SANIDADunit 42
Cada vez se presta más atención a la ciberseguridad en el sector sanitario, ya que este despierta mucho interés entre los ciberdelincuentes por su abundancia de objetivos. El motivo es que las historias clínicas de los pacientes, los datos de los estudios y la propiedad intelectual pueden dar mucho dinero en la dark web.
A diferencia de los datos financieros robados, que tienen una vida útil mínima, la información sanitaria personal (PHI, por sus siglas en inglés) dura eternamente. Si se sufre una brecha, es posible conseguir una tarjeta de crédito nueva inmediatamente después del ataque, pero nadie puede cambiar su grupo sanguíneo ni su historia clínica. Esto hace que aumente el valor de la PHI para los ladrones cibernéticos, pues pueden pedir un rescate a cambio de la información robada o vendérsela a terceros mucho tiempo después del ataque. Lo anterior no significa que los ciberdelincuentes dejen pasar oportunidades de robar dinero a las organizaciones sanitarias. En el sector sanitario, que representa casi la quinta parte de la economía estadounidense, se transfieren a diario grandes sumas de dinero electrónicamente entre varias organizaciones y partes interesadas (aseguradoras, proveedores, suministradores y pacientes). Basta encontrar un eslabón débil en la cadena para dar a los ciberdelincuentes la oportunidad de atacar.
El sector sanitario ha empezado a adoptar soluciones en la nube para todo tipo de fines, desde la facturación hasta la atención remota o los portales en línea para los pacientes, entre otros. Si bien estas soluciones son eficientes y escalables, también multiplican los riesgos no solo en lo que se refiere a la ciberdelincuencia, sino también a la revelación involuntaria de información, que puede suponer la exposición de grandes cantidades de datos confidenciales.
Los dispositivos médicos cada vez están más interconectados, lo que hace que aumente la superficie de ataque que pueden utilizar los ciberdelincuentes para acceder a datos confidenciales o incluso interrumpir la atención al paciente mientras tiene lugar. Debido a la proliferación de dispositivos IdC, junto con el avance de las herramientas y técnicas que utilizan los ciberdelincuentes para hackearlos, ahora los proveedores de servicios sanitarios tienen que proteger más dispositivos que nunca y los riesgos han alcanzado un nivel sin precedentes. Para gestionar correctamente la ciberseguridad en el sector sanitario, se necesita un socio con experiencia y conocimientos especializados insuperables: obtenga hoy mismo más información sobre Unit 42.
Teniendo en cuenta su labor, los hospitales, las clínicas y otras organizaciones sanitarias son las entidades que menos pueden permitirse sufrir interrupciones en sus redes y sistemas, que son fundamentales. Como cada vez recurren más al intercambio electrónico de datos, el tiempo de inactividad de un sistema no solo conlleva un coste enorme, sino que también puede provocar retrasos en el acceso a datos sanitarios cruciales sobre la salud de los pacientes e impedir el buen funcionamiento de servicios de los cuales dependen muchas vidas.
La Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA, por sus siglas en inglés) asigna una mayor responsabilidad a las organizaciones sanitarias a la hora de proteger los datos sanitarios personales electrónicos que reciben, utilizan o conservan. La regla de seguridad de la HIPAA exige el uso de las debidas protecciones administrativas, físicas y técnicas para garantizar la confidencialidad, integridad y seguridad de la información sanitaria electrónica protegida. Si una organización sanitaria pierde el control de sus datos, está obligada a avisar a los individuos afectados, al gobierno federal y, en ciertos casos, también a los medios de comunicación.
A la vez que las organizaciones sanitarias concentraban su tiempo, atención y recursos en la respuesta a la COVID-19, padecían un aumento en los ataques de ciberseguridad, pues los ciberdelincuentes han tratado de aprovechar la emergencia. Desde el comienzo de la pandemia, se ha producido un aumento considerable en la distribución de malware y de mensajes de correo electrónico de phishing que utilizan la COVID-19 como cebo. Al mismo tiempo, según las agencias de inteligencia, los hackers están utilizando ataques de malware y mensajes de correo electrónico de phishing sofisticados para acceder a estudios sobre vacunas e información sobre las cadenas de suministro médicas.
Unit 42 aplica los requisitos y las directrices de la HIPAA para evaluar la estrategia de seguridad general de una organización en lo que se refiere al personal, los procesos y las tecnologías que se utilizan para proteger la organización y sus activos. Analizamos el panorama de la ciberseguridad, registrando dónde se encuentran la PHI y otros datos confidenciales, y cómo se almacenan y transmiten. Asimismo, revisamos la documentación existente y facilitamos recomendaciones basadas en los estándares del sector sanitario, además de llevar a cabo entrevistas con las partes interesadas para conocer la infraestructura, las operaciones, las capacidades y los procesos de ciberseguridad, así como las prácticas generales que se adoptan en la organización. Nuestro servicio de evaluación basado en la HIPAA incluye recomendaciones detalladas para corregir los puntos débiles detectados o las carencias de seguridad, además de una hoja de ruta de implementación estratégica en la que se explica cómo abordar dichos puntos débiles, detallando el nivel percibido de esfuerzo y un cálculo de los costes correspondientes.
Unit 42 ofrece evaluaciones específicas y servicios técnicos de ciberseguridad para poner a prueba y evaluar su estrategia de ciberseguridad y su resiliencia cibernética general, así como para comprobar que los controles de seguridad funcionen de forma eficiente y óptima. Por ejemplo, realizamos pruebas de penetración (en las que simulamos un ataque real para evaluar la eficacia de sus contramedidas y detectar vulnerabilidades ocultas), pruebas de las aplicaciones web y móviles, evaluaciones de seguridad específicas de sus configuraciones actuales, ejercicios de phishing y ejercicios de simulación de situaciones personalizadas según las amenazas que afectan en especial al sector de los servicios sanitarios.
El primer paso para protegerse consiste en activar defensas e implementar funciones de supervisión continua para garantizar la prestación de los servicios cruciales de la infraestructura. Por ejemplo, hay que identificar el control de los accesos y la gestión, ofrecer sesiones de formación para concienciar a los empleados sobre los riesgos cibernéticos e implementar procesos y procedimientos de protección de la información. Para ello, hay que supervisar los eventos y la evolución de la ciberseguridad para comprobar la eficacia de las medidas de protección.
El equipo de respuesta a incidentes de Unit 42 está a disposición de las organizaciones sanitarias en cuanto sea necesario para ayudarlas a investigar y erradicar los ataques de ransomware, los accesos no autorizados a los sistemas de correo electrónico de la empresa, las revelaciones de datos involuntarias y cualquier otro tipo de incidente. Además, con nuestra asistencia será más fácil recuperarse después del evento. Nuestra misión es detener el ataque de inmediato, expulsar al intruso, restablecer los sistemas y ayudarle a retomar las operaciones lo antes posible, utilizando soluciones de análisis de datos para estudiar el alcance de la exposición de PHI según las obligaciones que impone la HIPAA.
HABLE CON NOSOTROS
En breve, uno de los especialistas de Palo Alto Networks se pondrá en contacto con usted. ¡Hasta pronto!