El sector salud es el más vulnerable en el área de ciberseguridad, los ataques logran afectar a las instituciones en un año por 5,6 billones de dólares, de acuerdo a datos de la Fasoo, una organización estadounidense de investigación de la industria.

Según las agencias del gobierno de Estados Unidos en 2015 se detectaron 253 violaciones en hospitales, clínicas y proveedores de atención de la salud en general. La divulgación de información confidencial de los pacientes de aquellas entidades dañó directamente a cerca de 500 personas. Las violaciones colocarán en manos de los hackers y ciberactivistas un volumen de 112 millones de piezas de información de las historias clínicas de los pacientes. Esto incluye listas de medicamentos con receta, descripción y justificación de las cirugías y tratamientos, así como información sobre pagos anteriores o vencidos.

La importancia extrema de los datos sobre la salud de una persona es lo que hace a las empresas de este sector tan vulnerables a los ataques. Una de las formas más comunes de violaciones es el secuestro (ransomware) de la historia clínica del paciente y la solicitud de reembolso. En general, el paciente no es consciente de lo que sucedió, porque el hospital o clínica se apresura a pagar el rescate para preservar tanto la reputación del paciente como su propia imagen en el mercado de proveedores de atención médica.

Las consecuencias de una violación de datos son desproporcionadamente altas para la industria de la salud.  De acuerdo al Instituto Ponemon, el costo promedio per capita de una violación de datos es de 190 dólares y en la vertical de salud es de aproximadamente 314 dólares.

Marcos Oliveira, Director General de Blue Coat Systems Brasil, habla sobre estos hechos y profundiza sobre los diversos frentes de batalla que enfrentan los CISOs de las  empresas de salud.

1 – El próspero mercado negro de los datos de salud

El dato sobre el estado de salud de la gente es muy valioso para los piratas informáticos, ya que pueden venderlos a precios elevados en el mercado negro. En los Estados Unidos, cada registro de pacientes se vende por más de 47 dólares. Este es un valor alto si lo comparamos con lo que se paga por los datos de una tarjeta de crédito personal se comercializan desde 1 dólar. El objetivo de los hackers es para ganar mucho dinero haciendo grandes violaciones que amenazan con exhibir o vender los datos de millones de personas.

2 – Fraudes contra las aseguradoras generan riqueza para los delincuentes

Los criminales cibernéticos no solo obtienen los datos para venderlos. Los delincuentes también pueden utilizar los registros médicos para accionar a las aseguradoras de manera fraudulenta y a los sistemas de salud del gobierno. Ellos pueden robar las identidades de los pacientes, por ejemplo, obtener consulta gratuita o tratamiento, o incluso el acceso a los ingresos de medicamentos recetados.

3 – El gran dilema: ¿Subir los datos en la nube, o no?

El cumplimiento es una preocupación importante para cualquier organización del cuidado de la salud. Esta realidad hace que muchos proveedores duden en actualizar o cambiarse a los nuevos sistemas de seguridad. Este es un gran problema para la industria de la salud. Las amenazas son cada vez más avanzadas por lo que los sistemas de seguridad deben evolucionar a la misma velocidad.

El Gateway de protección de datos en la nube (CDP), por ejemplo, proporciona un control flexible que protege la información confidencial antes de salir de una red corporativa. Éste intercepta la información de salud, mientras que todavía está en el centro de datos interno y lo reemplaza con un valor tokenizado o cifrado que se envía a la nube. De esta manera, los datos que son interceptados en la nube no tienen ningún significado. Estas plataformas también aseguran que los usuarios finales mantengan la funcionalidad requerida de la aplicación SaaS en la nube y sobre los datos cifrados o tokenizados. También existen tecnologías que pueden utilizarse para monitorear de forma continua y dar seguimiento de los archivos de datos de salud y desencadenar acciones para evitar que sean enviados a la nube o simplemente alertar al área de TI de que la información fue enviada a la nube.

4 – La importancia del cifrado

Las políticas del gobierno de Estados Unidos hacen hincapié en el papel beneficioso que puede ser desempeñado por el cifrado ya que codifica los datos de manera que sólo las personas autorizadas son capaces de descifrar la información para leerla. Por lo tanto, no impide necesariamente que alguien intercepte los datos, pero impide que alguien pueda verlos. Es esencial que las claves de cifrado se mantengan y administren por el personal de TI de una empresa de salud.  Esto no se puede hacer por los propios proveedores de la nube ya que la pérdida de la propiedad de las claves de cifrado expone a la organización a la difusión de los datos con riesgos adicionales.

5 – Adiós a la inmovilidad y el miedo

La criticidad extrema de los datos del sector de la salud puede llevar al gerente de la empresa del sector salud a una cierta inercia, una reacción contra la digitalización de datos y servicios. El origen de esta rigidez es el miedo, y no contribuye en nada a ganar la guerra cibernética. En vez de resistir la transformación digital y la nube, es mejor que el CISO y otros ejecutivos investiguen sobre las nuevas soluciones de control y protección de datos – incluyendo la nube – que están surgiendo. Una de las ofertas más estratégicas, de acuerdo con Gartner, es el CASB (Cloud Access Security Broker). Esta plataforma proporciona visibilidad a las amenazas, proporcionando detección y análisis de malware. Todo se hace para transformar la nube en un ambiente controlado y seguro para aplicaciones y datos que forman el corazón de la compañía en el sector de la salud.

Finalmente, en el comunicado las firmas de ciberseguridad señalan que es de reaccionar y anticiparse a conocer las estrategias digitales en el mercado totalmente capaces de combatir las nuevas amenazas que acontecen a diario en el sector salud.

Redacción