En los últimos dos años, COVID-19 ha ocupado las mentes de los proveedores de atención médica, con razón, considerando el tremendo costo de la pandemia para los pacientes. Pero otra amenaza que causa un daño inmenso recibe menos atención: el ransomware. Si bien los ataques de ransomware reciben muchos titulares, el daño irreparable que esta amenaza podría causar a los pacientes a menudo falta en la discusión.
Los ataques cibernéticos son un tipo diferente de pandemia que ha aumentado sustancialmente en los últimos años. Se han convertido en una realidad cotidiana para el sector sanitario. Los líderes de atención médica entienden que las amenazas cibernéticas son una "nueva normalidad". Pero la conversación sobre el riesgo cibernético generalmente se centra en el resultado final, como los costos de mitigación, incumplimiento o demandas.
Para un sector cuya misión es mejorar nuestra calidad de vida, es sorprendente que las principales preocupaciones de ciberseguridad giren en torno a las pérdidas financieras. Los líderes de atención médica, los médicos y otros proveedores de atención deben analizar los riesgos de ciberseguridad a través de una nueva lente: la salud y la seguridad del paciente.
El ransomware y los profesionales de la salud prometen "no hacer daño"
Los profesionales de la salud dedican su atención a proteger a los pacientes de daños. En el mundo digital actual, este mandato ya no se limita a la prestación de atención directa. Un ataque de ransomware pone a los pacientes físicamente en riesgo y podría ser tan devastador como una enfermedad potencialmente mortal.
Considere el ataque que paralizó las operaciones en el Centro Médico de la Universidad de Vermont (UVMC) en el otoño de 2020. Después de que el ransomware cerrara el acceso a sistemas como registros electrónicos de salud durante casi un mes, el centro oncológico de UVMC tuvo que rechazar a cientos de pacientes de quimioterapia.
La clínica de cáncer atendió en gran medida a las áreas rurales, por lo que el ataque cibernético no solo dejó a muchos de esos pacientes con miedo, angustia y lágrimas, sino también sin alternativas de tratamiento. El New York Times citó a una enfermera diciendo: "Mirar a alguien a los ojos y decirle que no puede tener su tratamiento para prolongar o salvar vidas, fue horrible y totalmente desgarrador".
Historias como las de los pacientes de UVMC rara vez se desentrañan en público, pero están lejos de ser únicas. Un informe reciente del Instituto Ponemon (PDF) encontró que un ataque de ransomware afectó al 43% de las organizaciones de prestación de atención médica encuestadas en los últimos dos años. Las consecuencias incluyeron malos resultados debido a retrasos en los procedimientos o pruebas (experimentados por el 70% de los hospitales afectados por ransomware), mayores complicaciones de procedimientos médicos (36%) y un aumento en las tasas de mortalidad (22%).
Repensar la importancia de la ciberseguridad
ECRI, una organización sin fines de lucro centrada en la seguridad del paciente, nombró a los ataques de ciberseguridad como el principal peligro de la tecnología de la salud (PDF) para 2022. Los factores que influyeron en la clasificación incluyeron gravedad, frecuencia, amplitud y capacidad de prevención. El informe de ECRI llevó a casa el punto de que los incidentes de ciberseguridad "no solo interfieren con las operaciones comerciales, sino que pueden interrumpir la atención al paciente, lo que representa una amenaza real de daño físico".
Espere que este riesgo se avecina a medida que los actores de amenazas se dirigen al sector a un ritmo alarmante. UVMC es un buen ejemplo: pocos días después de que los funcionarios del gobierno de los Estados Unidos advirtieran sobre ataques cibernéticos inminentes de piratas informáticos rusos en hospitales estadounidenses, atacaron el centro médico. No fue la primera alarma de este tipo.
La ciberseguridad, por supuesto, no es un problema nuevo para el sector. Los profesionales de TI y ciberseguridad han hecho sonar durante mucho tiempo la sirena de que la atención médica está detrás de muchas otras industrias en la implementación de defensas sólidas. Pero las amenazas de ransomware arrojan una nueva luz sobre las deficiencias de ciberseguridad porque el impacto en los pacientes es inmediato y el daño es mucho mayor que algo como una violación de datos.
Es hora de que tanto los responsables de la toma de decisiones como los profesionales de la prestación de servicios de salud comprendan los beneficios humanos de la ciberseguridad y la pérdida humana cuando está ausente o falla. Los pacientes acuden a hospitales o clínicas esperando tratamiento, a menudo urgente. Si los proveedores de atención médica no pueden brindar esos servicios porque los ciberdelincuentes secuestraron sus sistemas, están violando la confianza del paciente y poniendo vidas en peligro. Teniendo en cuenta el rápido crecimiento de los ataques cibernéticos en el sector, los escenarios que alteran la vida como los que vimos en UVMC se volverán comunes.
Invertir en lo que importa
La ciberseguridad no es un problema fácil de resolver en ningún sector, pero más aún en la sanidad. Las complejidades del entorno, con dispositivos médicos conectados, múltiples ubicaciones y sistemas heredados, crean muchos desafíos. Y no ayuda que una organización de atención médica típica tenga un presupuesto de TI mínimo que esté lejos de ser adecuado para implementar soluciones efectivas de ciberseguridad.
Dejar a los equipos de TI con pocos recursos para defenderse contra los ataques cibernéticos ya no es una opción. Si bien las organizaciones de atención médica asignan la mayor parte de sus fondos a la prestación de atención, también deben darse cuenta de que en el entorno actual, la prestación de atención depende no solo del equipo y el personal médicos, sino también de fuertes defensas de ciberseguridad. Si la ciberseguridad es una prioridad baja, la prestación de atención se verá afectada.
¿Cómo puede obligar a los responsables de la toma de decisiones a ver su responsabilidad a través de una nueva lente? Comience por contarles las historias que necesitan escuchar. La historia de la madre de dos hijos a quien se le negó su tratamiento para salvar su vida. O la enfermera que comparó trabajar en un centro médico en las garras del ransomware con trabajar en una unidad de quemados después del atentado del maratón de Boston. O la madre que culpa a un ataque de ransomware por la muerte de su bebé.
Estas no son tácticas de miedo. Son el tipo de mensajes que ayudan a traducir los riesgos de ciberseguridad en impactos humanos. Si eso no obliga a la junta directiva u otros responsables de la toma de decisiones a realizar inversiones en ciberseguridad, ¿qué lo hará?
Ryan Witt es el líder de ciberseguridad sanitaria de Proofpoint.
Disfrute de información adicional de la comunidad Infosec Insiders de Threatpost visitando nuestro micrositio.