Caso de uso

Sanitario

Por undécimo año consecutivo, el mercado de la salud tiene los costos promedio más altos de violación de datos

Los costos de filtración de datos en el sector sanitario aumentaron de un costo total medio de 7,13 millones de dólares en 2020 a 9,23 millones de dólares en 2021, un aumento del 29,5 %.

Un objetivo atractivo

La industria de la salud fue el objetivo de cientos de ciberataques en 2021. La violación de datos informa la exposición de decenas de millones de registros de salud a partes no autorizadas.

Las violaciones masivas de datos provocan ataques de ransomware. Los hospitales son objetivos perfectos ya que tienen grandes cantidades de datos que los ciberdelincuentes pueden encriptar y defensas débiles para prevenir ataques. Los hackers tienden a atacar el mercado de la atención médica, ya que la industria trata con datos confidenciales que se consideran valiosos en el submundo de los ciberdelincuentes.

Un ataque de ransomware implica piratear una red, cifrar sus datos y exigir un rescate. Por lo general, se paga con criptomonedas para desbloquearlo.

Ha habido innumerables ataques contra hospitales, planes de salud, laboratorios farmacéuticos y otros proveedores de servicios en esta área, en varios países:

  • Utah Imaging Associates (UIA): una filtración de datos afectó a 582.170 personas y expuso su información personal.
  • Se filtraron registros médicos altamente confidenciales, incluidos detalles de abortos, pruebas de VIH y problemas de salud mental después de un ciberataque sufrido por el NHS, el Servicio Nacional de Salud británico.
  • Un ataque masivo de ransomware afectó a nueve hospitales e instituciones de salud en Israel, interrumpiendo la continuidad del servicio.
  • Los hackers violaron el sistema de salud del Departamento de Salud de Florida (DOH-Broward), exponiendo datos sobre más de 1.3 millones de personas que usaron sus servicios.
  • Grupo Fleury, en Brasil, fue blanco de un ciberataque, provocando cortes de sistemas por varios días, afectando a clientes y hospitales.

Además de la fragilidad de la seguridad de la información en el sector de la salud, numerosos incidentes tienen su origen en las cadenas de suministro, lo que demuestra cuán vulnerables son los hospitales y las organizaciones de atención médica a los ataques de hackers. Con respecto a los casos anteriores, dos de ellos se derivaron de ataques a la cadena de suministro:

  • Stor-A-File, una empresa británica de almacenamiento de datos cuyos clientes incluyen prácticas médicas, fondos de hospitales, consejos locales, bufetes de abogados y contadores, fue la fuente del ataque que resultó en una fuga de datos de NHS.
  • En el caso del DOH-Broward, los atacantes accedieron a las redes informáticas a través de un proveedor médico externo.

Las regulaciones pueden ayudar, pero no son suficientes

En los EE. UU., la norma de notificación de infracciones en virtud de la Ley de Portabilidad y Responsabilidad de Seguros de Salud en Estados Unidos (HIPAA, por sus siglas en inglés) exige que las organizaciones de atención médica divulguen una infracción si afecta a más de 500 residentes de un estado o jurisdicción. Según HIPAA, solo en 2021 se expusieron o robaron aproximadamente 45 millones de registros de salud en violaciones denunciadas.

Un residente de Florida presentó una demanda contra UF Health Central Florida luego de que una violación de datos expusiera potencialmente la información de más de 700.000 personas. Acusó al sistema de no proteger adecuadamente la información de identificación personal de los usuarios del sistema de salud.

Los líderes de TI afirman que la seguridad es una prioridad principal para las organizaciones. Sin embargo, el nivel de amenaza ha evolucionado y se ha intensificado, al igual que los métodos utilizados y la sofisticación de los ataques de los ciberdelincuentes. Sin embargo, desde las juntas directivas y demás directores aún existe el entendimiento de que la seguridad es un costo y no una inversión que pueda evitar este tipo de ocurrencias, garantizando la continuidad del negocio y protegiendo los intereses de los accionistas y demás grupos de interés.

