SANIDADunit 42

Ciberseguridad en el sector sanitario

RESPUESTA A INCIDENTES DE CIBERSEGURIDAD Y PROTECCIÓN PARA LAS ORGANIZACIONES SANITARIAS

Cada vez se presta más atención a la ciberseguridad en el sector sanitario, ya que este despierta mucho interés entre los ciberdelincuentes por su abundancia de objetivos. El motivo es que las historias clínicas de los pacientes, los datos de los estudios y la propiedad intelectual pueden dar mucho dinero en la dark web.

A diferencia de los datos financieros robados, que tienen una vida útil mínima, la información sanitaria personal (PHI, por sus siglas en inglés) dura eternamente. Si se sufre una brecha, es posible conseguir una tarjeta de crédito nueva inmediatamente después del ataque, pero nadie puede cambiar su grupo sanguíneo ni su historia clínica. Esto hace que aumente el valor de la PHI para los ladrones cibernéticos, pues pueden pedir un rescate a cambio de la información robada o vendérsela a terceros mucho tiempo después del ataque.

Lo anterior no significa que los ciberdelincuentes dejen pasar oportunidades de robar dinero a las organizaciones sanitarias. En el sector sanitario, que representa casi la quinta parte de la economía estadounidense, se transfieren a diario grandes sumas de dinero electrónicamente entre varias organizaciones y partes interesadas (aseguradoras, proveedores, suministradores y pacientes). Basta encontrar un eslabón débil en la cadena para dar a los ciberdelincuentes la oportunidad de atacar.


Entre las víctimas de incidentes cibernéticos, destaca el sector sanitario

  • El 16 % de los casos de respuesta a incidentes de los que se ocupa Unit 42® corresponden a empresas y organizaciones sanitarias, que se sitúan por delante de las demás categorías.
  • El ransomware es el método de ataque que más se utiliza contra las organizaciones sanitarias, que padecen más de un quinto de los incidentes de ransomware de los que nos ocupamos.
  • Los ciberdelincuentes también recurren a los accesos no autorizados a los sistemas de correo electrónico de la empresa (BEC, por sus siglas en inglés) para atacar al sector, por lo general con el objetivo de robar dinero. El 15 % de los incidentes BEC a los que respondemos tienen lugar en el sector sanitario.
  • En gran parte debido a que las organizaciones sanitarias cada vez utilizan más soluciones en la nube, el 15 % de los casos de revelación involuntaria de datos confidenciales padecidos por nuestros clientes tuvieron lugar en el sector sanitario.
Si desea más información sobre el aumento de los ciberataques en el sector sanitario, consulte el informe sobre brechas de datos y respuesta a incidentes de Unit 42

El sector sanitario afronta retos específicos en materia de ciberseguridad

1

La adopción de la nube conlleva riesgos.

El sector sanitario ha empezado a adoptar soluciones en la nube para todo tipo de fines, desde la facturación hasta la atención remota o los portales en línea para los pacientes, entre otros. Si bien estas soluciones son eficientes y escalables, también multiplican los riesgos no solo en lo que se refiere a la ciberdelincuencia, sino también a la revelación involuntaria de información, que puede suponer la exposición de grandes cantidades de datos confidenciales.

2

La seguridad de IdC es una necesidad emergente.

Los dispositivos médicos cada vez están más interconectados, lo que hace que aumente la superficie de ataque que pueden utilizar los ciberdelincuentes para acceder a datos confidenciales o incluso interrumpir la atención al paciente mientras tiene lugar. Debido a la proliferación de dispositivos IdC, junto con el avance de las herramientas y técnicas que utilizan los ciberdelincuentes para hackearlos, ahora los proveedores de servicios sanitarios tienen que proteger más dispositivos que nunca y los riesgos han alcanzado un nivel sin precedentes. Para gestionar correctamente la ciberseguridad en el sector sanitario, se necesita un socio con experiencia y conocimientos especializados insuperables: obtenga hoy mismo más información sobre Unit 42.

3

Los costes de las interrupciones de la actividad y del tiempo de inactividad pueden ser enormes y conllevan graves riesgos para los pacientes.

Teniendo en cuenta su labor, los hospitales, las clínicas y otras organizaciones sanitarias son las entidades que menos pueden permitirse sufrir interrupciones en sus redes y sistemas, que son fundamentales. Como cada vez recurren más al intercambio electrónico de datos, el tiempo de inactividad de un sistema no solo conlleva un coste enorme, sino que también puede provocar retrasos en el acceso a datos sanitarios cruciales sobre la salud de los pacientes e impedir el buen funcionamiento de servicios de los cuales dependen muchas vidas.

4

Las entidades reguladoras vigilan constantemente.

La Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA, por sus siglas en inglés) asigna una mayor responsabilidad a las organizaciones sanitarias a la hora de proteger los datos sanitarios personales electrónicos que reciben, utilizan o conservan. La regla de seguridad de la HIPAA exige el uso de las debidas protecciones administrativas, físicas y técnicas para garantizar la confidencialidad, integridad y seguridad de la información sanitaria electrónica protegida. Si una organización sanitaria pierde el control de sus datos, está obligada a avisar a los individuos afectados, al gobierno federal y, en ciertos casos, también a los medios de comunicación.

5

Los riesgos aumentan con la pandemia.

A la vez que las organizaciones sanitarias concentraban su tiempo, atención y recursos en la respuesta a la COVID-19, padecían un aumento en los ataques de ciberseguridad, pues los ciberdelincuentes han tratado de aprovechar la emergencia. Desde el comienzo de la pandemia, se ha producido un aumento considerable en la distribución de malware y de mensajes de correo electrónico de phishing que utilizan la COVID-19 como cebo. Al mismo tiempo, según las agencias de inteligencia, los hackers están utilizando ataques de malware y mensajes de correo electrónico de phishing sofisticados para acceder a estudios sobre vacunas e información sobre las cadenas de suministro médicas.

Consulte este caso real para conocer los problemas que vivió una gran organización sanitaria debido a un ataque de malware y cómo logró recuperarse con la ayuda de un director de seguridad de la información virtual (vCISO, por sus siglas en inglés) de Unit 42.

Soluciones de ciberseguridad de Unit 42 para las organizaciones sanitarias

1

Lleve a cabo una evaluación basada en la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA).

Unit 42 aplica los requisitos y las directrices de la HIPAA para evaluar la estrategia de seguridad general de una organización en lo que se refiere al personal, los procesos y las tecnologías que se utilizan para proteger la organización y sus activos. Analizamos el panorama de la ciberseguridad, registrando dónde se encuentran la PHI y otros datos confidenciales, y cómo se almacenan y transmiten. Asimismo, revisamos la documentación existente y facilitamos recomendaciones basadas en los estándares del sector sanitario, además de llevar a cabo entrevistas con las partes interesadas para conocer la infraestructura, las operaciones, las capacidades y los procesos de ciberseguridad, así como las prácticas generales que se adoptan en la organización. Nuestro servicio de evaluación basado en la HIPAA incluye recomendaciones detalladas para corregir los puntos débiles detectados o las carencias de seguridad, además de una hoja de ruta de implementación estratégica en la que se explica cómo abordar dichos puntos débiles, detallando el nivel percibido de esfuerzo y un cálculo de los costes correspondientes.

2

Realice evaluaciones detalladas de los riesgos cibernéticos específicas para las amenazas que más afectan al sector sanitario.

Unit 42 ofrece evaluaciones específicas y servicios técnicos de ciberseguridad para poner a prueba y evaluar su estrategia de ciberseguridad y su resiliencia cibernética general, así como para comprobar que los controles de seguridad funcionen de forma eficiente y óptima. Por ejemplo, realizamos pruebas de penetración (en las que simulamos un ataque real para evaluar la eficacia de sus contramedidas y detectar vulnerabilidades ocultas), pruebas de las aplicaciones web y móviles, evaluaciones de seguridad específicas de sus configuraciones actuales, ejercicios de phishing y ejercicios de simulación de situaciones personalizadas según las amenazas que afectan en especial al sector de los servicios sanitarios.

3

Diseñe una estrategia de ciberdefensa específica para el sector sanitario.

El primer paso para protegerse consiste en activar defensas e implementar funciones de supervisión continua para garantizar la prestación de los servicios cruciales de la infraestructura. Por ejemplo, hay que identificar el control de los accesos y la gestión, ofrecer sesiones de formación para concienciar a los empleados sobre los riesgos cibernéticos e implementar procesos y procedimientos de protección de la información. Para ello, hay que supervisar los eventos y la evolución de la ciberseguridad para comprobar la eficacia de las medidas de protección.

4

Responda a los incidentes de ciberseguridad cuando se produzcan, si se producen.

El equipo de respuesta a incidentes de Unit 42 está a disposición de las organizaciones sanitarias en cuanto sea necesario para ayudarlas a investigar y erradicar los ataques de ransomware, los accesos no autorizados a los sistemas de correo electrónico de la empresa, las revelaciones de datos involuntarias y cualquier otro tipo de incidente. Además, con nuestra asistencia será más fácil recuperarse después del evento. Nuestra misión es detener el ataque de inmediato, expulsar al intruso, restablecer los sistemas y ayudarle a retomar las operaciones lo antes posible, utilizando soluciones de análisis de datos para estudiar el alcance de la exposición de PHI según las obligaciones que impone la HIPAA.