La información médica, primer objetivo de los delincuentes cibernéticos

La opinión de Leo Matveev, presidente del directorio de SearchInform

Los especialistas de la seguridad informática aseguraron en publicaciones especializadas que la industria de la salud sufrió en promedio una violación por día durante 2016. Jason Allaway, vicepresidente de RES, empresa británica proveedora de sistemas de la seguridad de la información, alertó sobre la vulnerabilidad de los datos médicos. "La noticia de que la industria de la salud sufrió en promedio una violación de datos al día en 2016 debe servir como una advertencia a las organizaciones. La industria ha sido un blanco predilecto para los delincuentes cibernéticos y que en 2017 seguirá aumentando".

La razón por la cual el sector de la salud es víctima de estos altos niveles de ataques es debido al valor de los datos. Los estafadores buscan un beneficio económico, y en el caso de acceder a los datos del cuidado médico el beneficio es mayor, ya que es en ese dato que muchas veces se define la vida o de la muerte de un paciente. A menos que los hospitales tengan una estricta política de seguridad y de respaldo que les permitan recuperar rápidamente estos datos, no les quedará otra opción que pagar el rescate para que los médicos y otros profesionales médicos puedan seguir prestando atención médica crítica.

Por otro lado, estamos presenciando un resurgimiento del doxware en 2017, donde los criminales ya no amenazan con bloquear los datos sustraidos, sino que los hacen públicos. Esta es una clara amenaza para las organizaciones médicas debido a la gran cantidad de información confidencial y personal que poseen. Las organizaciones médicas que se ven atacadas desde todos los ángulos, necesitan una estrategia de seguridad proactiva, sofisticada y variada para protegerse a sí mismos y a sus pacientes en el próximo año".

La protección de los datos personales en el sector de salud es una prioridad para las organizaciones médicas rusas en 2017. En una columna en la Republic de Moscú comentamos sobre la vulnerabilidad de los datos de los pacientes. "La medicina está migrando gradualmente a nuevos formatos digitales para trabajar con la información de los pacientes, otorgando turnos a través de Internet, permitiendo el pago de los servicios en una plataforma online, historias clínicas digitales en lugar de los viejos expedientes médicos, las técnicas de telemedicina van ocupando el lugar de las tediosas visitas al médico. El problema es que las instituciones médicas no se preocupan demasiado por la protección de los datos personales de sus pacientes. Esto no pasa sólo en Rusia".

Un estudio reciente realizado por las instituciones médicas de Estados Unidos muestra que la proporción de la información médica sobre el número total de violaciones de datos personales 2010-2016 aumentó de 20% a 50%. Por supuesto, esto no significa que en la medicina estadounidense se produzcan más robos, sino que el sistema médico de Estados Unidos ahora es capaz de detectar las fugas con éxito, y además las leyes no permiten que los delincuentes eludan su responsabilidad.

Podemos mencionar el caso que el estado Connecticut multó con $90.000 a la compañía EMC y al Hospital Hartford por la pérdida de un ordenador portátil con datos médicos no cifrados de 8883 pacientes. En Rusia, la mayoría de las fugas de las instituciones médicas no son tenidas en cuenta. Los pacientes rara vez se quejan o van a la policía a formalizar una denuncial. Los médicos no se dan cuenta de la gravedad de lo que significa la filtración de la información de pacientes a terceros (ya sea accidental o intencionalmente) y que las propias instituciones no están obligados a revelar incidentes relacionados con fugas de información, simplemente debemos reconocer que las condiciones sobre la seguridad de los datos médicos rusos no son las mejores.

Muchas veces los ejemplos y las historias reales nos ayudan a poner en contexto la verdadera escala del problema. En Belozersk, en la provincia de Vologda, la Fiscalía inició un proceso administrativo contra un médico del hospital regional por la divulgación de datos personales. Un residente local publicó una foto con las indicaciones de como tomar los medicamentos prescritos por el médico escritas al dorso del ticket de otro paciente. En este ticket además del turno contenía los datos personales del paciente: apellido, nombre, fecha de nacimiento, número de documento, dirección y el diagnóstico. El doctor fue acusado de la violación de los procedimientos por el manejo de datos personales y también por la revelación de secreto médico.