Los ataques de ransomware han llevado a las juntas directivas y ejecutivos de los hospitales a invertir más en recursos humanos, aumentando el presupuesto para enfrentar los desafíos de ciberseguridad. El cambio de mentalidad en Seguridad de la Información en los Consejos, que no tienen la misma experiencia en tecnología que en el área técnica, está evolucionando rápidamente. Este cambio se debe a fugas de datos, escenarios de amenazas y paralización de operaciones, dado el potencial de daños por ataques a dispositivos médicos conectados a sus redes.

Desde marzo de 2020 hasta septiembre de 2021, el 82 % de los hospitales sufrió ciberataques dirigidos a dispositivos de IoT. Incluso con impactos bajos, estos ataques pueden ser altamente destructivos. Las tendencias recientes en los ataques cibernéticos enfatizan la necesidad ineludible y urgente de fortalecer las estructuras de seguridad cibernética en las organizaciones de atención médica.

Estas amenazas sugieren una metodología de seguridad unificada para TI y TO. Debe defenderse contra la evolución de escenarios peligrosos, abordarlos y eliminar los puntos vulnerables.

Zero Trust: elevar el nivel de exigencia

La adopción del concepto de arquitectura Zero Trust es un camino que tiende a generar resultados positivos. En el concepto Zero Trust, no se asume ninguna confianza en las redes, dispositivos o usuarios, desplegando una autenticación de usuario permanente en tiempo real.

Una encuesta realizada por Symmetry Systems y Osterman Research publicó un informe de 125 tomadores de decisiones de TI y seguridad en organizaciones medianas y grandes que detalla cómo planean implementar la arquitectura Zero Trust: el 53 % de los encuestados mencionó el ransomware como su principal motivador. Los ejecutivos que participaron en la encuesta dicen que una arquitectura basada en Zero Trust podría aumentar las protecciones de seguridad cibernética para evitar filtraciones de datos hasta en un 144 %.

La transformación digital evidenciada por la hiperconectividad debido al aumento en la cantidad de dispositivos móviles, servicios en la nube y trabajo remoto desafía el concepto de Zero Trust, aumentando su complejidad de adopción.

El caso brasileño

Las primeras acciones apuntan a algunos métodos habituales para llevar a cabo un ataque. La adopción de la autenticación sin contraseña, que garantiza el no repudio del usuario, evita una de las principales vulnerabilidades de seguridad: el robo de credenciales mediante ataques de phishing y malware. Este método permitirá que médicos, enfermeras y otros profesionales de la salud accedan al portal web del hospital sin usar contraseñas.

El hospital implementará un método similar para que los pacientes puedan acceder a sus exámenes en el futuro, mitigando aún más los riesgos de seguridad y mejorando la usabilidad, ya que ya no será necesario usar contraseñas.

Debido a este escenario desafiante, que tenderá a empeorar en los próximos años, el mayor hospital del Sur de Brasil adoptó Zero Trust.

Los profesionales de TI accederán a activos críticos (servidores, sitios web, bases de datos, servicios en la nube y más) en una interfaz única y segura. Los usuarios solo acceden a los sistemas necesarios para realizar sus actividades, y no tendrán acceso a las credenciales de los sistemas. Esta solución evita acceder a sistemas y dispositivos fuera de la Plataforma de Gestión de Activos Críticos. En una configuración de seguridad más robusta para sistemas con alto grado de criticidad, se puede configurar el acceso exclusivo a través de la Plataforma, evitando así otro tipo de ataques como DDoS (distributed denial-of-service, en español, ataque de denegación de servicio).

Cualquier acceso a los sistemas, independientemente de dónde se encuentren (en la oficina o de forma remota), pasa por un túnel seguro. Elimina otro riesgo potencial de VPN (Virtual Private Network, en español, red privada virtual), vulnerable y utilizado en varios ataques recientes. Además, reduce la reducción de costos por la sobrecarga de la administración de VPN.

La Plataforma también hace posible la gestión de redes de TO, especialmente los nuevos equipos y dispositivos IoT que requieren una conexión a Internet. El procesamiento de datos en un sistema TI crítico debe ser el mismo que el del equipo hospitalario ya que, cada vez más, estos dos mundos comienzan a coexistir para satisfacer la demanda de transformación digital a través de una plataforma única e integrada, facilitando la gestión.

