Casi 50 millones de historiales médicos se vieron afectados por unaimportante filtración de datos sanitarios en 2021.
En uno de los últimos casos, Tenet Healthcare informó de un ciberataque ocurrido en abril cuyo coste de mitigación estiman en 100 millones de dólares. Tenet Healthcare es una gran organización sanitaria con sede en Dallas, Texas, que cuenta con 60 hospitales, 465 centros de cirugía ambulatoria y otros 110 centros de atención ambulatoria.
Tenet Healthcare fue víctima de un ciberataque que provocó importantes interrupciones en sus sistemas informáticos. Según un comunicado fechado el 26 de abril, Tenet «suspendió inmediatamente el acceso de los usuarios a las aplicaciones informáticas afectadas, implementó amplios protocolos de protección de la ciberseguridad y tomó rápidamente medidas para restringir nuevas actividades no autorizadas».
Amenazas en los ciberataques al sector sanitario
Recientemente, el sector sanitario ha sido objeto de ataques por parte de ciberdelincuentes. En 2021, 45 millones de personas se vieron afectadas por ciberataques relacionados con la sanidad, frente a los 34 millones de 2020. Según un informe que examina los datos sobre violaciones de seguridad comunicados al Departamento de Salud y Servicios Humanos (HHS) de EE. UU. por organizaciones sanitarias, esta cifra se ha triplicado en solo tres años, pasando de 14 millones en 2018 a 42 millones en 2019.
El número total de personas afectadas ha aumentado un 32 % desde 2020, lo que indica que cada año se ven comprometidos más registros.
El sector sanitario es un objetivo para los piratas informáticos debido al uso generalizado de historias clínicas electrónicas y otros datos confidenciales que pueden utilizarse para obtener beneficios económicos o cometer robos de identidad.
A continuación se enumeran algunas de las áreas que se han visto afectadas por estos ataques:
- Privacidad del paciente: La información médica es altamente personal y confidencial. Los piratas informáticos pueden utilizar estos datos para robar identidades, chantajear a personas y/o extorsionarlas utilizando información privada, como los números de la seguridad social. También pueden vender su información médica en mercados de la web oscura a personas malintencionadas que quieran cometer fraude o extorsión contra usted o su familia.
- Historiales médicos: incluyen archivos de pacientes como informes de laboratorio, radiografías, notas médicas, información sobre recetas, etc., almacenados tanto en formato impreso como digital. Estos documentos contienen información confidencial sobre el historial médico de una persona, incluyendo su estado de salud, detalles sobre su tratamiento, etc., lo que podría dar lugar a un robo de identidad si una persona no autorizada con intenciones maliciosas tuviera acceso a ellos.
¿Cómo afectan los ciberataques al sector sanitario?
Los ciberataques contra organizaciones sanitarias pueden provocar la pérdida de vidas humanas y causar pérdidas económicas, de reputación y de datos.
En el ciberataque más reciente contra centros sanitarios, los piratas informáticos obtuvieron acceso a los historiales médicos de pacientes de hospitales de Estados Unidos y Canadá. En algunos casos, podrían haber robado información de tarjetas de crédito de pacientes que las utilizaron en esos centros. Este fraude es solo un ejemplo de cómo los ciberataques pueden afectar negativamente a la estrategia de continuidad del negocio.
Cómo la planificación de la continuidad del negocio y la recuperación ante desastres pueden ayudar a mitigar los efectos de los ciberataques
Los ciberataques están evolucionando y volviéndose más sofisticados. Para garantizar la protección de sus sistemas críticos, debe establecer unplan de gestión de la continuidad del negocio(BCMP).
La planificación de la continuidad del negocio consiste en desarrollar sistemas de prevención y recuperación para proteger a una organización frente a posibles amenazas. Es el marco para establecer la resiliencia y la preparación de la organización; la planificación de la continuidad del negocio tiene como objetivo garantizar la continuidad de las operaciones antes, durante y después de un incidente.
- Identifique y priorice los procesos empresariales para definir los planes que necesita; realice una evaluación de riesgos para identificar y cuantificar las amenazas.
- Defina su estrategia de continuidad del negocio y desarrolle un plan.
- Mantener el programa: actualizar las evaluaciones de riesgos, los análisis de impacto en el negocio y los planes; garantizar la concienciación y validar los planes con ejercicios periódicos.
Los planes de continuidad del negocio le ayudan a seguir funcionando en caso de un ciberataque.
Los planes de continuidad del negocio (BCP) son un paso esencial para garantizar la capacidad de su organización para recuperarse de un ciberataque. Un BCP define cómo una empresa mantendrá sus operaciones durante una interrupción. Un BCP sólido tiene como objetivo mantener operativos los procesos básicos de una empresa durante un desastre y minimizar el tiempo de inactividad. Un plan de continuidad del negocio puede tener en cuenta diversos escenarios, como desastres naturales, incendios forestales, ciberataques, violencia en el lugar de trabajo e incidentes aislados.
Tres estrategias para mitigar los ciberataques en el sector sanitario
Hay tres estrategias clave que pueden ayudarle a seguir funcionando en caso de un ciberataque:
Planes de continuidad del negocio y gestión de la continuidad del negocio (y software)
Los planes de continuidad del negocio son esenciales para garantizar la capacidad de su organización para recuperarse de un ciberataque. Debe contar con un plan de respuesta ante emergencias con funciones, responsabilidades y procesos claros para diferentes situaciones.
Notificaciones de emergencia
Los sistemas de notificación de emergencias son indispensables a la hora de responder ante un desastre y restablecer las operaciones tras una interrupción. Parte de estos planes deben incluir la alerta a los empleados sobre incidentes de seguridad, de modo que sepan cómo actuar hasta que el personal de TI pueda restablecer el funcionamiento normal.
Por ejemplo, las repercusiones podrían ser graves si se produjera un ciberataque en una oficina en la que los empleados carecieran de la formación necesaria y no informaran inmediatamente del incidente. Sería imposible mantener la continuidad del negocio y la organización podría sufrir importantes pérdidas de propiedad, activos y recursos.
Recuperación ante desastres como servicio (DRaaS)
Si su empresa depende en gran medida de la tecnología, podría ser conveniente adquirir servicios adicionales de almacenamiento de datos de respaldo de proveedores externos, por si acaso se produce algún problema en sus oficinas.
Los planes de continuidad del negocio son fundamentales para los hospitales
Con el auge del ransomware y otros ciberataques, es más importante que nunca que los hospitales cuenten con un plan de continuidad del negocio. Los planes de continuidad del negocio ayudan a las organizaciones a continuar sus operaciones después de un desastre u otro evento disruptivo. Sin embargo,según una investigación encargada por IBM y el Ponemon Institute, solo el 43 % de las organizaciones sanitarias encuestadas contaban con planes de continuidad del negocio documentados, lo que las pone en riesgo de sufrir un tiempo de inactividad significativo.
Cuando piensas en tu propia experiencia sanitaria como paciente, probablemente deseas:
- Un hospital libre de infecciones.
- Un hospital con empleados competentes que saben cómo atenderte.
- Un hospital que podrá garantizar su privacidad.
Un plan de continuidad del negocio ayuda a garantizar que estas cosas sean posibles durante una emergencia como un ciberataque.
Conclusión
El sector sanitario está siendo muy afectado por los ciberataques, pero hay formas de proteger su organización. La planificación de la continuidad del negocio es una forma de mantener su organización a salvo de estas amenazas. Al supervisar y mitigar los riesgos en todas las etapas del proceso, puede garantizar que los pacientes siempre reciban la mejor atención posible.Preparis está listo para ayudar.
Nota del editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocios y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.
