Cómo prevenir las filtraciones de datos sanitarios

¿Qué ocurre si un médico de urgencias no tiene acceso a la historia clínica de un paciente?

Peor aún, ¿y si ese paciente está solo e inconsciente?

Sin historias clínicas, los médicos podrían pasar por alto datos críticos que cambiarían por completo el curso del tratamiento, como una alergia a un medicamento potencialmente mortal. Los médicos necesitan disponer de información precisa 24 horas al día, 7 días a la semana, desde la llegada del paciente.

Y la asistencia sanitaria ya no se limita a las paredes de un hospital. El recorrido del paciente desde el ingreso hasta el alta -conocido como bucle perioperatorio- incluye ahora laboratorios, farmacias, otras organizaciones de prestación de asistencia sanitaria (HDO) y otras entidades.

Todos ellos necesitan acceso en tiempo real a información actualizada sobre los pacientes.

Eso es lo bueno de los sistemas de historia clínica electrónica (HCE). Los sistemas de HCE nos permiten compartir datos clínicos con los pacientes y otros participantes en el circuito perioperatorio.

Las HCE nos ayudan a ofrecer una atención sin fisuras y mejores resultados a los pacientes. Pero este vasto ecosistema digital corre cada vez más riesgo de sufrir una filtración de datos y, a medida que el bucle perioperatorio sigue ampliándose, la seguridad de los datos sanitarios se está quedando peligrosamente atrás.

Como alguien que trabaja en primera línea, sé que estará de acuerdo en que el sector sanitario necesita una intervención desde hace tiempo.

1. Estado de la seguridad sanitaria
2. 5 pilares de la seguridad sanitaria digital
3. Consecuencias de las filtraciones de datos sanitarios
4. Prevención de las filtraciones de datos sanitarios

La sanidad se encuentra en plena transformación.

Los sistemas de HCE están haciendo posible que los hospitales y otras organizaciones compartan y colaboren en tiempo real. Los macrodatos permiten a las HDO responder de forma proactiva a las nuevas necesidades de los pacientes. Y los dispositivos médicos conectados están ampliando los límites de la asistencia más allá de la habitación del hospital.

Estas tendencias contribuyen a mejorar y agilizar la asistencia y a obtener resultados más positivos para los pacientes.

Pero también ponen de manifiesto hasta qué punto nos hemos quedado rezagados a la hora de establecer normas para proteger los sistemas que los sustentan.

La gestión de la información sanitaria protegida (PHI) es uno de los mayores retos a los que se enfrentan hoy en día las organizaciones sanitarias.

Imagínese todas las docenas de estaciones de trabajo, dispositivos móviles y dispositivos médicos que almacenan y transmiten datos bajo su techo en este momento , por no hablar de todos los datos que tiene en la nube.

Su organización tiene la obligación legal de mantener a salvo el historial de cada uno de sus pacientes. Esto significa proteger no solo la red, sino todos y cada uno de los dispositivos que la componen.

Y como profesional de las TI sanitarias, usted ya sabe que las HDO están lamentablemente atrasadas cuando se trata de conseguirlo.

Las operaciones de seguridad sanitaria suelen carecer de personal suficiente. No es raro encontrar a un único y heroico administrador de sistemas asumiendo el trabajo de 20 personas.

Irónicamente, parte de este retraso en la seguridad de los historiales electrónicos tiene que ver con la presión para implantarlos. Desde la promulgación de la Ley de Asistencia Sanitaria Asequible en 2009, gran parte de la atención de las TI sanitarias se ha centrado en implantar sistemas de HCE para aprovechar la financiación prometida. En consecuencia, la seguridad informática pasó a un segundo plano en muchas organizaciones.

Ahora, casi diez años después, los hospitales siguen teniendo que reducir o aplazar otras iniciativas por falta de personal disponible.

¿Por qué faltan profesionales de la seguridad? En la mayoría de los casos, la respuesta es el dinero.

No es ningún secreto que muchas HDO de este país (y hospitales en particular) se enfrentan a una importante presión financiera. La competencia entre prioridades dificulta el aumento del gasto en intangibles como la seguridad digital.

