La industria de la salud global es uno de los principales objetivos de los ataques cibernéticos. Hoy en día, las brechas de información causan pérdidas de hasta 5.6 mil millones de dólares por año, de acuerdo con datos de la Fasoo, una organización estadounidense de investigación de la industria.
Según las agencias del Gobierno de Estados Unidos, en 2015 hubo 253 violaciones en hospitales, clínicas y proveedores de atención de la salud en general.
La divulgación de información confidencial de los pacientes de aquellas entidades dañó directamente a cerca de 500 personas.
Las violaciones colocarán en manos de los hackers y ciberactivistas un volumen de 112 millones de piezas de información del historial clínico de los pacientes. Esto incluye listas de medicamentos con receta, descripción y justificación de las cirugías y tratamientos, así como información sobre pagos anteriores o vencidos.
La importancia extrema de los datos sobre la salud de una persona es lo que hace a las empresas de este sector tan vulnerables a los ataques. Una de las formas más comunes de violaciones es el secuestro (ransomware) de la historia clínica del paciente y la solicitud de reembolso. En general, el paciente no es consciente de lo que sucedió, porque el hospital o clínica se apresura a pagar el rescate para preservar tanto la reputación del paciente como su propia imagen en el mercado de proveedores de atención médica.
Las consecuencias de una violación de datos son desproporcionadamente altas para la industria de la salud. De acuerdo al Instituto Ponemon, el costo promedio per capita de una violación de datos es de 190 dólares, y en la vertical de salud es de aproximadamente 314 dólares.
Ante esta realidad, Marcos Oliveira, Director General de Blue Coat Systems Brasil, profundiza sobre los diversos frentes de batalla que enfrentan los CISOs de las empresas de salud
1. El próspero mercado negro de los datos de salud
Los datos sobre el estado de salud de la gente es muy valiosa para los piratas informáticos, ya que pueden venderlos a precios elevados en el mercado negro. En Estados Unidos, cada registro de pacientes se vende por más de 47 dólares. Este es un valor alto si lo comparamos con lo que se paga por los datos de una tarjeta de crédito personal (cerca de 1 dólar). El objetivo de los hackers es para ganar mucho dinero haciendo grandes violaciones que amenazan con exhibir o vender los datos de millones de personas.
2. Fraudes contra las aseguradoras generan riqueza para los delincuentes
Los criminales cibernéticos no solo obtienen los datos para venderlos, también pueden utilizar los registros médicos para accionar a las aseguradoras de manera fraudulenta y a los sistemas de salud del gobierno. Ellos pueden robar las identidades de los pacientes, por ejemplo, obtener consulta gratuita o tratamiento, o incluso el acceso a los ingresos de medicamentos recetados.
3. El gran dilema: ¿subir los datos en la nube, o no?
El cumplimiento es una preocupación importante para cualquier organización del cuidado de la salud. Esta realidad hace que muchos proveedores duden en actualizar o cambiarse a los nuevos sistemas de seguridad. Este es un gran problema para la industria de la salud. Las amenazas son cada vez más avanzadas, por lo que los sistemas de seguridad deben evolucionar a la misma velocidad.
El Gateway de protección de datos en la nube (CDP), por ejemplo, proporciona un control flexible que protege la información confidencial antes de salir de una red corporativa. Éste intercepta la información de salud,mientras que todavía está en el centro de datos interno y lo reemplaza con un valor tokenizado o cifrado que se envía a la nube. De esta manera, los datos que son interceptados en la nube no tienen ningún significado. Estas plataformas también aseguran que los usuarios finales mantengan la funcionalidad requerida de la aplicación SaaS en la nube y sobre los datos cifrados o tokenizados. También existen tecnologías que pueden utilizarse para monitorear de forma continua y dar seguimiento de los archivos de datos de salud y desencadenar acciones para evitar que sean enviados a la nube o simplemente alertar al área de TI de que la información fue enviada a la nube.
4. La importancia del cifrado
Las políticas del Gobierno de Estados Unidos hacen hincapié en el papel beneficioso que puede ser desempeñado por el cifrado, ya que codifica los datos de manera que sólo las personas autorizadas son capaces de descifrar la información para leerla. Por lo tanto, no impide necesariamente que alguien intercepte los datos, pero impide que alguien pueda verlos.
Es esencial que las claves de cifrado se mantengan y administren por el personal de TI de una empresa de salud. Esto no se puede hacer por los propios proveedores de la nube ya que la pérdida de la propiedad de las claves de cifrado expone a la organización a la difusión de los datos con riesgos adicionales.
5. Adiós a la inmovilidad y el miedo
La criticidad extrema de los datos del sector de la salud puede llevar al gerente de una empresa a una cierta inercia, una reacción contra la digitalización de datos y servicios. El origen de esta rigidez es el miedo, y no contribuye en nada a ganar la guerra cibernética. En vez de resistir la transformación digital y la nube, es mejor que el CISO y otros ejecutivos investiguen sobre las nuevas soluciones de control y protección de datos –incluyendo la nube– que están surgiendo.
Una de las ofertas más estratégicas, de acuerdo con Gartner, es el CASB (Cloud Access Security Broker). Esta plataforma proporciona visibilidad a las amenazas, proporcionando detección y análisis de malware. Todo se hace para transformar la nube en un ambiente controlado y seguro para aplicaciones y datos que forman el corazón de la compañía en el sector de la salud.
Es tiempo entonces de reaccionar y anticiparse a conocer las estrategias digitales en el mercado totalmente capaces de combatir las nuevas amenazas que acontecen a diario en el sector salud.