32 millones de personas fueron expuestos en los sistemas hospitalarios de EE.UU. en lo que va del año, causados por 311 ciberataques a proveedores de atención médica.

https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

Es una cifra considerable tratándose de un sector que “en teoría” no debería ser tan interesante para los hackers. Pero la historia es otra, pues los sistemas hospitalarios representan “el punto débil” en la ciberseguridad en Estados Unidos.

Una firma de seguridad descubrió varias brechas de seguridad en los sistemas hospitalarios que permiten un mayor acceso a los maleantes.

“Los hospitales son un objetivo atractivo para los ciberdelincuentes”, dijo John Riggi, asesor principal de seguridad cibernética de la Asociación Estadounidense de Hospitales.

¿Por qué son tal vulnerables los hospitales en la ciberseguridad de EE.UU.?

De acuerdo con los analistas, los hospitales manejan big data relacionada con los pacientes, que muchas veces va segmentada en registros y sistemas diferentes.

Desde los registros médicos, las historias, sistemas de facturación, hasta las apps móviles que monitorean la salud son un foco para los hackers.

Debido a que el principal objetivo de estos atacantes es causar el caos, los hospitales sin duda son su principal objetivo aunque muchos no lo crean.

“Los ciberdelincuentes saben que son un blanco fácil donde pueden acceder a los registros de pacientes y a los números de seguridad social y otra información”, dijo Suzanne Schwartz, subdirectora del centro de dispositivos de la FDA en una entrevista.

Los 5 incumplimientos de seguridad recientes de HIPAA:

1. Agencia de Colección Americana

  • Pacientes afectados: 25 millones
  • AMCA es una compañía de cobranza médica que separa a varios grandes clientes nacionales de salud. En mayo, la compañía reveló que fueron atacados durante un período de ocho meses desde el 1 de agosto de 2018 y el 30 de marzo de 2019. HealthcareIT Security informó recientemente que 12 millones de datos de pacientes de Quest Diagnostic y 7.7 LabCorp se vieron afectados como parte de esta violación.

2. Dominion National

  • Pacientes afectados: 2.6 millones
  • En junio de 2019, Dominion National, una aseguradora y administradora de beneficios dentales y de la vista, informó que identificó un evento de acceso no autorizado. Una revisión posterior de la violación por parte de una empresa de seguridad de terceros determinó que el ataque puedo haber comenzado ya en agosto de 2010. Los servidores comprometidos estaban determinados a contener información demográfica del paciente de miembros actuales y anteriores del plan.

3. Grupo de salud Inmediata

  • Pacientes afectados: 1,57 millones
  • Los datos de 1,57 millones de Inmediata Health Group se expusieron en enero de 2019. Una investigación posterior determinó que una base de datos mal configurada permitía indexar las páginas web de operaciones comerciales internas en los motores de búsqueda públicos. Además, durante el proceso de notificación de incumplimiento, varios miembros del plan, informaron haber recibido las notificaciones en sus hogares, dirigidas a diferentes pacientes. Los datos de incumplimiento incluyen información personal, datos de reclamos e información demográfica.

4. UW Medicine

  • Pacientes afectados: 973,000
  • En diciembre de 2018, se descubrió que un servidor mal configurado daba como resultado que los archivos internos fueran accesibles públicamente en Internet. Los datos de incumplimiento incluyeron estudios de investigación, laboratorios y grandes volúmenes de datos personales.

5. Soluciones de Wolverine

  • Pacientes afectados: 600,000
  • WSG fue víctima de un ataque de ransomware en septiembre de 2018. Sin embargo, muchos proveedores no fueron informados hasta 2019 que fueron afectados por la violación. Blue Cross Blue Shield de Michigan y seis sistemas de salud fueron identificados como afectados.
  • Fuente: https://linfordco.com/blog/hipaa-security-breaches/

¿Cuál es la penalización por una violación de HIPAA enEE.UU. ?

Las multas federales por incumplimiento se basan en el nivel de negligencia percibida dentro de su organización en el momento de la violación de HIPAA. Estas multas y consecuencias pueden variar de $ 100 a $ 50,000 por violación (o por registro), con una multa máxima de $ 1.5 millones por año por cada violación. Vea nuestra tabla de multas de HIPAA a continuación para obtener la lista completa de multas de HIPAA.