A pesar de los escándalos que se suceden, el 80% de las grandes empresas dedican menos del 6% de su presupuesto global de TI a la seguridad, y el 50% destina un lamentable 3% o menos.

Mientras tanto, los ciberataques son cada vez más sofisticados. El pirateo informático es ahora el negocio de los atacantes patrocinados por el Estado y los delincuentes organizados.

Las HCE incluyen todo tipo de datos valiosos sobre casi todo el mundo. Esto incluye no solo historiales médicos, sino información personal como números de la seguridad social y detalles financieros como información sobre tarjetas de crédito.

En otras palabras, es todo lo que un delincuente necesita para cometer robos de identidad, fraude fiscal, fraude a las aseguradoras y muchas otras fechorías lucrativas.

Es una filtración de datos a punto de producirse. Y ocurre , con una frecuencia preocupante.

Más allá de las paredes del hospital, el circuito perioperatorio puede parecer una maraña de personas, dispositivos y datos.

Los expertos en seguridad digital lo plantean de otro modo: los datos cruzan los puentes entre cinco pilares, incluidos los hospitales y otros proveedores de asistencia. Mark Thompson, veterano de la seguridad, identifica estos pilares en su Playbook for Driving Digital Healthcare Security:

1. Sistemas de HCE
2. Dispositivos médicos conectados
3. Pagadores sanitarios
4. Reguladores gubernamentales
5. Hospitales y otros proveedores

Junto con su HDO, estos puntos de contacto son la clave para comprender el flujo de datos a través del sistema sanitario.

Los médicos hacen su mejor trabajo con una gran cantidad de información ante ellos.

Por eso, cada vez más profesionales(más del 67% en el último recuento) recopilan, almacenan e intercambian datos de pacientes en formato digital.

Desde la promulgación de la Ley HITECH en 2009, las HDO han recibido el mandato de utilizar sistemas de HCE para cinco resultados clave:

1. Mejorar la calidad, seguridad y eficiencia de la asistencia sanitaria
2. Implicar mejor a pacientes y familiares en su salud
3. Mejorar la coordinación asistencial
4. Mejora de la salud pública y de la población en general
5. Garantizar una protección adecuada de la privacidad y la seguridad de los datos de los pacientes

Esa quinta pieza -la privacidad y la seguridad de los datos relacionados con la asistencia sanitaria- es el núcleo de todo lo que esperamos conseguir. Las HCE solo pueden utilizarse para mejorar la asistencia si la información es exacta, y solo puede ser exacta si es segura.

Ya sean fijos, de cabecera o portátiles, los dispositivos médicos conectados ya han ayudado a mejorar los resultados de miles de pacientes.

En la actualidad, sólo en Estados Unidos hay más de 190 000 dispositivos médicos conectados. Los hospitales tienen una media de entre 10 y 15 dispositivos conectados por cama.

Y no solo los fabricantes de dispositivos médicos están haciendo olas en el mercado del Internet de los objetos médicos (IoMT). Titanes del consumo como Apple también tienen la vista puesta en el mercado sanitario de 7 billones de dólares.

Pero el creciente número de dispositivos médicos IoT en el bucle perioperativo supone mayores retos para su seguridad. Ya se han utilizado dispositivos comprometidos para infiltrarse en redes hospitalarias seguras. Para 2020, se prevé que más de una cuarta parte de los ataques a HDO utilizarán IoMT.

También existe la amenaza de la apropiación de dispositivos: ciberataques en los que se secuestra el control de los dispositivos. Parece propio de una película ciberpunk, pero el secuestro médico es una amenaza real. De hecho, el 38% de los HDO conocen al menos un incidente en el que un paciente recibió un tratamiento inadecuado a causa de un dispositivo médico inseguro.

Descubra en este libro electrónico cómo crear dispositivos médicos seguros y fiables para el IoMT.

Además de las organizaciones que prestan asistencia, nuestro sistema sanitario incluye numerosos pagadores: Medicare y Medicaid, la Administración Sanitaria de Veteranos (VHA) e innumerables proveedores de seguros comerciales.

