Lograr la seguridad de la atención médica comienza con lo básico: ISMS.online

Lograr la seguridad sanitaria adecuada comienza con lo básico

Por Phil Muncaster • 18 July 2023

Ninguna organización quiere sufrir una brecha de seguridad importante. Pero cuando le sucede a las organizaciones de atención médica (HCO) como los fideicomisos del NHS, puede haber un impacto enorme en la comunidad local. Los ataques WannaCry de 2017 y el ataque con ransomware Conti al Ejecutivo de Servicios de Salud (HSE) de Irlanda pusieron al descubierto fallas en ambos lados del Mar de Irlanda. Si bien se han realizado mejoras, muchos desafíos subyacentes continúan exponiendo al sector a graves riesgos cibernéticos. Dado que hay tanto en juego, hace tiempo que se necesita un enfoque integral y conjunto para gestionar estos riesgos.

Preparando la escena

¿Por qué las organizaciones sanitarias están tan expuestas al riesgo cibernético? como el el gobierno reconoce En su propia estrategia de seguridad para el sector hasta 2030, gran parte de ella se debe a una serie de factores únicos, que incluyen:

Su tamaño y diversidad dificultan la estandarización de enfoques en todas las partes constituyentes, desde la atención primaria hasta la atención social de adultos. También significa que los datos están siendo compartidos por una cantidad potencialmente grande de entidades dispares, lo que puede aumentar el riesgo.
Recursos limitados y especialistas en ciberseguridad para gastar en el problema
Líneas poco claras de presentación de informes y rendición de cuentas
Presión operativa extremadamente alta, que no ha hecho más que aumentar con los retrasos causados por la COVID-19
Un gran patrimonio de diversos activos tecnológicos, desde máquinas de diagnóstico hasta sistemas de reserva de pacientes y servicios de prescripción. Muchos sistemas de tecnología operativa (OT) pueden ser difíciles o casi imposibles de parchar

¿Cuáles son las principales ciberamenazas a la asistencia sanitaria?

Dicho esto, muchas de las amenazas que enfrentan las organizaciones sanitarias son similares a las de otros sectores. Incluyen:

Vulnerabilidades de software: a menudo exacerbado por el uso de sistemas operativos no compatibles. Es posible que los equipos OT con una vida útil prolongada (> 10 años) no admitan software y sistemas operativos modernos, lo que hace que la aplicación de parches sea un doble desafío. Según la revisión de Lecciones aprendidas de William Smart sobre el NHS de Inglaterra, más de 1200 equipos de diagnóstico fueron identificados como infectados con WannaCry después de que surgiera la infame amenaza en 2017.

Ingeniería social: El phishing sigue siendo uno de los principales vectores de amenazas en todos los sectores, ya que explota el eslabón humano débil de la cadena de seguridad. Bajo presión, el personal sanitario puede estar más inclinado a hacer clic antes de pensar.

Trabajo remoto: El sector sanitario ha adoptado el trabajo híbrido siempre que ha sido posible para mejorar la productividad y el equilibrio entre la vida personal y laboral. Pero persisten los riesgos asociados con el personal distraído y los dispositivos/redes domésticos inseguros.

Insiders maliciosos: Curiosamente, más de un tercio (35%) de las infracciones analizadas por Verizon Este año en el sector provino de gente de dentro. Advierte sobre la amenaza de empleados descontentos y la colusión entre múltiples partes.

Fugas accidentales: Otra tendencia que Verizon detectó es la entrega errónea de información confidencial por parte del personal sanitario. Junto con los ataques básicos a aplicaciones web, los errores diversos representan el 68% de las infracciones.

Cadena de suministro: Con una cadena de suministro grande y compleja, los proveedores de atención médica están expuestos a riesgos adicionales. A ataque de ransomware El incidente con el proveedor de software británico Advanced ha tenido un impacto generalizado en el NHS durante semanas, incluida su línea de ayuda crítica 111. Más recientemente, El HSE de Irlanda admitido la campaña de robo de datos de MOVEit lo impactó.

¿Qué está en juego?

WannaCry destacó por primera vez el nivel de dependencia que los sistemas sanitarios modernos tienen de la tecnología digital. En total, interrumpió 81 de 236 fideicomisos en Inglaterra (34%), lo que generó aproximadamente 19,000 citas y operaciones canceladas, y muchos pacientes fueron enviados a departamentos de urgencias más lejanos.

“Con un estimado de 950,000 citas diarias con médicos generales, 45,000 visitas a departamentos importantes de urgencias y emergencias y 137,000 eventos de imágenes registrados, la escala del impacto, tanto directo como indirecto, de un ciberataque al sector de atención sanitaria y social es potencialmente enorme”, admite el gobierno. .

Por supuesto, esto tiene un coste financiero. Irlanda HSE ya ha gastado decenas de millones de euros gestionar las consecuencias de su enorme Infracción de ransomware en 2021. un estudio de Reclamaciones de ThreatConnect que, en promedio, las HCO con ingresos de hasta 500 millones de dólares pierden aproximadamente el 30% de los ingresos operativos si se ven afectadas por un ataque severo de ransomware. Ciertamente también existe un riesgo regulatorio, especialmente si se roba información personal de empleados y pacientes. Si bien hasta la fecha no ha habido multas significativas conforme al RGPD, los reguladores han ocasionalmente se imponen sanciones económicas, y de hecho el reglamento clasifica la mayoría de los datos médicos como una “categoría especial”, lo que significa que están sujetos a reglas más estrictas.

