El reciente ciberataque al coloso de facturación y pagos Change Healthcare ha revelado cuán graves son las vulnerabilidades en todo el sistema de salud de EE. UU. y alertó a los líderes de la industria y a los formuladores de políticas sobre la necesidad urgente de una mejor seguridad digital.
Los hospitales, las aseguradoras de salud, las clínicas médicas y otros en la industria son cada vez más el objetivo de grandes ataques, que culminaron con el ataque a Change, una unidad del gigante UnitedHealth Group, el 21 de febrero.
El ataque de ransomware a la cámara de compensación más grande del país, que gestiona un tercio de todos los registros de pacientes, tuvo efectos generalizados. Los parches y las soluciones alternativas han aliviado algunos problemas, pero los proveedores aún no pueden cobrar miles de millones de dólares en pagos. Muchos hospitales y consultorios médicos pequeños todavía luchan por cobrar más de un mes después de que Change se viera obligado a cerrar muchos de sus sistemas.
Hasta el momento, se ha publicado muy poca información sobre la naturaleza exacta y la magnitud del ataque. UnitedHealth dijo que ha adelantado más de $3 mil millones a proveedores en dificultades y espera que más servicios de Change estén disponibles en los próximos años. semanas mientras volvía a poner los sistemas en línea.
El FBI y el Departamento de Salud y Servicios Humanos están investigando el hackeo de Change, incluso si los registros de los pacientes y la información personal se vieron comprometidos. Dado que la red de Change actúa como una centralita digital que conecta la información desde la primera visita al médico hasta un diagnóstico como cáncer o depresión y luego el tratamiento posterior a una aseguradora de salud para obtener beneficios y pagos, existe el riesgo de que el historial médico de las personas quede expuesto durante años. .
El ataque al Cambio es sólo el ejemplo más ambicioso de lo que se ha convertido casi banal en el sector sanitario. Los ataques de ransomware, en los que los delincuentes apagan los sistemas informáticos a menos que los propietarios paguen a los piratas informáticos, han afectado a 46 sistemas hospitalarios. el año pasado, en comparación con 25 en 2022, según la empresa de seguridad de datos Emsisoft. En los últimos años, los piratas informáticos también han derribado empresas que prestan servicios como transcripción médica y facturación.
que tan grande es el problema?
Los consultores de ciberseguridad y los funcionarios gubernamentales han identificado consistentemente la atención médica como el sector de la economía estadounidense más vulnerable a los ataques, y una parte tan importante de la infraestructura crítica del país como la energía y el agua.
“Todos deberíamos estar aterrorizados”, dijo DJ Patil, director de tecnología de la compañía de seguros Devoted Health y ex científico jefe de datos de la Oficina Federal de Política Científica y Tecnológica. Él y otros han destacado las protecciones inadecuadas de los sistemas de atención médica de Estados Unidos, a pesar de eventos dramáticos como el ataque de ransomware de 2017 que bloqueó los registros médicos del Servicio Nacional de Salud de Gran Bretaña, lo que provocó una interrupción masiva para los pacientes.
«Toda la industria carece de recursos en lo que respecta a la ciberseguridad y la seguridad de la información», dijo Errol Weiss, director de seguridad del Centro de Análisis e Intercambio de Información de Salud, que describió como una vigilancia virtual del vecindario para la industria.
El ataque de Change atrajo mucha más atención del gobierno al problema. La Casa Blanca y las agencias federales han celebrado varias reuniones con funcionarios de la industria. Los legisladores en el Congreso también han abierto investigaciones y los senadores han convocado al director ejecutivo de UnitedHealth, Andrew Witty, a testificar esta primavera.
El sector financiero ha trabajado para identificar y fortalecer áreas vulnerables para hacerlo menos propenso a ataques sistémicos. Pero «la atención médica no ha sido objeto de un ejercicio de mapeo para comprender» exactamente dónde los principales puntos críticos corren el riesgo de ser pirateados, dijo Erik Decker, director de seguridad de información de Intermountain Health, un gran sistema de salud regional con sede en Lago salado. Ciudad.
“Aprendimos una lección: tenemos que hacer esto”, dijo Decker, quien también preside un grupo de trabajo del sector privado sobre ciberseguridad en la atención médica que asesora al gobierno federal.
Wall Street y el sistema bancario del país han recibido fuertes incentivos financieros para reforzar sus defensas porque un hacker podría robar su dinero, y la industria enfrenta una regulación gubernamental más estricta.
Los ataques a la atención sanitaria pueden tener consecuencias mortales.
Los estudios han demostrado que aumenta la mortalidad hospitalaria el día después de un ataque. Los médicos no pueden revisar la atención médica anterior, compartir notas con colegas o comprobar las alergias de los pacientes, por ejemplo.
Las cirugías programadas se cancelan y las ambulancias a veces son redirigidas a otros hospitales, incluso en casos de emergencia, porque el ciberataque interrumpió las comunicaciones electrónicas o los registros médicos y otros sistemas. La investigación sugiere que los hacks tienen un efecto en cascada, reduciendo la calidad de la atención hospitales cercanos obligado a aceptar pacientes adicionales.
«La ciberseguridad se ha convertido en una cuestión de seguridad del paciente», afirmó Steve Cagle, director ejecutivo de Clearwater, una empresa de cumplimiento de la atención sanitaria.
