Una escalera que no asciende al paraíso

Una escalera que no asciende al paraíso

Por Martín Francisco Elizalde 

(Buenos Aires).- En 2015, la industria de la salud fue la más atacada por los delincuentes cibernéticos, según el Índice de inteligencia de seguridad cibernética de IBM. Ese año fue el peor, en términos de número de registros de atención médica expuestos o robados hasta esa fecha. En 2016, durante el primer trimestre, los ataques de ransomware en el sector, de acuerdo con Symantec, fueron en promedio más de 4,000 por día.

En 2017 hubo un aumento significativo en la cantidad de violaciones de datos de atención médica (HIPPA Journal). En el tercer trimestre de 20184.4 millones de files de pacientes (solo en USA) fueron comprometidos por fallas de seguridad – contra 3.1 millones en el cuatrimestre anterior, de acuerdo a Protenus and Data Breaches.net. Esta evidencia sugiere un patrón de aumento sostenido en las violaciones de seguridad. En cuanto a nuestro país, no tiene una reglamentación similar a la de USA, donde Las Reglas de Notificación de Infracción de HIPAA permiten a las entidades cubiertas hasta 60 días reportar infracciones de datos de más de 500 registros, pero las obliga a reportarlos. Eso sume al mercado local en una absoluta falta de estadísticas confiables. Pero no le da inmunidad, por cierto.

En nuestro país existe una clara responsabilidad legal de la institución médica y de sus Directores y Gerentes respecto de los titulares de los datos de terceros robados. Nuestro ordenamiento pone esa responsabilidad en cabeza de la institución. Los terceros tienen derecho a accionar contra la institución, sus directores y gerentes por la violación de su privacidad. Y tratándose de información tan sensible, es fácil imaginar que ejercerán este derecho.

Después de la tormenta

Resulta evidente que las consecuencias de estos ataques en la industria de las prestaciones médicas – en realidad, en cualquier industria- comprenden daños económicas y reputacionales. Pero también hay consecuencias prácticas preocupantes. En este sentido, cuando la industria de la salud del Reino Unido sufrió recientemente una de las mayores violaciones cibernéticas de la historia, el Wanna Cry (que afectó también a nuestro país, por cierto) el ataque cerró sus sistemas durante varias horas. Las instituciones sanitarias de todo el país no pudieron acceder a los registros de pacientes ni a los procedimientos programados. Las citas se aplazaron y las operaciones se cancelaron mientras los expertos trabajan para resolver el problema. Una pesadilla. Se imaginan ese problema aquí? Si es que no ocurrió y fue diligentemente disimulado…

Pasemos a las consecuencias en los pacientes cuyos datos fueron robados o publicitados en una falla de seguridad. El principio general es que Los sistemas de salud deben reconocer que muchos pacientes sufrirán pérdidas financieras personales debido a los ataques cibernéticos de su información médica, dijo Reza Chapman, director gerente de ciberseguridad en la práctica de salud de Accenture 

Veamos como les afecta: según el estudio publicado por HelpNetsecurity (https://www.helpnetsecurity.com/2017/02/23/healthcare-data-breaches/) la mitad de los consumidores que experimentaron una infracción lo descubrieron ellos mismos, notando un error en el extracto de su tarjeta de crédito o en la explicación de los beneficios, mientras que solo un tercio recibió una alerta por la organización donde ocurrió y solo el 15 por ciento recibió alertas de una agencia de gobierno. Entre los que sufrieron una violación, la mitad fueron víctimas de robo de identidad médica. La mayoría de las veces, la identidad robada se usó para comprar artículos (citados por el 37 por ciento de los encuestados que violaron datos) o se usó para actividades fraudulentas, como la facturación de la atención (37 por ciento) o el suministro de recetas (26 por ciento). Casi un tercio de los consumidores tenía su número de seguro social (31 por ciento), información de contacto (31 por ciento) o datos médicos (31 por ciento) comprometidos. La estadística citada corresponde al mercado de USA -en Argentina ni siquiera existe esta información.

Robar datos de los expedientes de salud es un excelente negocio. Según fuentes oficiales, ( Oficina Federal de Investigaciones de los EEUU), los registros de salud electrónicos (EHR en inglés) son mucho más valiosos que los datos financieros. Los EHR pueden venderse por u$s 50 en el mercado negro, en comparación con solo u$s 1 por un número de seguro social o de tarjeta de crédito robado. La información almacenada que se origina en HME ( Home Medical Equipment en inglés) incluye los nombres de los pacientessus fechas de nacimientonúmeros de pólizascódigos de diagnóstico e información de facturación.

Los mayores desafíos.

Más allá de lamentar la pérdida y enfrentar luego los juicios, existen medidas de prevención. Un estudio reciente, publicado online por el Sage Journal (https://journals.sagepub.com/doi/10.1177/1460458218814893). En él, el autor considera estas medidas preventivas como “desafíos” y los clasifica según la etapa del ciclo de vida de la tecnología de la información de salud donde aparecen Estos “desafíos” se relacionan con:

  1. el desarrollo de modelos, métodos y herramientas para permitir la evaluación de riesgos
  2. desarrollar características y funciones de diseño de interfaz de usuario estándar
  3. garantizar la seguridad del software en un entorno clínico con interfaz y habilitado para red
  4. implementación de un método para la identificación inequívoca del paciente (1–4 etapa de Diseño y Desarrollo)
  5. desarrollar e implementar el apoyo a las decisiones que mejore la seguridad
  6. identificación de prácticas para administrar de manera segura las transiciones del sistema de tecnología de la información (5 y 6 etapas de Implementación y Uso)
  7. desarrollar métodos en tiempo real para permitir la vigilancia y el monitoreo automatizados del rendimiento y la seguridad del sistema
  8. establecer el marco cultural y legal / puerto seguro para permitir el intercambio de información sobre peligros y eventos adversos
  9. desarrollar modelos y métodos para que los consumidores / pacientes mejoren la seguridad de la tecnología de la información de salud (7-9 etapas de Monitoreo, Evaluación y Optimización)

Impresionante como lo es, la nómina que antecede será solamente eficiente en la medida que todos los integrantes de la organización practiquen la seguridad como un ejercicio constante. Cisco, por ejemplo, determinó en un informe que el 74% de los problemas de seguridad informática no se subsana con software defensivo (anti malware) sino con adecuadas respuestas humanas. Y en esta industria, además, existe un sentido de la urgencia y un grado de tensión muy particulares. Se trata de salvar vidas

Hay buenos hábitos alimenticios. Son superiores a cualquier dieta feroz. Hay buenas prácticas de seguridad informática. Son superiores a cualquier software de protección.

La primera cuestión de una política de seguridad exitosa es la comprensión por parte del Directorio de la institución que la arquitectura de seguridad está alineada con la política comercial de la entidad. Es bien difícil vender salud cuando las historias médicas y los resultados de laboratorio navegando sueltas y alegremente en la web…

El segundo paso es alinear los recursos legales con los de tecnología para determinar el grado de cumplimiento de normas domésticas e internacionales, RGPD entre ellas, relacionados con la seguridad de la información.
El tercer paso es capacitar de una manera permanente a todos los integrantes de la organización en el cuidado de la información. Los buenos hábitos rinden sus frutos cuando son parte espontánea y cotidiana de nuestra actividad.

Martín Francisco Elizalde 
CEO Foresenics Argentina
melizalde@foresenics.com.ar
www.foresenics.com.ar

Deja una respuesta