Comprensión del impacto de un ataque cibernético y cómo responder al mismo.
De Trevor Weyland, director, Centro Nacional de Cibernética Gallagher.
Los centros y los departamentos de Radiología, al igual que todas las organizaciones de cuidado de la salud, con objetivos atractivos para ataques cibernéticos. En el desafortunado caso de que su centro reciba un ataque cibernético en radiología, es importante contar con un plan de respuesta a incidentes que active de inmediato una respuesta estructurada y practicada ante la situación.
Los piratas y delincuentes cibernéticos reconocen los datos valiosos relacionados con las imágenes médicas y la confianza que la profesión tiene en la tecnología para brindar atención y realizar las operaciones de su negocio. Por ejemplo, los atacantes con ransomware podrían tomar control de los sistemas del centro y hacer exigencias extorsivas para restaurar el acceso y no publicar los datos que encontraron.
Los ataques cibernéticos y las filtraciones de datos se originan de muchos vectores de amenazas, lo que incluye fraudes a través de ingeniería social y correos electrónicos comerciales, dispositivos perdidos, actos malintencionados de los empleados, robo físico de recursos del sistema, aprovechamiento de vulnerabilidades en el software o hardware, ataques de suplantación de identidad y credenciales comprometidas. No solo están en riesgo los propios sistemas del departamento de Radiología, sino también los sistemas de los proveedores (asesores de TI, proveedores de almacenamiento en la nube, etc.) en los que se basa la práctica para el funcionamiento de su negocio o sus sistemas, y a quienes los centros han confiado información médica protegida (PHI).
Aunque los incidentes se presentan de muchas formas, una respuesta contundente a un ataque cibernético en radiología (y sus responsabilidades) muy probablemente seguirá las categorías generales que se explican a continuación cuando un centro de atención médica trata de enfrentar la situación de manera efectiva y eficaz. Las prioridades serán entender qué ocurrió, tomar el control de la respuesta, restablecer el servicio de los sistemas y cumplir todas las obligaciones correspondientes ante terceros, como pacientes cuya información personal podría haberse comprometido.
Respuesta a incidentes ante un ataque cibernético en radiología.
Cuando el centro o departamento de imágenes médicas toma conocimiento de un incidente (por ejemplo, recibe una exigencia de ransomware o un aviso de filtración de datos), este deberá:
- Instar una investigación forense de la intrusión al sistema o la pérdida de datos para poder determinar qué acceso o datos están involucrados o en curso.
- Procurar asesoría legal para revisar y determinar las responsabilidades en virtud de las leyes de privacidad, como la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), que puedan requerir que se notifique a las personas afectadas y dentro de plazos acotados. Será importante contratar una empresa de representación jurídica con experiencia en esta área que también pueda asesorar al centro en cuanto a cómo contratar una empresa externa de servicios forenses y, al mismo tiempo, conservar el privilegio sobre los hallazgos, y que asesore sobre la legalidad de hacer pagos de rescate. Por ejemplo, la ley estadounidense generalmente prohíbe los pagos a personas o presuntos terroristas en jurisdicciones sujetas a sanciones integrales de los EE. UU.
- Gestionar la publicidad externa o las preguntas de la prensa sobre la situación.
Su organización de cuidado de la salud debe tener implementado (y probar periódicamente) un plan de respuesta a incidentes que describa el proceso de descubrimiento, investigación y respuesta a un incidente cibernético en radiología o cualquier otro departamento.
Operaciones de negocios.
Particularmente en el caso de un ataque a un sistema (o a los de los proveedores de TI), las operaciones de negocios de radiología pueden verse afectadas en un sinnúmero de maneras. Los sistemas pueden dejar de funcionar, lo que impediría el acceso a los registros y equipos digitales necesarios para las operaciones cotidianas. Esto puede limitar la capacidad de mantener o programar exámenes de imágenes médicas, afectar los ingresos y la facturación, y aumentar los costos internos mientras el personal de radiología encuentra soluciones alternativas. Es recomendable que el personal active estos sistemas de respaldo y restaure los datos; sin embargo, es posible que se necesiten recursos o fuerza laboral adicionales, así como incurrir en costos adicionales para restaurar los datos.
Parte de la preparación para resolver un incidente cibernético es tener redundancia de sistemas y datos, lo que incluye respaldos independientes, de modo que se puedan minimizar las consecuencias (y el tiempo de inactividad) en radiología y se pueda tener una mejor postura de negociación del centro con un atacante de ransomware.
Por último, es crucial mantener registros completos y precisos de los costos adicionales y los ingresos perdidos en caso de que sea posible recuperarlos de un proveedor o compañía de seguros.
Obligaciones y normatividad.
No proteger la información confidencial contra la publicación o el acceso no autorizados genera responsabilidades y obligaciones legales. Varias regulaciones federales y estatales como la HIPAA de 1996 regulan el uso y la seguridad de la información privada e imponen obligaciones de dar aviso de filtraciones. También permiten que los organismos de regulación como la Oficina de Derechos Civiles (Office of Civil Rights, OCR) investiguen y penalicen a los transgresores e impongan planes de medidas correctivas; todo ello a un costo potencialmente considerable para la organización.
Próximos pasos.
En la actualidad, las amenazas cibernéticas son demasiado reales y tienen consecuencias potencialmente graves para una empresa de cuidado de la salud y sus operaciones. Sin embargo, una organización puede hacer mucho para prepararse y protegerse mediante sistemas de TI que incorporen controles y medidas adecuados para prevenir y minimizar los ataques, así como tener implementado un plan de respuesta a incidentes.
Sin embargo, el personal no tiene por qué responder sin acompañamiento a los incidentes. El seguro cibernético no solo brinda la transferencia de los riesgos financieros, sino que también proporciona acceso inmediato a servicios legales, forenses y otros profesionales expertos que ayudarán a gestionar la situación de manera efectiva y eficiente. Asimismo, el seguro cibernético, y los recursos que brinda, debe formar parte integral de todo plan de respuesta a incidentes.
Trevor Weyland es vicepresidente sénior de área en Gallagher e integrante de los centros nacionales de cuidado de la salud y cibernética. Brinda asesoría a organizaciones de cuidado de la salud sobre soluciones y riesgos de responsabilidades cibernéticas y de gestión.
Acerca de Gallagher
Gallagher es el nombre comercial en Arthur J. Gallagher & Co. (NYSE: AJG), un agente mundial de seguros, empresa de servicios de asesoría y gestión de riesgos con sede en Rolling Meadows, Illinois. La empresa opera en 57 países y ofrece capacidades de servicio a clientes en más de 150 países alrededor del mundo a través de una red de asesores y agentes correspondientes.
Este artículo es únicamente para fines informativos y no representa asesoría profesional por parte de Carestream Health. Carestream no garantiza la aplicabilidad de los servicios de Arthur J. Gallagher & Co. a su situación particular.
Referencias:
Carestream (2023) CÓMO RESPONDER A UN ATAQUE CIBERNÉTICO EN RADIOLOGÍA. https://www.carestream.com/blog/2022/03/22/como-responder-a-un-ataque-cibernetico-en-radiologia/#