Los pagadores sanitarios comparten el flujo de información sanitaria personal hacia y desde las HDO. Esta interoperabilidad permite a los pacientes recibir reembolsos más rápidos y contribuye a reducir los lapsos de cobertura.

Al igual que las HDO, los pagadores privados y públicos también están cada vez más en el punto de mira de las brechas sanitarias. Solo en el primer semestre de 2019, los proveedores de planes de salud han notificado más de 20 vulneraciones.

Múltiples niveles de la Administración recopilan HCE y datos relacionados con la salud. Algunos de ellos son auxiliares de otras funciones gubernamentales, mientras que otros datos se recopilan para estudiar y mejorar el sistema sanitario de diversas maneras:

• Los gobiernos estatales y locales prestan asistencia directamente a través de hospitales públicos, lo que representa alrededor del 14% de la asistencia hospitalaria total. El gobierno federal atiende cada año a 6,5 millones de pacientes a través de la Administración de Veteranos.
• Numerosos estados recopilan datos de los pagadores para bases de datos de reclamaciones de todos los pagadores (APCD) que facilitan el intercambio de HCE.
• Todos los niveles de gobierno llevan a cabo la vigilancia de la salud pública para apoyar las iniciativas de control y prevención de enfermedades.
• Diversos organismos públicos proporcionan acceso a datos sanitarios anónimos para facilitar la investigación y fundamentar las políticas de salud pública.
• Las actividades no relacionadas, como las deducciones de impuestos médicos declaradas al Servicio de Impuestos Internos, también implican la recogida de PHI.

Por supuesto, el gobierno también es responsable de regular cómo las HDO y otras entidades manejan la PHI y la HCE. La Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) obliga a garantizar la seguridad de toda la información de identificación personal (PII), tanto en reposo como en transmisión.

Desde 2016, el ámbito de aplicación de la Ley incluye IoMT y aplicaciones relacionadas con la asistencia sanitaria.

La realidad es que cada vez más HDO son víctimas de la ciberdelincuencia cada año, exponiendo a millones de pacientes y comprometiendo los sistemas de cuidados críticos.

El año pasado se produjeron más de 503 violaciones de datos sanitarios que afectaron a más de 15 millones de historiales de pacientes. En el mismo periodo, el 82% de los departamentos informáticos de los hospitales sufrieron incidentes de seguridad importantes.

Y eso solo en 2018.

Habrá un día en que le ocurra a su organización. No se puede saber cuándo ni de dónde vendrá el ataque. Lo único que puede hacer es tomar medidas para evitar una violación de datos cuando se produzca.

Cuando se produce una brecha importante, las consecuencias comienzan incluso antes de que usted haya recogido los pedazos.

El nombre de su empresa es tendencia en Twitter. La cara de su director general aparece en la primera página. Entre bastidores, tú y tus compañeros habéis pasado la noche en vela intentando poner las cosas en orden.

Pero eso es sólo arañar la superficie.

En el peor de los casos, una violación de datos puede convertirse en una cuestión de vida o muerte.

Eso es lo que ocurrió cuando 16 hospitales se vieron afectados por una cepa del ransomware WannaCry en el Reino Unido. La infección se propagó rápidamente por infraestructuras hospitalarias críticas, incluidos sistemas de HCE y equipos como resonadores magnéticos y ecógrafos.

Los hospitales tardaron dos semanas en reanudar su funcionamiento normal. En ese tiempo:

• Las ambulancias tuvieron que desviarse a otros hospitales.
• Hubo que cancelar 19.000 citas.
• Las operaciones se cancelaban a los pocos minutos de empezar.

El sector sanitario es el que más paga por las filtraciones: 408 dólares por historia clínica comprometida. De media, los ciberataques a HDO cuestan la asombrosa cifra de 1,4 millones de dólares en tareas de recuperación.

No es de extrañar que los hospitales sean los más afectados por estos incidentes, ya que una sola infracción puede costarles hasta 7 millones de dólares en multas, litigios y daños a su reputación.

En el momento en que un historial de paciente sin cifrar llegue al mercado negro (a un precio de 50 dólares por historial, lo más probable es que lo haga), su organización será responsable de multas reglamentarias y demandas colectivas.