En las “Noticias de Novosibirsk” llamó la atención el hecho que en el sitio web de la farmacia Novosiboblfarm aparecían los datos personales de los pacientes que solicitaban consultas o pedidos de medicamentos en la tienda online. Todos los datos estaban disponibles: diagnostico, nombre y apellidos, números de instituciones médicas, teléfonos, etc. Lamentablemente algunos de los pacientes ya fueron molestados por empresas de servicios y estafadores que usan la información que estaba sin proteger.

En el hospital de la villa de Vsevolodo-Vilva en la región de Perm, un paciente recibió junto con los resultados del electrocardiograma una lista de otros pacientes. En la hoja que pegaron el informe de electrocardiograma, se hallaban apellidos, nombres, fechas de nacimiento, direcciones y números de seguros de salud. El paciente publicó la foto del documento en una red social y la acompañó con un comentario de agradecimiento a “los empleados más responsables del hospital”. “Que gracias a la amabilidad y responsabilidad de esta buena gente, mañana obtendré el crédito tan deseado”, cita el sitio regional.

Como consecuencia de la digitalización de los datos, las instituciones se volvieron más vulnerables a los ataques cibernéticos y las acciones de insiders. Los estafadores toman la información sobre los pacientes para ganar dinero o para ofrecer un servicio a alguien.

También hay mucha gente que quiere comprar datos personales. Los más interesados en tener estos datos son los propietarios de servicios fúnebres, los vendedores de medicamentos producidos en laboratorios clandestinos, empresas de publicidad, los agentes inmobiliarios y estafadores en general.

Confiados en la falta de un sistema de seguridad (los hospitales pocas veces cuentan con un administrador de sistemas de manera regular), los empleados de las instituciones médicas no se ocultan a la hora de llevarse ilegalmente los datos. En la mayoría de los casos utilizan el correo electrónico personal, otras veces envían archivos a través de las redes sociales, también graban datos en un pendrive. Los trucos habituales de los insiders para filtrar datos consisten en subir archivos a la nube o entrar a la red con las credenciales de la cuenta de otra persona, los trabajadores médicos casi no usan contraseñas, lo más probable esto es debido a un nivel bajo de la capacitación manejo de información sensible o sobre la seguridad de los datos.

Hay varios ejemplos que pueden ayudarnos comprender como trabajan los insiders en la medicina. Un médico de emergencias enviaba los datos de las muertes de los pacientes y sus datos del seguro médico a los representantes de diferentes agencias de servicios fúnebres. Para el intercambio de mensajes usaba Viber, el departamento de seguridad se dio cuenta cuando el médico utilizó la versión web del mensajero en la computadora del trabajo. Al leer los mensajes intercambiados, fue muy claro que la información se estaba filtrando desde hacía mucho tiempo. Los estafadores no hablaban de “retornos”, sólo solo se pasaban información concreta. El doctor fue multado y sancionado.

Un dentista de una clínica estatal enviaba los datos personales de los pacientes a su correo personal. Rápidamente, el servicio de seguridad descubrió que el especialista también trabajaba en una clínica privada, adonde “se llevaba” a los clientes, ofreciéndoles supuestamente mejores condiciones para el diagnóstico y el tratamiento. El empleado también fue sancionado severamente y su actividad fue puesta bajo un control especial.

En general, este motivo de fugas de datos, el asegurar un flujo constante de clientes a una institución médica privada, es uno de las prácticas más comunes. El problema es que hoy en día, la seguridad informática en la asistencia sanitaria se limita a la verificación del cumplimiento de los requisitos reglamentarios. En Rusia hay una ley sobre la protección de datos personales, la FZ No. 152. La ley incluye una serie de requisitos formales, cuyo cumplimiento es obligatorio: los datos personales deben almacenarse en un lugar inaccesible al público en general, el acceso a ellos debe estar estrictamente regulado, la información sensible debe dividirse en grupos, cado uno de los cuales debe tener su propio procedimiento de acceso. En teoría sería muy fácil, sólo necesitaríamos escribir las órdenes adecuadas, trasmitirlas al personal y familiarizarlos con ellas.