En algunos casos, los piratas informáticos han hecho públicos datos confidenciales de salud de los pacientes. Lehigh Valley Health Network se ha negado a pagar el rescate exigido por la misma entidad sospechosa del ataque a Change Healthcare. Luego, los piratas informáticos publicaron en línea fotografías desnudas de pacientes que recibían tratamiento para el cáncer de mama, según un proceso presentado por una de las víctimas. Se robaron cientos de fotografías de pacientes.
¿Por qué el sector sanitario es un objetivo?
Los registros médicos pueden representar varias veces la cantidad de dinero que genera una tarjeta de crédito robada. Y a diferencia de una tarjeta de crédito, que se puede cancelar rápidamente, la información médica de una persona no se puede cambiar.
«No podemos deshacer su diagnóstico y enviarle uno nuevo», dijo John Riggi, asesor nacional de ciberseguridad y riesgos de la Asociación Estadounidense de Hospitales, un grupo comercial.
Pero también dijo que los registros tienen valor «porque es fácil cometer fraude en la atención médica». Las aseguradoras de salud, a diferencia de los bancos, a menudo no utilizan métodos sofisticados para detectar fraudes, lo que facilita la presentación de reclamaciones falsas.
Las personas preocupadas por el robo de números de Seguro Social y otra información financiera pueden registrarse en una agencia de seguimiento crediticio, pero los pacientes tienen pocos recursos si les roban su información personal de salud.
Las redes hospitalarias y otros grupos de atención médica también se han apresurado a pagar rescates para intentar limitar la exposición de los pacientes, una medida que sólo recompensa y envalentona a los piratas informáticos. El FBI aconseja a los objetivos de ataques de ransomware que no paguen, pero la mayoría de los hospitales lo hacen porque hay mucho en juego. En el caso de Change Healthcare, la empresa supuestamente pagó un rescate de 22 millones de dólares, según un informe de cableado.
¿Por qué los hospitales y los médicos no hacen más?
A pesar del riesgo, los hospitales y consultorios médicos pequeños a menudo no tienen el dinero para financiar medidas de seguridad mejoradas ni la experiencia para investigar amenazas graves.
Y las tecnologías más antiguas rara vez son compatibles con los últimos estándares de ciberseguridad; una combinación de productos y proveedores conectados deja abiertas las puertas laterales digitales, lo que atrae a los piratas informáticos. Debido a que los ataques se dirigieron en gran medida a sistemas hospitalarios individuales antes de que se obstaculizara el cambio, los grupos subestimaron su riesgo.
Jacki Monson, vicepresidenta senior de Sutter Health y presidenta del Comité Nacional de Estadísticas Vitales y de Salud, dijo: “La gente tiene que decidir en qué van a invertir, y la ciberseguridad generalmente no es el primer lugar de la lista. »
¿Cuál es la respuesta del gobierno?
El marco regulatorio también es antiguo y fragmentado. Los hospitales pueden elegir entre una variedad de normas de seguridad y no existe un seguimiento previo de su cumplimiento.
La seguridad digital está dividida entre diferentes oficinas dentro del HHS, y gran parte del poder regulatorio de la agencia aún se basa en una ley de 1996, redactada antes del desarrollo de los sistemas de salud digitales modernos o del aumento del pirateo con ransomware. La regulación gubernamental se ha centrado en la privacidad y el cumplimiento en lugar de proteger contra ataques.
La regulación de la seguridad de los datos de las aseguradoras es aún más desigual, ya que las aseguradoras de salud están reguladas en gran medida a nivel estatal. Muchos proveedores como Change, que brindan servicios digitales a hospitales pero no son proveedores de atención médica, también pueden quedar atrapados en las grietas regulatorias, dijo Monson.
Esto puede cambiar. La administración de Biden está ordenando al HHS que garantice que los hospitales tengan la protección adecuada. La administración también está considerando revisiones regulaciones sobre cómo se comparten los datos de salud y puede imponer reglas más claras sobre las medidas de seguridad digital para los hospitales.
El senador Ron Wyden de Oregón, presidente demócrata del Comité de Finanzas del Senado, ha expresado interés en establecer reglas nuevas y más estrictas.
«Hoy en día, no existen normas técnicas federales obligatorias para la ciberseguridad para el sector de la atención médica, a pesar de que la gente ha estado hablando de ello durante años, décadas aproximadamente», dijo durante una audiencia reciente sobre el presupuesto del presidente. «Quiero ser claro: esto debe cambiar ahora».
Actualizar los sistemas en todos los niveles puede resultar costoso, especialmente para organizaciones pequeñas que operan con presupuestos ajustados. Hace veinte años, cuando el gobierno exigió a los hospitales que cumplieran con estándares de ciberseguridad para implementar registros médicos electrónicos, combinó reglas estrictas con importantes incentivos financieros.
La administración Biden solicitó $800 millones iniciales para ayudar a mejorar los sistemas hospitalarios como parte de su reciente propuesta presupuestaria. Pero no está claro si el Congreso podrá o estará dispuesto a financiar la modernización hoy.
Y algunos hospitales seguirán gastando dinero en la última tecnología de resonancia magnética o en más enfermeras a expensas de fuertes protecciones digitales.
“Sin recursos adicionales para elevar el listón, estos proveedores de atención médica y pagadores de atención médica seguirán teniendo que elegir entre pagar el tratamiento o la ciberseguridad”, dijo Iliana Peters, exfuncionaria federal de salud especializada en seguridad de datos. abogado de Polsinelli, una firma de abogados en Washington, D.C.
