Los expertos en ciberseguridad afirman que las dos mayores amenazas para la ciberseguridad sanitaria son las amenazas internas y el ransomware.
John Riggi, asesor principal de ciberseguridad y riesgos de la Asociación Americana de Hospitales, dijo que los ataques de ransomware de impacto se han acelerado por la pandemia de COVID-19. Según el Sr. Riggi, este tipo de ataques es responsable de interrumpir la prestación de servicios sanitarios y poner en riesgo la seguridad de los pacientes.
Sin embargo, «ninguna organización puede evitar al cien por cien estos ataques», dijo el Sr. Riggi.
El ransomware de impacto puede hacer caer la red de un sistema sanitario hasta cuatro semanas, lo que significa que los sistemas sanitarios tienen que preparar sus procedimientos de inactividad.
«Estamos viendo ahora que los hospitales entienden que deben prepararse para los procedimientos de tiempo de inactividad y los procedimientos de tiempo de inactividad clínica más allá de 96 horas», dijo el Sr. Riggi. «Tienen que ver cómo pueden continuar con una atención al paciente segura y de alta calidad, durante unas tres o cuatro semanas».
La otra amenaza para la ciberseguridad sanitaria son los propios empleados de los sistemas de salud, según Lee Kim, director senior de ciberseguridad y privacidad de la Healthcare Information and Management Systems Society.
Las amenazas internas incluyen a los empleados sanitarios que abusan de sus derechos de acceso para robar datos de los pacientes con el fin de cometer robos de identidad y fraudes financieros, a los empleados que actúan de forma inapropiada o a los que accidentalmente ponen en riesgo los sistemas y datos informáticos sin su conocimiento.
Este tipo de amenaza, según la Sra. Kim, es el mayor peligro para la ciberseguridad sanitaria.
«Si nos fijamos en las estadísticas, en general las personas son la puerta de entrada a los incidentes de ciberseguridad», dijo la Sra. Kim. «Estas amenazas internas son bastante significativas y tienen impactos fuertes en las organizaciones».
Según el HHS, las organizaciones pierden alrededor de 11,45 millones de dólares al año debido a las amenazas internas.
La Sra. Kim dijo que los sistemas de salud deben asegurarse de que haya una gobernanza adecuada para los programas de ciberseguridad, de modo que se establezcan políticas y procedimientos. También dijo que los empleados deben comprenderlos fácilmente y saber por qué existen.
«Es absolutamente necesario que el personal reciba formación sobre las políticas de ciberseguridad anualmente, además de la educación sobre lo que es y cómo se cumple con la HIPAA», dijo la Sra. Kim. «La concienciación sobre la seguridad es algo que debe hacerse con regularidad. Yo diría que al menos mensualmente, si no con más frecuencia. Hay que llevar un registro de quiénes son presa de los correos electrónicos de phishing, saber quiénes son los reincidentes y reeducar a los reincidentes».
Nota original: BeckersHospitalReview.com