La nueva y terrible enfermedad en las Organizaciones de Salud

La nueva y terrible enfermedad en las Organizaciones de Salud

Por el Dr. Alejandro Beresñak

El tema del cibercrimen es de gran relevancia para todos, dado que cualquier Organización de Salud es pasible de ser atacada (hospitales, laboratorios, clínicas/sanatorios, centros de diagnóstico, etc), y en lo personal me despierta mucho interés y preocupación, como a todos.
Permítanme compartir con Uds. algunas ideas como una breve introducción y acercamiento al tema, para referirme si luego específicamente al tema que motiva esta nota.

Podríamos decir que el ciber riesgo o riesgo cibernético representa una combinación de riesgos que pueden causar daños materiales, daños en intangibles y daños a terceros, en los que entra en juego la Responsabilidad Civil e incluso la Penal. Según los especialistas el 32% de los ciberataques se concentra en el sector financiero, 20% Profesionales (bufetes e independientes), 16% Industria y energía, 12% pequeños comercios y hotelería, 4% Transporte y 16% distribuido entre los restantes sectores, entre los cuales se encuentran las Organizaciones de Salud (OS). En la actualidad no hay OS que puedan considerarse exentas de sufrir un incidente. La salud pasó a ser hoy un foco fácil y lucrativo para los ciberdelincuentes.

Quizás los ataques más comunes son con virus tipo ransomware, que restringen la entrada a parte del sistema y piden un rescate para liberar los archivos. Es fundamental como estrategia para enfrentar este y otro virus, que las empresas inviertan en equipos de detección de amenazas y hagan copias de seguridad, así como que tengan protocolos que incrementen el nivel de protección e instalen programas que identifiquen correos electrónicos maliciosos y formar a los empleados. Se desaconseja el pago de rescates, ya que incluso pagando a los ciberdelincuentes, existe la posibilidad de no recuperar el control de tu equipo.

En el actual contexto de pandemia las OS están más vulnerables en razón de que sus recursos están focalizados en salvar vidas y que la exposición es mayor por la digitalización de muchísimos servicios para los pacientes.

Los ciberdelincuentes operan desde cualquier parte del mundo y trabajan día a día en la búsqueda de una debilidad en las personas o en la infraestructura de las OS generando ataques como el secuestro de toda la información, lo que impide continuar con las prestaciones de servicios de la Organización atacada hasta no pagar la extorsión.

Hoy es necesario que el área de Dirección de las Organizaciones de Salud ponga la seguridad de la información como una prioridad en la agenda y deberían evaluar y prepararse para estas amenazas, realizar simulacros, planificar para la continuidad del establecimiento, evaluar si los recursos internos son suficientes a fin de aumentar la seguridad empresarial y si se necesita la colaboración complementaria de empresas privadas para hacer tales mejoras lo antes posible.

Ahora si, entrando específicamente en el tema de esta nota, es un placer escribir estas líneas ya que tuve el privilegio de ser uno de los impulsores, y también moderador, del evento Los ciberataques: la nueva y terrible enfermedad en las organizaciones del sector“, que organizaron el día 13 de mayo ADECRA-CEDIM, la Cámara Nacional que nuclea a clínicas, sanatorios, hospitales privados, centros de diagnóstico y tratamiento ambulatorio.

Me permitiré compartir con Uds. algunos highlights de cada presentación, como una suerte de brevísimo resumen de este excelente encuentro de capacitación, que estuvo dirigido a organizaciones de salud para echar luz sobre la problemática de la ciberdelincuencia como “la otra pandemia” de estos tiempos.
Deseo destacar la impecable organización de esta jornada por streaming de la que participaron más de 100 organizaciones de salud, lo que demuestra el interés y preocupación por esta problemática.

Los invito a que vean el evento completo en el link al pie, cada disertación es de un altísimo valor y les será de gran utilidad atento a las exposiciones de todos profesionales del mayor nivel y máxima experiencia.

Estoy convencido que el objetivo fue cumplido. Los oradores, expertos en seguridad informática, entre ellos docentes y representantes de empresas, profundizaron sobre los marcos normativos en el país y el contexto internacional, las amenazas informáticas de las que hoy son víctimas las OS y los desafíos para los directivos de las instituciones, en el marco de la creciente digitalización de los procesos de salud y los tiempos críticos de pandemia.Allí, coincidieron en la importancia de generar conciencia sobre esta realidad y de que las organizaciones incluyan a la ciberseguridad como una “inversión” en el desarrollo de la industria de la salud.