Sin embargo, más allá del impacto financiero, reputacional y de cumplimiento, que puede degradar gravemente la confianza del paciente, existe un riesgo más obvio: la seguridad del paciente. Los estudios han demostrado una correlación cada vez mayor entre las tasas de mortalidad y los ciberataques. Un informe incluso encontró un vínculo entre los datos Infracciones y muertes por ataques cardíacos.. Eso es aparte de lo aparente riesgo para la salud del paciente de ataques de ransomware que desconectan sistemas digitales críticos.

¿Cómo les está yendo a las OS?

Teniendo en cuenta lo mucho que está en juego, ver avances en la mitigación del riesgo cibernético en el sector sanitario del Reino Unido es algo tranquilizador. Según el gobierno Encuesta sobre violaciones de seguridad cibernética 2023, Las organizaciones del sector de la salud, la asistencia social y el trabajo social tienen “significativamente” más probabilidades que la organización promedio de adoptar acciones de mejores prácticas, como implementar monitoreo de seguridad, evaluaciones de riesgos, pruebas del personal, auditorías de vulnerabilidad, pruebas de penetración e inteligencia sobre amenazas. La cifra es del 74% para las OS frente al 51% en todos los sectores. También es más probable (35% frente a 18%) haber realizado capacitación de concientización sobre seguridad para el personal durante los últimos 12 meses. Y más organizaciones de salud, atención social y trabajo social cuentan con planes de continuidad del negocio que cubren la ciberseguridad (46% frente a 27%) y políticas de seguridad formales (57% frente a 29%).

Sin embargo, aún queda mucho por hacer y no hay garantía de que estos esfuerzos no sean meros ejercicios de marcar casillas por parte de organizaciones que operan en un sector altamente regulado.

Richard Staynings, estratega jefe de seguridad de Cylera, especialista en seguridad sanitaria del Reino Unido, sostiene que certificar aplicaciones, proveedores y proveedores de servicios externos de atención sanitaria sería de gran ayuda.

"La certificación ISO27001 tiene mucho sentido para algunos servicios que pueden certificarse, mientras que una certificación SOC2 Tipo II basada en dominios y controles ISO 27001 aplicables puede tener más sentido para otros", le dice a ISMS.online. “De cualquier manera, los proveedores no deberían tener que estar en el espacio de evaluación de riesgos de sus proveedores todos los años, como es el caso actual. Como mínimo, los terceros deben tener niveles de seguridad iguales o mayores que los proveedores a los que prestan servicios. Definitivamente, unas normas comunes ayudarían”.

Mohammad Waqas, CTO de Atención Médica de Armis, sostiene que el Kit de herramientas de protección y seguridad de datos del NHS, junto con ISO 27001 y la Directiva NIS de la UE, le da al Reino Unido “una base de seguridad más madura” que muchos otros países. Sin embargo, advierte que la seguridad de los dispositivos médicos, en particular, presenta un riesgo importante.

“Poder monitorear estos dispositivos y comprender su comportamiento y riesgo en tiempo real es clave para garantizar la seguridad del paciente y un funcionamiento fluido. También permite la identificación proactiva de riesgos y vulnerabilidades, lo que permite a los fideicomisos tomar medidas oportunas”, dice a ISMS.online. "Al utilizar una solución de gestión de riesgos centralizada, las HCO pueden adoptar un enfoque unificado para la reducción de riesgos en todos los tipos de dispositivos, lo que garantizará una postura de seguridad integral y mejorará la seguridad general".

Gestión del riesgo de cumplimiento sanitario

Hay mucho que recomendar en la estrategia 2030 del gobierno, que exige que todas las organizaciones de atención médica pública sean auditadas periódicamente según el Marco de Evaluación de Ciberseguridad (CAF) del Centro Nacional de Seguridad Cibernética. La estrategia establece cinco pilares clave para el éxito:

Centrarse en los mayores riesgos y daños
defender como uno
Personas y cultura
Construya de forma segura para el futuro
Respuesta y recuperación ejemplares

Gran parte de lo que la estrategia intenta lograr es garantizar que las HCO primero adquieran los conceptos básicos de ciberhigiene correctos, para eliminar los riesgos derivados de errores relativamente básicos como contraseñas fáciles de adivinar, activos sin parches y phishing. Cuando la prevención no es posible, la idea es garantizar que las organizaciones tengan las herramientas de monitoreo de seguridad y los procesos de respuesta a incidentes adecuados para garantizar que puedan detectar y contener las amenazas antes de que puedan tener un impacto grave.

ISO 27001 puede ayudar en estos esfuerzos:

Identificación de brechas de seguridad
Minimizar los riesgos de la cadena de suministro
Apoyar los esfuerzos de cumplimiento normativo/legal
Garantizar que el personal esté debidamente capacitado y sea consciente de la seguridad.
Reducir los riesgos de infracción a través de políticas y procesos adecuadamente documentados
Gestionar el riesgo en toda la superficie del ciberataque

Se trata de mejorar la resiliencia cibernética de los sistemas de TI críticos y, en última instancia, generar confianza con los pacientes y reducir el impacto financiero y operativo de los ciberataques a la atención médica.

Si está buscando comenzar su viaje hacia una mejor seguridad de la información y privacidad de los datos, ISMS.online puede ayudarlo.

Nuestra solución ISMS permite un enfoque simple, seguro y sostenible para la privacidad de datos y la gestión de la información con ISO 27001 y potencia otros marcos como SOC 2, GDPR y más. Desbloquee su cumplimiento de atención médica hoy.

Hable con un experto

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster