El sector sanitario en la primera línea de los ciberataques

El 92% de las instituciones médicas estadounidenses experimentaron ciberataques el año pasado. Hospitales, proveedores de atención médica, centros médicos académicos, aseguradoras, empresas farmacéuticas y fabricantes de dispositivos médicos: todo el ecosistema sanitario se ha convertido en blanco de hackers.

El problema no se limita a la simple filtración de información. La seguridad del paciente está directamente amenazada. Se retrasan tratamientos, se posponen cirugías y todo el sistema médico puede quedar paralizado, situaciones que ya son una realidad.

Entorno regulatorio complejo: otra carga para el sector sanitario

La industria médica estadounidense debe combatir las amenazas cibernéticas mientras navega simultáneamente por un laberinto de regulaciones entrelazadas.

Solo a nivel federal, las regulaciones abarcan múltiples agencias. El Departamento de Salud y Servicios Humanos (HHS), la Administración de Alimentos y Medicamentos (FDA), los Centros de Servicios de Medicare y Medicaid (CMS) y la Oficina del Coordinador Nacional (ONC) presentan cada uno estándares y directrices diferentes.

Además, deben cumplir con marcos de estándares industriales. Como el Marco de Ciberseguridad 2.0 del Instituto Nacional de Estándares y Tecnología (NIST) y regulaciones como PCI DSS para transacciones con tarjetas de crédito.

Las obligaciones de notificación de brechas añaden otra capa de complejidad. Según el tipo de actividad de la institución médica, se aplican diferentes regulaciones federales, cada una con distintos plazos y criterios.

La realidad de los ciberataques: quién y cómo

Los ciberataques contra el sector sanitario provienen de diversas fuentes.

Desde grupos de hackers patrocinados por estados hasta organizaciones criminales internacionales y amenazas internas, los actores son variados. Los métodos de ataque también son cada vez más sofisticados: ransomware, exploits de día cero, phishing por correo electrónico y ataques internos.

Tres impactos de los ciberataques

1. Salud del paciente El problema más grave es la seguridad del paciente. Se interrumpe la atención clínica, se retrasan tratamientos y cirugías, y la seguridad del paciente queda en riesgo.

2. Operación del sistema completo La innovación y adopción tecnológica han conectado estrechamente a las instituciones médicas entre sí. Un ciberataque contra un proveedor de atención médica afecta a aseguradoras, grupos de práctica afiliados e incluso pacientes. El tiempo de inactividad del sistema puede durar hasta varios meses.

3. Costos operativos El costo promedio de una brecha de datos médicos ha sido el más alto entre todos los sectores industriales durante 14 años consecutivos. Los ciberataques causan un impacto financiero desproporcionadamente grande en las operaciones médicas.

Propuesta del Consejo de Liderazgo en Salud y la Coalición de Confidencialidad

El Consejo de Liderazgo en Salud (HLC) y la Coalición de Confidencialidad proponen un enfoque colaborativo entre los sectores privado y público.

Lo fundamental es definir y compartir claramente las responsabilidades de ciberseguridad. Crear responsabilidades mutuas para proteger la seguridad del paciente y apoyar el sistema de salud del que depende la nación.

Necesidad de un nuevo modelo de colaboración [Análisis]

El entorno regulatorio actual impone una carga excesiva a las instituciones médicas. Los requisitos superpuestos de diferentes agencias probablemente consumen más recursos en cumplimiento normativo que en fortalecer la seguridad real.

Se necesita desarrollar un marco integrado. Es probable que mediante la cooperación público-privada se establezcan estándares de ciberseguridad únicos y claros, y se estandaricen los procedimientos de notificación de brechas.

También es importante fortalecer el sistema de intercambio de información. Es necesario que el gobierno comparta información de amenazas en tiempo real con las instituciones médicas, y que estas compartan entre sí patrones de ataque y experiencias de respuesta a través de canales seguros.

El apoyo financiero y técnico también serán elementos clave de la cooperación. Especialmente las instituciones médicas pequeñas tienen dificultades para construir de manera independiente infraestructura de ciberseguridad de alto costo. Es probable que el apoyo gubernamental contribuya a elevar el nivel de seguridad de todo el ecosistema médico.