  • Ataques informáticos, un negocio sucio y multimillonario:

El ingeniero en informática Nahuel Grisolía, founder y CEO de la consultora de seguridad Cinta Infinita, abordó “la mirada del ciberdelincuente sobre la salud”. Destacó que “los registros médicos son 50 veces más valiosos que las tarjetas de crédito o cualquier otro dato financiero porque allí se pueden conocer más y mejor los perfiles de una persona y enumeró, entre los posibles objetivos a atacar, “las plataformas de atención médica virtual, las historias clínicas digitalizadas y el equipamiento de alta complejidad expuesto a internet”. Mencionó, entre los problemas asociados, “la confidencialidad y seguridad de la información, y los riesgos de fraude y de impacto en la imagen de la institución”.

  • La salud como infraestructura crítica:

El Ing. Gerardo Gonzalez, docente universitario de Infraestructuras Críticas de la UTN, señaló: “Debemos proteger el conjunto de activos sobre los que funcionan los servicios esenciales y no permiten soluciones alternativas. Una falla se transforma en una vulnerabilidad de una infraestructura crítica”.“De acuerdo con el World Economic Forum, los ciberataques y la caída de la infraestructura de IT están entre los riesgos de mayor impacto en las organizaciones” puntualizó, y recalcó que “hay que cambiar la visión sobre ciberseguridad, en la medida en que no es un gasto sino una inversión”.

  • Las respuestas jurídicas ante un ciberataque:

Desde una perspectiva jurídica, la abogada especializada en salud, la Dra. Sandra Wierzba dijo que dentro de los aspectos críticos de la salud digital y la telemedicina están los ciberataques, y se refirió a “las consecuencias jurídicas de un ciberataque en el derecho argentino actual para el ciberatacante y para la institución de salud frente a terceros”. “Sin dudas, a futuro, debemos pensar en seguros de ciberataques”.

  • Ganadores y perdedores en un ciberataque:

“Se ve un creciente interés académico en el abordaje de los artículos sobre ciberseguridad y salud pero la mayoría tiene un enfoque más de corte técnico que de gestión, y los ciberataques son un problema tecnológico pero también de personas y procesos; son un tema de negocios, de los que deben ocuparse los directivos y también los especialistas en ciberseguridad”, afirmó la Mg. Patricia Prandini, docente de Ciberseguridad en UBA y UNSAM. Mencionó a la entidad, los usuarios y el sistema de salud como los “tres perdedores”, y a quien lleva a cabo la actividad maliciosa y a la competencia como “los ganadores”. “La ciberseguridad es un fenómeno global que ha llegado para quedarse”.

  • ¿Cuánto y cómo empeoró la ciberseguridad en las organizaciones de salud durante la pandemia?

La Lic. Noemí Naredo, founder y directora de GSInfo, brindó datos relevantes del panorama mundial: “Según el Cyber Security Report, en 2020, el 87% de las organizaciones ha experimentado un ciberataque y el 46% ha tenido al menos un empleado bajando aplicaciones mobile maliciosas con amenazas a sus redes y datos” y dijo que “los ciberataques no son de ahora sino que sólo se aceleraron en pandemia”.“En Argentina, en 2020, hubo más de 900 millones de intentos de estos ataques”,  y citó algunos ejemplos paradigmáticos en el país. “El ciberataque es a la organización de salud lo que el Covid es a la salud: ataca todo lo que encuentra y destroza al menos fuerte”.

  • Ciber Responsabilidad y concientización, ¿Qué pueden hacer los directivos frente a un ciberataque?

Para las organizaciones “ha sido difícil la toma de conciencia debido a otras urgencias, falta de presupuesto, tiempo y personal y falta de entendimiento en el tema, pero es un paso fundamental” sostuvo la Lic. Sara Bursztein, founder y directora de GSInfo. En relación a las medidas de prevención, aconsejó “backups y actualización de antivirus”, y citó además tres etapas de trabajo: “el diagnóstico sobre la situación actual, el fortalecimiento mediante acciones de blindaje y el monitoreo del blindaje”.
“Si una institución sufre un ataque no debe pagar y debe apuntar al recupero: apagar y aislar equipos atacados, desinfectar equipos y cambiar contraseñas y claves son algunas de las acciones”.



Quizás la mejor manera de terminar esta nota, como profesional integrante del sector de la salud, sea compartiendo una frase del genial rosarino Litto Nebbia “Quien quiera oír que oiga”  https://www.youtube.com/watch?v=xJO425vYR68
dirigida en este caso a: Los decisores en la seguridad de datos en el mundo de la salud (empresarios, CISOS) – Las Organizaciones de salud (Obras  sociales, prepagas) – Los proveedores, fabricantes e integradores de la industria –  Los abogados, jueces y demás integrantes de la Justicia Argentina – Los pacientes –  Las aseguradoras -Reaseguradoras y Productores de Ciberseguros.

No sería extraño que el que no quiera oír sea la próxima víctima de un ciberataque.

Dr. Alejandro Beresñak
Miembro del programa de Inteligencia Artificial en Salud del Hospital Italiano de Buenos Aires (pIASHIBA)

Link evento completo https://www.youtube.com/watch?v=bGb0TmZ5gt4

Deja una respuesta