Soluciones a la problemática

Lamentablemente las políticas de administración hospitalaria no consideran los ataques informáticos como una prioridad, en este sentido básicamente el propio organismo estaría permitiendo a los ciberdelincuentes acceder a los sistemas por el simple hecho de no pagar una actualización, señala la fuente.

“Los fabricantes de dispositivos médicos sugieren a los hospitales reemplazar máquinas que solo necesitan una actualización de software”, afirma Jhon Riggi.

Mientras que Tom Doland, un investigador de seguridad dijo: “Y el hospital no lo hará, porque eso cuesta un montón de dinero”.

Aunque actualmente la Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés) de EE.UU, afirma que su supervisión de ciberseguridad se enfoca en los dispositivos médicos, estos no incluyen los equipos que se conectan a través de Internet, como aplicaciones móviles de la salud, dejando una brecha de seguridad considerable.

Sin embargo, los proveedores de seguridad como MedCrypt y Forescout recomiendan que se utilicen dispositivos médicos o de red con funciones de seguridad integrada. No obstante, cuando se trata de organismos públicos el ente encargado es quien tiene la última palabra.

Ciberseguridad en Colombia

El sector de la salud ha estado bajo creciente ataque de los ciberdelincuentes con una variedad de tácticas y motivaciones. De hecho, los ataques cibernéticos dirigidos a los proveedores de atención médica aumentaron un 53% en 2018. La información de salud protegida y otra información de identificación personal de pacientes que las empresas de atención médica almacenan es exactamente el tipo de datos que se monetizan fácilmente por los ciberdelicuentes.

¿Por qué las PyMEs del sector salud son vulnerables?
Hay tres factores principales que están aumentado la posibilidad de que las PyMES médicas sean victimas de ciberataques:

  1. Las PyMEs tienden a caer en la trampa de pensar que son demasiado pequeñas para ser blanco de los ciberdelincuentes. Sin embargo, pensar de esta manera es un grave error. Los ciberdelincuentes no se fijan en el tamaño del empresa sino en los datos que poseen y el tiempo y esfuerzo que tomará conseguirlos. Las PyMEs tienen la misma información de los pacientes que las grandes empresas, solo en una escala menor.
  2. Las PyMEs también se enfrentan al reto de los limitados recursos de TI. En la actualidad existe una notable escasez de profesionales experimentados en ciberseguridad, lo que significa que las organizaciones más pequeñas normalmente no tienen el personal de TI necesario para detectar y responder a las amenazas sofisticadas de hoy en día de manera oportuna y mucho menos para desplegar el tipo de seguridad de clase empresarial que a menudo se requiere para repeler tales ataques.
  3. Los proveedores de salud están aumentando el nivel de atención que prestan utilizando información clave de los pacientes a través de redes sociales como Whatsapp, smarthphone, correo electrónico e Internet de las Cosas Médicas (IoMT). Si bien esto es bueno para los médicos y pacientes, el aumento del número de dispositivos de terceros que acceden a la red, especialmente aquellos que no están diseñados pensando en la seguridad, también significa un panorama de amenazas más amplio.

En Colombia la ley 1581 de 2012, regula el tratamiento de los datos personales y en el artículo 5, la Ley señala como categoría de datos especiales a los datos sensibles, “se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación”.

Las organizaciones y personas que recolecten, transmitan y almacenen información personal en historias clínicas, exámenes de laboratorio, información de seguros, entre otros, deberán asegurar que la información cumpla con lo estipulado en la Ley o se pueden enfrentar a multas y otras medidas sancionatorias.

Uno de las clínicas sancionadas fue Colmédica medicina prepagada en 2018 por falta al principio de circulación restringida de la ley 1581, el cual establece el deber de conservar la información personal bajo condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta o acceso no autorizado o fraudulento. La infracción se presenta cuando se presenta divulgación masiva de información privada en una página web de la institución medica. La sanción fue por $312 millones de pesos.

Fuente: https://www.sic.gov.co/sanciones-2018

Solo queda esperar que las instituciones, clínicas y hospitales en Colombia comiencen a tomar muy enserio el tema de la Ciberseguridad y que realicen procesos de diagnostico, evaluación, gestión y mejora para evitar ser victimas de los ciberdelincuentes que generan perdidas económicas ademas de la confianza de sus usuarios y pacientes.