El mayor incidente hasta la fecha -la brecha de Anthem en 2015- le costó a la empresa 140 millones de dólares solo en costes legales y regulatorios.

Esto es lo que está en juego a la hora de asegurar su HDO: millones perdidos en ingresos y pagos legales, horas de tiempo perdido y el riesgo de dañar a sus pacientes más vulnerables.

Con tanto por cubrir, es difícil saber por dónde empezar.

Existe un error común en todo el sector sanitario que dificulta aún más la seguridad del bucle perioperativo.

Se trata de la diferencia entre cumplimiento y seguridad.

¿No son el cumplimiento de las normas y la seguridad una misma cosa? En pocas palabras: rotundamente no.

El cumplimiento se refiere a los requisitos normativos que usted y sus colegas deben cumplir para estar en conformidad con la ley. Son las normas que encontrarás en la Regla de Seguridad de la HIPAA, HITECH y cualquier legislación específica de cada estado.

La seguridad, en cambio, son las medidas concretas que tomas para proteger tu red, tus datos y tus dispositivos.

Puede cumplir la HIPAA al 100% y seguir siendo vulnerable a una violación de la seguridad.

Tendrá que ir más allá del mínimo exigido por la ley para evitar una infracción. Pero las medidas de seguridad le ayudarán a seguir cumpliendo la normativa, sobre todo a medida que la FDA siga reforzando los reglamentos sobre IoMT y otras tecnologías emergentes.

Los siguientes pasos son esenciales para implantar una estrategia de seguridad digital integral en cualquier HDO:

1. Evaluación de riesgos para la seguridad digital
2. Formación del personal
3. Incorporación de productos sanitarios
4. Redes seguras
5. Cifrado
6. Gestión de la identidad digital
7. Plan de respuesta a incidentes

La evaluación de riesgos no es un descubrimiento. La HIPAA la exige desde 2003. Lo más probable es que hace mucho tiempo que se olvidó de este requisito.

Pero muchas cosas han cambiado desde entonces.

No importa si su última evaluación de riesgos fue el año pasado o el mes pasado. Algo ha cambiado en su organización. Nuevas personas, nuevo software, nuevos dispositivos, nueva infraestructura.

La prevención de las infracciones sanitarias requiere una vigilancia constante.

Reconózcalo. No todo el mundo que trabaja en el sector sanitario es tan fanático de los datos como usted.

La falta de concienciación entre sus colegas, incluidos los profesionales sanitarios como los médicos, siempre va a ser uno de sus mayores puntos vulnerables.

En el 58% de los intentos de filtración de datos sanitarios intervienen agentes internos, pero estas filtraciones no siempre son maliciosas. Caer en ataques de phishing o de ransomware, utilizar software sin parches o llevar dispositivos de almacenamiento sin cifrar puede dar lugar a una brecha inocente (pero no por ello menos grave).

La HIPAA ya exige que todas las HDO ofrezcan formación sobre concienciación en materia de seguridad a todo su personal, incluida la alta dirección. Pero muchas organizaciones, especialmente las que tienen una alta rotación de personal, se quedan cortas.

Este paso es clave para el resto de sus esfuerzos de seguridad. Una vez que sus colegas estén comprometidos y sean conscientes de los riesgos potenciales, podrá centrar más su atención en las amenazas externas.

La seguridad en la sanidad es diferente a la de otros sectores.

Es algo personal. Hay vidas en juego.

Así pues, los dispositivos médicos deberían tener una seguridad a toda prueba desde el principio. Pero si alguna vez has incorporado nuevos dispositivos, sabes que no siempre es así.

Los fabricantes de dispositivos médicos (MDM) tienen cierta responsabilidad en la protección de los pacientes, y existen tecnologías para que la seguridad de los dispositivos OEM sea infalible. Pero no solo los fabricantes son responsables de la seguridad.

Su equipo de seguridad debe ser el guardián. Ningún dispositivo nuevo puede entrar en su ecosistema a menos que esté seguro de que no pondrá en peligro a sus pacientes.