La arquitectura Zero Trust no se restringe solo a los empleados del hospital, sino también a toda la cadena de suministro que, de alguna manera, necesita acceder a los sistemas de TI y al equipo del hospital. La cadena constituye uno de los principales problemas, exponiendo cuán vulnerable es su red en ese punto.

Además de una seguridad sólida, la implementación de la arquitectura Zero Trust también aborda el cumplimiento del Reglamento general de protección de datos. Audita cada acción a través de registros, registro de pulsaciones y grabación de sesiones de video, lo que permite el seguimiento en los sistemas corporativos.

Ciberseguridad:
Un ciclo continuo

Promover una cultura de ciberseguridad, como implementaciones técnicas, no importa y no puede quedar únicamente en manos de TI, sino que debe ser parte del lineamiento de la organización institucional en su conjunto y parte de un ciclo continuo.

La Ley General de Protección de Datos, en sus líneas, obligó al correcto manejo y almacenamiento de los datos sensibles, convirtiéndose en tendencia internacional. Sin duda, aumenta la protección de los datos sanitarios.

Los hospitales guardan información sensible en archivos, registros médicos, pruebas de laboratorio e imagenología, e informes diversos, exigiendo la adopción de soluciones de ciberseguridad lo suficientemente robustas para proteger los derechos de los pacientes y otras partes interesadas, mitigando los riesgos asociados al desempeño de sus actividades.

En los casos mencionados anteriormente, en los que las brechas y fugas de datos contenían información de este tipo, podemos estimar el potencial disruptivo —en términos financieros y de reputación— que su mal uso podría causar a las instituciones sanitarias que controlan estos datos. No importa cuándo en sus sistemas o en los de los proveedores de servicios.

Adicionalmente, la Ley General de Protección de Datos determina sanciones al responsable del tratamiento que no mantenga correctamente los datos personales conforme a sus disposiciones. El reglamento enumera medidas punitivas desde una advertencia hasta sanciones hasta la interrupción forzosa de los negocios de la organización que viola sus preceptos.

Por lo tanto, las organizaciones de atención médica se deben adherir a soluciones que eviten las infracciones y las fugas de datos. Dicha tecnología debería fortalecer la autenticación de los sistemas y dispositivos, protegiendo los datos de los pacientes y su flujo.

La sanidad debe adoptar medidas técnicas y administrativas siguiendo las mejores prácticas de Seguridad de la información, utilizando el cifrado de datos en origen, para mantener el anonimato y reforzar la gobernanza de datos que fomenta la Ley General de Protección de Datos.

Las medidas técnicas tienen como objetivo preservar las operaciones, proteger los datos y los servicios de salud, y adaptarlos a las mejores prácticas y políticas de Seguridad de la información. También garantiza el cumplimiento de las normas de Protección de Datos Personales, como la Ley General de Protección de Datos y las recientes normas de datos de IoT en los EE. UU. y el Reino Unido. Desafortunadamente, no existe una regulación similar en Brasil, pero pronto debería tener lugar ya que la LGPD siguió al RGPD.

Retorno de la inversión con Zero Trust

Reducción del riesgo de violación de datos

La reducción del riesgo de violación de datos puede llegar hasta un 50 %

Economía

En empresas medianas y grandes, los ahorros pueden llegar a $ 20 por empleado por mes. La Auditoría avanzada puede reducir hasta en un 25 %.

Eficiencia

Las llamadas de soporte técnico se pueden reducir hasta en un 50%. La agilidad para entregar nueva infraestructura se puede reducir hasta en un 80 %.

RGPD – Resumen de multas y sanciones

2020

AOK

€ 1.240.000

Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información

2021

Danish

€ 107.000

Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información

2022

Akademiska

€ 152.000

Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información

¿Cómo funciona?

¿Cómo funciona?

1 Terminar con el uso de contraseña en la aplicación móvil

2 Terminar con el uso de usuario y contraseña en la WEB

3 Validación de transacciones mediante clave criptográfica

4 Cifrado de datos en origen

4 La transacción se puede firmar con la clave privada.

Data Center Azure