En este momento estás viendo Ciberseguridad en Salud:”Prepararse para lo Inevitable”

Ciberseguridad en Salud:”Prepararse para lo Inevitable”

Por Ezequiel Domb, Diagnóstico Journal

Tuvimos la oportunidad de dialogar con el Dr. Alejandro Beresñak, del área “Innovación y Desarrollo” del Servicio de Diagnóstico por Imágenes del Hospital Italiano. El Hospital creó el Programa de Inteligencia Artificial en Salud (pIASHIBA) que tiene base en el Departamento de Informática en Salud.

Es un equipo interdisciplinario compuesto por: bioingenieros, implementadores, ingenieros, desarrolladores y médicos. Dentro de los médicos hay especialistas en informática en salud y en diagnóstico por imágenes. Esta iniciativa fue impulsada por los Dres. Daniel Luna (Jefe del Departamento de Informática en Salud) y Martín Rabellino (Jefe del Servicio de Diagnóstico por Imágenes), con una visión orientada hacia los desarrollos propios.

ED: ¿Qué se entiende por riesgo cibernético?

El ciber riesgo o riesgo cibernético representa una combinación de riesgos que pueden causar daños materiales, daños en intangibles (datos, websites, propiedad intelectual, patentes, nombres de los dominios…) y daños a terceros en los que entra en juego la responsabilidad civil e incluso la penal. Un incidente cibernético constituye un acto informático doloso.

ED: ¿Cómo se puede afectar una Organización de Salud (OS)?

La radiografía de los ciberataques fue analizada por especialistas y pudo determinarse que el 32% se concentra en el sector financiero, 20% Profesionales (bufetes e independientes), 16% Industria y energía, 12% pequeños comercios y hotelería, 4% Transporte y 16% distribuído entre los restantes sectores, entre los cuales se encuentran las Organizaciones de Salud (OS).

La protección de información y la seguridad cibernética puede ser problemática para cualquier tipo de OS. Las tecnologías de Internet y redes informáticas cambiaron y mejoraron muchos aspectos de la forma en cómo operan los procesos. Sin embargo, los riesgos inherentes de usar tecnologías basadas en Internet son numerosos. En la actualidad no hay organización que pueda considerarse exenta de sufrir un incidente.

La salud pasó a ser hoy un foco fácil y lucrativo para los ciberdelincuentes. Las estadísticas muestran que la curva de ciberataques coincide con el crecimiento de la pandemia.

ED: ¿Qué tipos de virus se usan en los ciberataques?

Los ciberataques con virus del tipo ransomware aumentan a un ritmo del 9% mensual y hay alrededor de 3.868 empresas afectadas por este tipo de ataques, lo que supone un crecimiento del 57% en los últimos seis meses. 

En un informe, los expertos de Check Point Research (CPR) constatan un cambio en los objetivos de los ciberdelincuentes que han pasado a centrarse en intentar explotar las vulnerabilidades que afectan a los servidores de Microsoft Exchange y utilizar virus informáticos de tipo ransomware. 

Los ataques con virus tipo ransomware son aquellos que restringen la entrada a parte del sistema y piden un rescate para liberar los archivos. Entre los que más han aumentado están Maze o Ryuk, operados por humanos con los que tiene que negociar el afectado. 

Otro de los tipos de ataque que han vuelto a ser detectados por los investigadores de Check Point son los que utilizan WannaCry, el virus informático que paralizó miles de ordenadores en todo el mundo en 2017.

Durante el mes de Marzo, ha habido 40 veces más empresas afectadas por este virus de las que hubo el pasado Octubre y en lo que va de 2021 los perjudicados han crecido un 53%. 

El equipo de expertos tras el informe no ha podido determinar las causas de la reaparición de este virus informático, pero señala que sigue utilizando tácticas que atacan las mismas vulnerabilidades que en 2017 y para las que ya existen parches, por lo que recuerda la importancia de mantener actualizados los equipos y sistemas.

Junto a esta recomendación, desde CPR aconsejan que las empresas inviertan en equipos de detección de amenazas y hagan copias de seguridad, así como que tengan protocolos que incrementen el nivel de seguridad como identificaciones multifactor o el principio de mínimo privilegio, con el que el usuario solo tiene acceso a lo estrictamente necesario para desempeñar su trabajo.

Asimismo también se recomienda instalar programas que identifiquen correos electrónicos maliciosos y formar a los empleados. Por el contrario, se desaconseja el pago de rescates, ya que incluso pagando a los ciberdelincuentes, existe la posibilidad de no recibir de vuelta el control de tu equipo.

ED: ¿Cómo afectó la pandemia a los ciberataques?

Este contexto de pandemia encontró a todos los recursos de las organizaciones de salud sumergidas en salvar vidas. Esta situación más la necesidad de trabajar a distancia digitalizando servicios para los pacientes, hizo aún más vulnerable las estructuras tecnológicas.

Detrás están los ciberdelincuentes, alineando sus campañas de ataques con la pandemia. Desde cualquier parte del mundo trabajan día a día, en la búsqueda de una debilidad en las personas o la infraestructura de las Organizaciones de Salud, generando ataques como, por ejemplo, el secuestro de toda la información, llegando a pedir hasta u$s50.000.000 para liberarla, con el impacto de impedir continuar con los servicios de Salud de la organización atacada hasta no pagar la extorsión.

Hoy es necesario que la dirección de las Organizaciones de Salud ponga la seguridad de la información como una prioridad en la agenda antes que la agenda sea ocupada por los ciberataques sobre la información.

ED: ¿A qué OS pueden afectar los ciberataques?

NADIE ESTÁ EXENTO. Las mejores prácticas genéricas de TI no son suficientes. Estos eventos realmente requieren una educación especializada. Al igual que otros sectores, las OS enfrentan los desafíos de carecer de personal. Entre esas limitaciones, incluyen también la cada vez mayor dependencia de empleados con ciber responsabilidad y con el conocimiento en estos eventos únicos. Para fortalecer al personal existente, la empresa debe dedicar mucha mayor atención a los riesgos planteados por las personas con información privilegiada, educando al personal sobre las mejores prácticas.

ED: ¿Qué herramientas cuentan las OS para contrarrestar los ataques cibernéticos?

Es necesario plantear un PERFIL DE RIESGO CIBERNÉTICO con distintos enfoques de gestión y diferentes estrategias de mitigación. En estos casos, los escenarios de amenaza cambian constantemente, lo que agrega un desafío permanente e implica contar con una planificación robusta de respuesta a la crisis en un escenario específico. Lo ideal sería que las entidades realicen un simulacro para analizar sus efectos y asegurar una respuesta más rápida, efectiva y confiable además del restablecimiento de las operaciones.

Como en otras industrias, es esencial el desarrollo de iniciativas para compartir información sobre las amenazas entre las OS. Las OS deberían evaluar y prepararse para estas amenazas, realizar simulacros, planificar para la continuidad del establecimiento, evaluar si los recursos internos son suficientes a fin de aumentar la seguridad empresarial y si se necesita la colaboración complementaria de empresas privadas para hacer tales mejoras lo antes posible.

 Si una empresa toma los recaudos necesarios y actualiza sus equipos de TI y aplica protocolos de mayor seguridad cibernética, los seguros que cubren las operaciones, la cuenta de resultados y los productos suministrados deben también actualizarse. Algunas jurisprudencias están fallando que, si una pérdida se produce a consecuencia de un ataque cibernético, el perjuicio directo afectará la póliza respectiva y sus aseguradores repetirán contra la póliza de CiberRiesgos, sino la hay, contra el Asegurado. Faltan muchos eventos para que se consolide la legislación.

ED: ¿Cómo puede aumentarse la concientización y la ciber responsabilidad en el personal de salud de las OS?

Una de las mejores formas es a través de webinars, tal como el organizado por ADECRA+CEDIM, cuyo programa multifacético (Videinfra), fue desarrollado por profesionales de primera línea, reconocidos en el ámbito académico y sin conflictos de intereses, para traer algo de luz a este gravísimo problema que enfrentan hoy las OS, y que abre paso al difícil capítulo de los ciberseguros.

Deja una respuesta