Los ataques informáticos a instituciones de salud se multiplican. Y el tráfico ilegal de datos de salud robados crece. ¿ y dónde estamos parados aquí? Lea másEscribe MartínElizalde, Revista Estrategas, publicado el 5.8.2109. Una preocupación recurrente en los directorios de instituciones médicas y prepagas es la de conocer cuáles son las responsabilidades de directores y gerentes en el caso de una fuga de información electrónica de sus pacientes y asociados. Fuga que puede originarse en un descuido o en un ataque destinado a robar esa información. Su responsabilidad como tratante de bases de datos, respecto de los titulares delos datos perdidos, divulgados sin consentimiento, o sencillamente sustraídos,resulta clara: nuestro ordenamiento pone esa responsabilidad en cabeza de la institución y de sus directivos. Los terceros tienen derecho a accionar contra la institución, sus directores y gerentes por la violación de su privacidad. Y tratándose de información tan sensible, es fácil imaginar que ejercerán este derecho. Establecido este hecho, podemos seguir adelante. En 2015, la industria de la salud fue la más atacada por los delincuentes cibernéticos, según el Índice de inteligencia de seguridad cibernética de IBM. En el tercer trimestre de 2018, 4.4 millones de files de pacientes (solo en USA) fueron comprometidos por fallas de seguridad - contra 3.1 millones en el cuatrimestre anterior, de acuerdo a Protenus and DataBreaches.net. Es evidente que el mal está en progreso. En Argentina, no existe una reglamentación similar a la de USA, que las obliga a reportarlos dentro del plazo máximo de 60 días corridos. Al no existir obligación legal de reportar el incidente (de todos modos habría que ver cuáles son los términos y condiciones del contrato de aprovisionamiento de servicios en la nube en este punto) en el mercado local no hay estadísticas confiables. DOS RAZONES. Tal como lo menciona un artículo publicado en el sega Journal, “Retos actuales en la seguridad del paciente relacionada con la tecnología dela información de salud”, las amenazas cibernéticas de atención médica son un problema por entre otras, estas dos razones:a. Además de los registros de un paciente,las redes de proveedores médicos pueden contener información financieravaliosa.b. La naturaleza interconectada de los EHR (registros de salud electrónicos) significa que los piratas informáticos tienen acceso a los datos que se han recopilado bajo los nombres de los pacientes durante años. Compartir información del paciente es esencial para proporcionar el mejor tratamiento posible a los pacientes, pero ese mismo intercambio también hace que las redes sean objetivos extremadamente valiosos. Respecto del primer punto, el principio general es que "los sistemas de salud deben reconocer que muchos pacientes sufrirán pérdidas financieras personales debido a los ataques cibernéticos de su información médica", dijo Reza Chapman, director gerente de ciberseguridad de Accenture. Más aún, según el estudio publicado por Help Net security, la mitad de los consumidores que experimentaron una infracción lo descubrieron ellos mismos, notando un error en el extracto de su tarjeta de crédito o en la explicación de los beneficios, mientras que sólo un tercio recibió una alerta por la organización donde ocurrió y solo el 15 por ciento recibe alertas de una agencia de gobierno. Entre los que sufrieron una violación, la mitad fueron víctimas de robo de identidad médica. Estos datos no son nacionales, por cierto. Sólo podemos suponer que, ante la similitud de las situaciones y de los ataques que azotan la industria, la situación podría extrapolarse. Siempre en relación al primer punto, robar datos de los expedientes de salud es un excelente negocio. Según fuentes oficiales, (Oficina Federal de Investigaciones de los EEUU), los registros de salud electrónicos son mucho más valiosos que los datos financieros. Los EHR pueden venderse por US$ 50 en el mercado negro, en comparación con solo US$ 1 por un número de seguro social o de tarjeta de crédito. Ahora, con respecto de la naturaleza interconectada de los EHR, desafortunadamente hace que una sola vulnerabilidad de seguridad puedan comprometer todos los datos de los pacientes almacenados en los sistemas atacados. Sin una supervisión cuidadosa y capacitación permanente, los registros de salud electrónicos, pueden caer rápidamente en manos maliciosas. En cualquier institución médica, y sobre todo en las áreas donde se tratan emergencias, o catástrofes que involucran un rápido ingreso de pacientes bajo condiciones de gran tensión para quienes los admiten y tratan, los empleados tienen fácil acceso a los archivos de pacientes. Más allá de estos casos críticos, no hay garantía de que algunos de los miembros de la entidad no roben información confidencial. Los delincuentes pueden usar este tipo de información en el robo de identidad, pero también puede usarse para intimidar o incluso chantajear a las personas. Es la misma interconexión de datos permite que los empleados accedan a documentos financieros confidenciales y utilicen los números de tarjetas de crédito de los pacientes para cometer una serie de compras fraudulentas. En todos los tiempos, críticos y “normales”, la actitud de los miembros de la organización será vital. Para Cisco,por ejemplo, del 74% de los problemas de seguridad informática no se subsana con software defensivo(anti malware) sino con adecuadas respuestas humanas. Resulta entonces claro que habrá que establecer el marco cultural y legal para permitir el intercambio de información sobre peligros y eventos adversos. Y para ello sólo una capacitación en buena prácticas, un monitoreo constante y una cultura que identifica los riesgos legales de las fallas de información es el remedio más adecuado para controlar el daño. Evitarlo completamente, es más difícil…Me parece que la primera cuestión de una política de seguridad exitosa es la comprensión por parte de los directorios de empresas y entidades que la arquitectura de seguridad está alineada con la política comercial. Es bien difícil vender salud cuando las historias médicas y los resultados de laboratorio están siendo robados o perdidos en la web. El segundo paso es alinear los recursos legales con los de tecnología, para determinar el grado de cumplimiento de normas domésticas e internacionales relacionadas con la seguridad de la información. De nuevo, quizás no pueda evitarse una fuga o un robo, pero seguramente podrá limitarse la responsabilidad de la entidad y de su directorio. Artículo completo: http://www.revistaestrategas.com.ar/contenidos/4605/piratas-cibern%C3%A9ticos-acechan-los-registros-de-salud-electr%C3%B3nicos
Foresenics - Informática forense