Una cuestión completamente diferente es su aplicación, como se pueden cumplir si no hay capacidades técnicas, recursos humanos y personal especializado. Es por eso que la existencia de una ley puede no tener impacto con la situación real. Existen documentos especializados, los empleados los han leído y firmado, pero si en la práctica todo sigue siendo igual, nada cambia.

En los EE. UU., la situación es muy diferente desde hace mucho tiempo, las fugas o incluso el almacenamiento inadecuado de los datos de los pacientes contemplan con multas enormes o la persecución judicial. Los servicios sanitarios están obligados a proporcionar seguridad informática según la ley HIPAA (Ley de Transferencia y Responsabilidad de Seguro Médico) desde 1996. Está demostrado que es más barato monitorear y cumplir con la regulación que ignorar la ley. De acuerdo con el informe del estudio global del Instituto de Larry Ponemon (“2016 Cost of Data Breach Study: Global Analysis”), el daño causado por la pérdida de datos en la salud pública es de $ 355, mientras que el valor promedio de este indicador en todos los otros sectores de la economía es de $ 158.

La situación con la seguridad informática en la medicina rusa debe ser cambiada. Es posible que la ley sobre la telemedicina pueda ser el catalizador, y finalmente darnos cuenta de la magnitud del problema. La telemedicina no es tan simple como realizar una consulta por Skype, se trata de un diagnóstico remoto completo de una persona. Este tipo de diagnóstico implica la transferencia de información confidencial sobre el paciente. Y aquí surge la pregunta sobre la necesidad de una transferencia segura y el almacenamiento de dicha información. El problema no es nuevo para la medicina, sólo que con el advenimiento de la telemedicina empeora y los atacantes tendrán más fuentes por donde obtener y utilizar datos ilegalmente.

En este sentido hay demasiadas preguntas. ¿Cómo se almacenarán los datos personales de los pacientes? ¿Cómo implementar un sistema de seguridad? Y, eventualmente, cuándo pueden las instituciones de salud usar estas tecnologías? No es necesario reinventar la rueda. Podemos referirnos a la experiencia de aquellos países en los que el problema de la protección de datos personales se está resolviendo actualmente. Los EE. UU. tienen un desarrollado sistema de protección contra fugas de información, y no se trata sólo de leyes y multas.

Los empleados están técnicamente muchos más preparados, más versados en la tecnología y entienden las consecuencias de sus acciones. Nuestro personal médico sólo tiene un conocimiento básico de la seguridad informática, no es consciente de la responsabilidad de los datos de pacientes disponibles en la institución. Y luego resulta que la base de datos de pacientes se envía a todas las personas de la libreta de direcciones, las recetas se escriben en la primera hoja que encuentran sin tener en cuenta si tiene datos personales de los pacientes o si la información sobre fallecidos es enviada a empresas de servicios fúnebres.

En las instituciones médicas de los EE.UU. se implementan varios niveles de protección contra las amenazas externas e internas. Inicialmente, los empleados clasifican cuidadosamente los documentos, cuáles son información confidencial y cuáles no. Esto refleja en gran parte las particularidades del funcionamiento de sistemas DLP extranjeros, que son adaptados para bloquear fugas y su trabajo es altamente automatizado.

Una variable importante también es la económica, en varios países los costos de la protección de datos son muy altos: contratación de especialistas de la seguridad informática, instalación y mantenimiento de sistemas de seguridad informática, capacitación del personal. En Rusia no se asignan presupuestos para seguridad y el hospital público por sí solo no puede permitirse ese lujo.

(*) Leo Matveev: Presidente del directorio de SearchInform


Comentarios

Comparte tu opinión con los lectores