Prevenir ciberataques a hospitales para proteger la información de los pacientes

Hollywood. Es famoso en todo el mundo por sus películas, celebridades, ostentación, glamour y, a partir del febrero 2016, uno de los ataques cibernéticos y violaciones de seguridad de TI más publicitados en la historia de la atención médica.

Un hospital en el área que lleva el nombre de Hollywood se convirtió en el objetivo más reciente de un ciberataque de alto perfil. Fue víctima de un hacker de ransomware que tomó el control de la computadora/sistema de TI del hospital y lo bloqueó hasta que el hospital pagó $17,000.

Si bien el ransomware ha existido durante varios años, el ataque realmente lo puso al frente de la conciencia pública y sirvió como un recordatorio de que los hospitales y los sistemas de atención médica son objetivos y son susceptibles a los ataques de los ciberdelincuentes.

Los medios y el motivo

Los minoristas se han enfrentado a la amenaza de los piratas informáticos desde los albores de Internet. Sin embargo, la industria de la salud no fue un foco de atención para la parte más oscura del mundo cibernético hasta 2009, con el paso de la Ley de alta tecnología.

El proyecto de ley movió los datos de atención médica en línea y promovió la adaptación generalizada de los registros de salud electrónicos. Cada vez que un tesoro de datos personales se mueve en línea, automáticamente se convierte en un objetivo para el fraude y/o la extorsión, independientemente de la industria.

Si bien a las personas les preocupa, con razón, que les roben la información de su tarjeta de crédito, la información de salud es un objetivo aún más atractivo para los delincuentes. ¿Por qué?

"Los registros de salud de pacientes robados pueden costar hasta $363 por registro, según datos del Ponemon Institute, que es más que cualquier otro dato de cualquier otra industria", señala un reciente Instituto INFOSEC. artículo. La historia continúa afirmando que más de 29 millones de estadounidenses han tenido su información de salud pirateada desde 2009.

Pilares de un programa de información de atención médica segura

Dado el mercado en la dark web para registros de salud personales, corresponde a los hospitales y sistemas de salud hacer todo lo posible para prevenir ataques cibernéticos y proteger los datos de los pacientes.

Baylor Scott & White Health cree que un programa eficaz de seguridad de la información requiere un enfoque multifacético en capas.

Ser realista. Un buen programa de seguridad de la información de salud es realista sobre lo que funciona y lo que no, y realista sobre la prevención de todo acceso no autorizado. En otras palabras, en un gran sistema de salud como Baylor Scott & White, con miles de usuarios y miles de dispositivos en cientos de ubicaciones, es imposible mantener alejados a los malos a perpetuidad. Por lo tanto, es crucial poder limitar el daño que un pirata informático o un usuario no autorizado pueden causar.

Practica la higiene básica. No son exactamente las cosas geniales y de vanguardia sobre las que lee en las revistas comerciales de TI, pero mantener los parches, los firewalls y el cifrado actualizados y actualizados en todos los dispositivos de la organización es crucial para evitar que se exploten las debilidades. Hay una razón por la cual los fabricantes emiten parches y realizan actualizaciones.

Sólido acceso y gestión de ID. La gestión de ID/usuarios suele ser uno de los aspectos más desafiantes de la seguridad de la información dado el tamaño de la fuerza laboral empleada por los sistemas de atención médica y la cantidad de entornos (hospitales, clínicas, prácticas, etc.). Tener un programa implementado para incorporar y retirar personal de manera efectiva, otorgando y revocando rápidamente el acceso a los sistemas, es la piedra angular para poder restringir el acceso a los sistemas.

Evaluaciones Internas y Externas. Un buen equipo de seguridad de la información es como un equipo de guardias de seguridad que constantemente hacen rondas, verifican las puertas y las cerraduras y buscan debilidades. Ser proactivo en la búsqueda de vulnerabilidades es vital para descubrir qué debe repararse y dónde y cómo implementar los recursos.

Apalancamiento de los compañeros. Hablar con homólogos en otras organizaciones de atención médica y grupos de la industria de seguridad de la información sobre lo que están viendo en cuanto a ataques, y también los protocolos que han probado que funcionaron y no funcionaron es vital para planificar el futuro y saber qué tipos de ataques pueden ocurrir. convirtiéndose.

Conciencia. Conciencia. Conciencia. Desde la ingeniería social hasta el phishing y la administración de ID, es fundamental asegurarse de que los empleados estén informados sobre cómo los delincuentes pueden intentar obtener acceso a los sistemas. A menudo, los miembros regulares del personal son la primera o la última línea de defensa para detener un ataque o contenerlo.

No existe un sistema o programa perfecto para prevenir todos los ataques de los tipos con sombreros negros. Pero un enfoque integral de la seguridad de la información puede contribuir en gran medida a mantener los datos más importantes, la información del paciente, fuera de sus manos.