Lo que podemos aprender del cambio en la atención sanitaria – The Healthcare Blog

El 21 de febrero, Change Healthcare, la cámara de compensación médica más grande de Estados Unidos, sufrió un ataque de ransomware que lo obligó a desconectar más de 100 sistemas. Muchos de sus servicios electrónicos permanecieron inactivos durante semanas y la restauración total tardó hasta principios de abril.

Una semana después del ataque, la infame banda de ransomware como servicio BlackCat se atribuyó la responsabilidad. BlackCat también fue responsable del cierre de Colonial Pipeline en 2021 y de varios ataques a organizaciones de atención médica durante 2023. Sin embargo, este último acto contra el cambio en la atención médica es uno de los más perturbadores hasta el momento.

Debido a que Change y su empresa matriz, UnitedHealth Group (UHG), son actores centrales de la industria, el ataque tuvo efectos dominó en toda la industria. Un asombroso 94% de los hospitales estadounidenses sufrieron consecuencias financieras por el incidente y el 74% experimentó un impacto directo en la atención al paciente. El cambio de servicios afecta a uno de cada tres registros de pacientes, por lo que la interrupción masiva ha creado un efecto de bola de nieve de interrupción, retrasos y pérdidas.

La mayoría de los servicios de farmacia y el pago electrónico del Cambio volvieron a estar en línea el 15 de marzo. A principios de abril, casi todo volvió a funcionar, pero el impacto financiero continúa para muchas empresas que dependen de UHG, gracias a un importante retraso.

Teniendo en cuenta que el ciberataque Healthcare Change afectó a casi todo el sector médico, tiene implicaciones importantes. Incluso los pocos grupos médicos que no se vieron afectados por el ataque deben considerar lo que significa para el futuro de la seguridad de la atención médica.

Es difícil ignorar que un ataque a una sola entidad afectó a casi todos los hospitales de Estados Unidos. Este enorme efecto dominó pone de relieve que ninguna empresa en esta industria es una unidad autónoma. Las vulnerabilidades de terceros afectan a todos, por lo que la diligencia debida y las restricciones de acceso bien pensadas son esenciales.

Si bien el hackeo de Healthcare Change es un ejemplo extremo, no es la primera vez que el sector médico sufre una infracción importante por parte de terceros. En 2021, la Cruz Roja sufrió una vulneración de más de 515.000 registros de pacientes cuando los atacantes atacaron a su socio de almacenamiento de datos.

Las empresas de atención médica dependen de múltiples servicios externos y cada una de estas conexiones representa otra vulnerabilidad sobre la cual la empresa tiene poco control. A la luz de ese riesgo, debería ser más selectivo acerca de con quién hace negocios. Incluso con socios confiables como UHG, las marcas deben restringir los privilegios de acceso a los datos tanto como sea posible y exigir altos estándares de seguridad.

En relación con esto, este ataque revela cuán centralizada se ha vuelto la industria. No sólo son comunes las dependencias de terceros, sino que muchas organizaciones dependen de los mismos terceros. Esa centralización hace que estas vulnerabilidades sean exponencialmente más peligrosas, ya que un solo ataque puede afectar a todo el sector.

La industria de la salud debe superar estos puntos únicos de falla. Algunas dependencias externas son inevitables, pero los grupos médicos deberían evitarlas siempre que sea posible. Puede ser necesario dividir las tareas entre varios proveedores para reducir el impacto de una única infracción.

Los cambios regulatorios pueden respaldar este cambio. Durante una audiencia en el Congreso sobre el incidente, algunos legisladores expresaron su preocupación por la consolidación en la industria de la atención médica y los riesgos cibernéticos que plantea. Este sentimiento creciente podría conducir a una reorganización de todo el sector, pero mientras tanto, las empresas privadas deberían tomar la iniciativa de alejarse de las grandes dependencias centralizadas donde puedan.

Las organizaciones de atención médica también deben tomar nota de la duración y el costo del cronograma de respuesta de UHG. Se necesitaron semanas para restaurar los sistemas caídos, incluso después de supuestamente pagar un rescate de 22 millones de dólares para recuperar los datos robados. Eso es muy largo.

A medida que crece la amenaza del ransomware, las empresas de esta industria deben crear planes de respuesta a emergencias. Esto incluye preservar copias de seguridad seguras y fuera de línea de todos los datos confidenciales y garantizar la redundancia del centro de datos para servicios de misión crítica. También son cruciales protocolos de comunicación detallados y una guía paso a paso para recuperarse de un ataque.

Sin un plan extenso de respaldo y recuperación, las empresas terminan en una situación como la del cambio en la atención médica. El ransomware es demasiado común y genera demasiadas distracciones como para asumir que lo peor nunca sucederá. Las empresas sanitarias necesitan planes A, B y C para minimizar los daños cuando se produzcan estos ataques.

El ataque de ransomware Change Healthcare también destaca la necesidad de una seguridad proactiva. Si bien la causa exacta de la infracción no está clara, BlackCat generalmente apunta a vulnerabilidades en el Protocolo de escritorio remoto o ConnectWise ScreenConnect. Ambos tienen parches disponibles, por lo que la gestión proactiva de vulnerabilidades puede detener muchos ataques.

Pueden surgir vulnerabilidades en muchas áreas de la atención sanitaria, por lo que se requieren pruebas de penetración detalladas y evaluaciones automatizadas para cubrirlas adecuadamente. Automatizar las actualizaciones es igualmente importante, ya que los atacantes se mueven rápidamente en este sector.

Los grupos médicos también deberían hacer hincapié en la formación de los empleados. Los errores son algunas de las amenazas más persistentes en esta industria: el 36% de las filtraciones de datos provienen únicamente de una mala entrega. La automatización tanto como sea posible y una formación exhaustiva en ciberseguridad para todo el personal minimizarán estos riesgos.

Si el sector sanitario no saca nada más de este incidente, debería aprender que ninguna organización está a salvo. UHG es una de las mayores fuerzas de la industria y aún así fue víctima de un ataque. Incidentes similares ciertamente podrían afectar a empresas más pequeñas con presupuestos de seguridad más ajustados si pudieran causar tanto daño a UHG.

No se trata necesariamente de gastar en ciberseguridad. Históricamente, la seguridad ha representado solo el 6 % de los presupuestos de TI médica, pero más de la mitad de las organizaciones sanitarias planean aumentar sus presupuestos de ciberseguridad en 2023. Es probable que esta tendencia continúe también en 2024 y más allá. Ese crecimiento es importante, pero la violación de Change muestra que el dinero por sí solo no detendrá a los ciberdelincuentes.

Invertir en soluciones de seguridad avanzadas es crucial. Sin embargo, las marcas no deberían volverse complacientes sólo porque tienen presupuestos de ciberseguridad relativamente altos. Todavía se requiere una vigilancia constante y una planificación de recuperación de emergencia.

A medida que aumenta la digitalización de la atención médica, los hospitales y sus organizaciones asociadas se convertirán en objetivos cada vez más populares para los grupos de ransomware. Este último incidente debería servir como llamada de atención sobre esta cuestión. Los enfoques de seguridad en el sector deben cambiar.

El camino por delante es largo y difícil. Sin embargo, asumir esta responsabilidad ahora puede salvar a las empresas de pérdidas sustanciales.

Zac Amos cubre las funciones de la ciberseguridad y la inteligencia artificial en la atención médica como editor de funciones en ReHack y colaborador de VentureBeat, The Journal of mHealth y Healthcare Weekly.