Proteja su centro médico de los ataques de hackers
Los centros médicos trabajan sistemáticamente para proteger a las personas de virus y otras enfermedades. Sin embargo, no siempre están preparados para proteger a sus pacientes y al propio centro de los virus informáticos y otros tipos de amenazas de las que hacen uso los hackers.
Dado que las historias clínicas electrónicas incluyen gran cantidad de información valiosa, los ciberdelincuentes atacan deliberadamente clínicas, centros privados y sistemas sanitarios de todos los tamaños. Al robar esta información, los hackers consiguen conocer los datos financieros de los pacientes, incluyendo su tarjeta de crédito y su cuenta bancaria, su número de la seguridad social, los nombres de sus familiares, su dirección e información sensible sobre su estado de salud.
La información de las historias clínicas electrónicas obtenida por hackers se vende por un valor hasta 10 o más veces superior al de una tarjeta de crédito robada. La empresa de ciberseguridad Trustwave estimó que las historias clínicas se venden en el mercado negro por un valor de 250 € por cada PDF, mientras que los números de una tarjeta de crédito se venden por alrededor de 5 € en la dark web.
De acuerdo con el Departamento de Salud y Servicios Humanos estadounidense, las amenazas de ciberseguridad en el ámbito sanitario suelen originarse de las siguientes formas:
• Malware: software malicioso que contiene virus o código dañino diseñado para causar un mal funcionamiento, dañar u obtener acceso no autorizado a un sistema informático.
• Phishing: correos electrónicos masivos que se envían a una gran cantidad de personas en los que se solicita información confidencial o se insta a los remitentes a visitar un sitio web fraudulento.
• Ransomware: ciberataque que restringe el uso de datos y sistemas hasta que la víctima pague un «rescate».
¿Son comunes las brechas de ciberseguridad?
• Cuatro de cada cinco médicos en EE. UU. se han visto afectados por algún tipo de ciberataque
• En los últimos 13 años, se han producido 5150 filtraciones de datos sanitarios que han afectado a un mínimo de 500 historias clínicas cada una
• 382 262 109 historias clínicas se han visto expuestas en total en dichas filtraciones
• En 2022, se produjeron 700 filtraciones en organizaciones sanitarias que expusieron un mínimo de 500 historias cada una
Aunque 700 no sea una cifra astronómica, toda estadística y probabilidad pasa a un segundo plano en el momento en que los hackers atacan su centro o sistema sanitario. Como profesional sanitario, no solo debe encargarse de tratar a sus pacientes, sino también de proteger sus datos personales e historias clínicas. De hecho, la ciberseguridad debe considerarse parte de la seguridad de los pacientes, especialmente dado que los hackers también pueden ganar acceso al software que controla dispositivos médicos, como los marcapasos o las bombas de infusión intravenosa.
Invierta en un seguro de ciberriesgos
El plan y el presupuesto de su empresa debería contar siempre con un seguro de ciberriesgos, que puede cubrir su responsabilidad en caso de que se produzca una filtración en la que se vean expuestos los datos privados de pacientes. Asimismo, los fraudes en línea pueden costarle a su centro una gran suma en multas, auditorías y pleitos, además de afectar a la reputación y al rendimiento de la empresa. Por otra parte, es posible que los hackers soliciten grandes cantidades por el rescate en el caso de los ramsonware.
Recuperarse económicamente de una filtración de información sanitaria cuesta casi tres veces más que en otros sectores: una media de 408 € por cada historia clínica robada en comparación con 148 € por información de carácter no sanitario.
Los seguros de ciberriesgos suelen encargarse de lo siguiente:
• Notificar a los clientes sobre la filtración de datos
• Ofrecer servicios jurídicos que faciliten cobertura ante demandas por vulneración de la privacidad
• Recuperar los ingresos perdidos debido a la filtración
• Recuperar los datos expuestos
• Reparar los sistemas informáticos afectados
• Restablecer las identidades personales de los clientes afectados
De acuerdo con un estudio llevado a cabo por AdvisorSmith en el que se recopilaron las estimaciones de presupuesto y las declaraciones de tarifas de más de 43 aseguradoras estadounidenses, las primas de seguros de ciberriesgos oscilan entre 650 € y 2357 € al mes para empresas con riesgos moderados.
Salvaguardar las historias clínicas de sus pacientes no solo previene consecuencias nocivas para ellos, sino que también evita a su centro el tiempo, el estrés, las sanciones económicas y la pérdida de reputación que una brecha conlleva.
Externalice sus necesidades informáticas
Su especialidad es la sanidad, no la informática, por lo que la mejor opción para su pequeño centro es utilizar servicios externos para sus necesidades informáticas. Con una simple búsqueda en internet de servicios informáticos de ciberseguridad encontrará un gran número de resultados que le ayudarán a dar el primer paso. Utilice esta guía del Departamento de Salud y Servicios Humanos estadounidense para ayudarle a determinar sus necesidades informáticas.
Cree un plan de respuesta ante incidentes
Su socio informático puede ayudarle a desarrollar un plan de respuesta ante incidentes para determinar los pasos que se deben tomar en caso de que se produzca una brecha de ciberseguridad. Si no contrata los servicios de un consultor informático, asegúrese de crear su propio plan de respuesta ante incidentes para que su centro esté preparado.
Es posible que los empleados, que raramente experimentan ciberataques, no recuerden qué deben hacer en estos casos, y es posible que los directores del centro tampoco lo hagan, por lo que tener un plan hará que todos sepan qué medidas tomar.
Designe a una persona de su organización para que supervise los problemas de ciberseguridad como parte de este plan. Aunque cuente con un consultor informático, un empleado de confianza puede actuar como intermediario en estos casos. Otorgue prioridad al puesto para que el intermediario cuente con suficiente autoridad, importancia e independencia para actuar de forma eficaz.
También es importante limitar el acceso a programas informáticos únicamente a aquellas personas que necesitan utilizarlos. Esta medida disminuirá el riesgo de que se produzcan brechas de seguridad.
Repase las medidas básicas de seguridad
Aunque la terminología informática puede hacer que la mayoría de nosotros dejemos de prestar atención, sus empleados pueden consultar el plan de respuesta ante incidentes y entender las medidas básicas. Asegúrese de que sus centros adoptan estas medidas básicas de seguridad informática para mantener alejados a los ciberdelincuentes.
Su plan de respuesta ante incidentes debe incluir también precauciones como las siguientes:
• Fomentar el uso de autenticación multifactor y de contraseñas seguras; estas medidas adicionales dificultan más el acceso a los hackers.
• Instalar antivirus; los ciberdelincuentes suelen atacar los ordenadores de pequeños centros a través de virus y otros códigos similares que aprovechan vulnerabilidades.
• Utilizar cortafuegos; estos dispositivos protegen la seguridad identificando toda la información que entre o salga de una red, y permitiendo o bloqueando el acceso a los datos en función de una serie de reglas de seguridad.
• Limpiar los ordenadores y otros dispositivos; eliminar los datos almacenados antes de donar o deshacerse de ordenadores que ya no se necesitan.
• Ser precavidos a la hora de instalar programas; se debe limitar la instalación de programas a aquellos que sean verdaderamente necesarios, no aceptar la configuración por defecto sin comprobarla antes y descargar las actualizaciones habituales y recomendadas.
Contar con un plan de ciberseguridad detallado y bien elaborado debe ser una parte fundamental de su plan empresarial para proteger a los pacientes y a la organización que se ha esforzado tanto por construir.