Estas se extienden más allá de las emergencias sanitarias, como la pandemia de COVID-19, para incluir ciberataques peligrosos y a menudo costosos. Por ejemplo, el ataque de ransomware de la semana pasada a Prospect Medical Holdings, una cadena propietaria de 16 hospitales y más de 150 centros ambulatorios en cuatro estados. La situación obligó a la organización a desconectar sus sistemas informáticos nacionales, lo que provocó el cierre temporal de algunos centros y la pérdida de ciertos servicios no urgentes para los pacientes.
Según ASPR-TRACIE, que se esfuerza por colmar las lagunas en las capacidades de preparación de los sistemas sanitarios compartiendo información y prácticas prometedoras durante los esfuerzos de planificación, los ciberataques ponen de relieve la necesidad de que las organizaciones sanitarias de todos los tamaños y tipos apliquen las mejores prácticas de ciberseguridad. También subrayan la necesidad de que las instalaciones lleven a cabo una planificación y unos ejercicios sólidos para la respuesta a incidentes cibernéticos y la gestión de las consecuencias.
El ransomware, según explica la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), es una forma de ciberataque criminal muy perjudicial. Los piratas informáticos intentan cifrar los archivos informáticos de una víctima y exigen un pago -generalmente en criptomoneda- por un programa que puede hacerlos accesibles de nuevo. Independientemente de si la víctima paga o no, estos ataques pueden dejar a las organizaciones afectadas luchando durante días o incluso semanas y meses para volver a poner en línea sus sistemas.
Pensemos en el ataque de ransomware a CommonSpirit Health, una cadena de más de 140 hospitales, en octubre de 2022. Los datos personales de más de 623.700 pacientes quedaron expuestos, por lo que la empresa no tuvo más remedio que interrumpir las operaciones informáticas en todo el país. El incidente provocó unas pérdidas estimadas de 160 millones de dólares y dos demandas colectivas en junio de 2023.
Por desgracia, ninguna organización sanitaria es inmune a las amenazas de ciberseguridad avanzadas de hoy en día. De hecho, y según CISA, estas operaciones pueden ser incluso más susceptibles que otras. ¿Por qué? La tecnología de la información (TI) sanitaria proporciona funciones críticas que salvan vidas y consiste en sistemas conectados en red que aprovechan la tecnología inalámbrica, lo que hace que estos sistemas sean más vulnerables a los ciberataques.
Aunque se trata de una situación "trampa", el sector sanitario debe dar prioridad a la ciberseguridad e invertir cuando y donde sea posible para proteger la salud y los datos personales de los pacientes. Esto incluye adoptar la perspectiva de preparación de "cuándo" ocurrirá un incidente de ciberseguridad, no "si" ocurrirá, e incorporar una respuesta a los ciberataques en el plan de preparación ante emergencias de una organización. La Comisión Conjunta, impulsora mundial de la mejora de la calidad y la seguridad de los pacientes en la atención sanitaria, exige este tipo de planes.
Dado que la empresa de ciberseguridad Recorded Future informa de que el reciente ataque a Prospect Medical Holdings es el 157º ciberataque a una organización sanitaria estadounidense este año, el tiempo apremia.
Los ciberdelincuentes trabajan 24 horas al día, 7 días a la semana, 365 días al año. Así que, si hace tiempo que su hospital o centro sanitario no revisa sus planes de preparación para emergencias, incluidos los ciberataques, póngalos en lo más alto de su lista. Si lo hace, ayudará a su organización a mantener su calidad asistencial y a salvaguardar los datos de los pacientes, su reputación y sus resultados.
Nota del Editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocio y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.