Como mínimo, su proceso de incorporación debe garantizar que los dispositivos IoMT utilicen:

• Firma de código para garantizar que sólo instala firmware y parches debidamente verificados.
• Certificados digitales únicos para cada dispositivo
• Almacenamiento de claves privadas para operaciones criptográficas basadas en hardware siempre que sea posible.
• Raíz de confianza (RoT) específica de la organización
• Capacidad completa de gestión del ciclo de vida de los dispositivos para mantenerlos seguros a largo plazo.

La seguridad de la red es la primera línea de defensa de su HDO contra posibles ciberataques.

La mayoría de los expertos en seguridad recomiendan segmentar sus redes en subredes separadas para diversas aplicaciones: una para sus pacientes y visitantes, otra para el personal de HDO y otra para los dispositivos médicos y otras aplicaciones que proporcionan acceso a los pacientes.

Esta medida simplifica enormemente la tarea de supervisar la actividad en sus redes y le permite dar prioridad a diferentes subredes por motivos de seguridad.

La HIPAA no impone el uso del cifrado en los historiales médicos electrónicos.

Pero debería.

La criptografía es una de las herramientas de seguridad más importantes de que dispone. El cifrado protege eficazmente la PHI en el almacenamiento y en la transmisión.

De hecho, es tan eficaz que no es necesario notificar una violación de los registros cifrados. Aunque se produzca una violación de los datos, un atacante no puede abusar de ellos y el riesgo para los pacientes es mínimo.

Servidores, terminales, dispositivos móviles y médicos se benefician de una capa de cifrado.

Rápido: ¿cuántas entidades viven ahora mismo en tu red?

Con tantas personas y dispositivos que acceden a la información sanitaria protegida, es esencial saber quién es quién. La forma más segura de hacerlo es mediante una infraestructura de clave pública (PKI).

PKI es el estándar de oro para la gestión de identidades digitales en una HDO. Es un sistema complicado entre bastidores, pero no hace falta conocer todas las matemáticas para reconocer su valor.

Los certificados digitales permiten a diversas entidades (dispositivos, ordenadores y código) enviar comunicaciones a través de su red de forma segura. Garantizan que sólo los destinatarios previstos puedan enviar y recibir información sanitaria crítica.

Los certificados también permiten a las plataformas y aplicaciones IoMT validar la integridad de los datos y la programación enviados desde y hacia cada dispositivo, lo que es vital para evitar ataques de apropiación de dispositivos o medjacking.

Volvamos a la pregunta. ¿Cuántas entidades viven en su red? ¿Quiénes son? ¿Puede verificar y confiar en sus identidades digitales?

Si no está seguro, existen herramientas que pueden ayudarle. Durante más de quince años, Keyfactor ha estado capacitando a las organizaciones sanitarias con las herramientas, la tecnología y el apoyo que necesitan para dominar cada identidad digital. Keyfactor™ Command simplifica la identificación, catalogación, monitorización, emisión y revocación de certificados digitales a través de múltiples plataformas. Nuestra plataforma es utilizada por hospitales, compañías farmacéuticas, fabricantes de dispositivos y agencias gubernamentales. La tecnología y los flujos de trabajo de Keyfactor están diseñados e implementados de forma única para abordar el entorno de certificados específico y los requisitos de su organización.

Los ciberataques nunca se producen con antelación. No hay forma de saber cuándo se producirá un ataque, de dónde vendrá o el alcance de los estragos que causará en su TI.

Las grandes violaciones de datos son caóticas, sobre todo en las primeras fases. Uno de los mayores retos a los que te enfrentarás después es decidir qué hacer en primer lugar.

¿A quién hay que avisar? ¿Qué hay que hacer primero? ¿Qué recursos existen para ayudar?

Aquí es donde entra en juego su plan de respuesta a incidentes. No basta con formar al personal para prevenir una brecha. También necesitarán orientación a la hora de responder.

Recuerde: el 82% de los departamentos de TI de los hospitales han informado de un incidente de seguridad importante en el último año. No se trata de si se producirá una brecha, sino de cuándo.

Descargue nuestro último libro electrónico y consiga su manual para impulsar la seguridad digital en la sanidad.