Como era de esperar, el sector sanitario sigue siendo un objetivo atractivo, ya que los datos robados siguen aportando valor a un conjunto diverso de actores de amenazas. De hecho, los delincuentes y los actores asociados con actividades tradicionales de ciberespionaje han llevado a cabo algunos de los incidentes que más noticias han generado en los últimos años. Es más, dependiendo de la intención de los actores, estos grupos e individuos han buscado y robado todo tipo de información, incluida información financiera y relacionada con seguros, información de identificación personal e incluso los registros médicos de los pacientes.
La información de identificación personal (PII) siempre ha sido un bien valorado entre los ciberdelincuentes y el mundo cibernético está plagado de foros exclusivos para miembros que ponen un precio bastante económico a la PII. Un artículo de noticias reciente informa que las identidades en paquetes de hasta 100 podrían costar tan solo 25 centavos cada una en un mercado como AlphaBay. Dichos paquetes incluyen nombres, direcciones, números de Seguro Social, fecha de nacimiento e información relevante de la cuenta bancaria. Sin embargo, lo que ha estado surgiendo durante los últimos años es cómo la PII relacionada con la atención sanitaria se valora más que la PII estándar. Según una fuente, la información médica vale 10 veces más que el número de su tarjeta de crédito en el mercado negro e incluye códigos de diagnóstico y números de póliza, además de la PII estándar.
Un ataque reciente de junio de continúa demostrando cómo los ladrones cibernéticos continúan siendo innovadores en sus enfoques para recopilar información relacionada con la atención médica con fines de lucro. En un caso particular, cuatro organizaciones sanitarias estadounidenses fueron explotadas con éxito por un actor hostil que robó una cantidad sustancial de datos de pacientes que incluían resultados de resonancias magnéticas, radiografías, notas de tratamiento y datos biométricos específicos del paciente. Independientemente de si el actor tenía un objetivo predeterminado para robar esta información, es evidente que toda la información es valiosa para alguien siempre que esté dispuesto a pagar un precio por ella.
Esto lleva inmediatamente a la pregunta de ¿cómo podrían los datos específicos del paciente, como los resultados de la resonancia magnética, la biometría y las imágenes de rayos X, beneficiar a otra parte? Algunos creen que este tipo de robo es más una exageración que una sustancia real, ya que creen que robar el ADN de alguien no es particularmente útil si no puedes usarlo. Sin embargo, existe una opinión contradictoria que afirma que el robo de dicha información puede resultar realmente útil dependiendo de cómo se utilice. Tomemos, por ejemplo, la violación del Himno de.en el que presuntos piratas informáticos de espionaje chinos atacaron estas organizaciones y comprometieron hasta 80 millones de clientes, muchos de los cuales eran empleados del gobierno federal de Estados Unidos. Nunca ha salido a la luz que esta información fue monetizada masivamente en el mundo criminal clandestino (aunque, para ser justos, eso aún puede ocurrir; el robo inmediato de bases de datos no tiene por qué monetizarse de inmediato), lo que lleva a muchos a plantear la hipótesis de que los esfuerzos de los actores típicamente involucrados en Las actividades de espionaje deben significar que esta información tiene un valor de inteligencia . Su razonamiento es que la información agregada de la violación de la Oficina de Gestión de Personal de y la violación de Anthem podría usarse para identificar espías y agentes encubiertos estadounidenses .
Además, los investigadores continúan demostrando que a medida que la seguridad cibernética puede abarcar y adoptar más aplicaciones basadas en biometría, más piratas informáticos pueden dirigir sus energías hacia explotarlas para seguir superando las prácticas de seguridad al comprometer la información relacionada con la biometría. Esto ha llevado a muchos investigadores a concluir que la biometría puede ser más fácil de explotar que las contraseñas, en gran parte porque la biometría, como las huellas dactilares, nunca fue diseñada para ser secreta. Muchos investigadores han superado la tecnología TouchID de Apple creando huellas dactilares falsas mediante diversos métodos. Los investigadores incluso han demostrado la capacidad de vencer al software de reconocimiento facial. En una conferencia de seguridad, un ataque logró falsificar cuatro de los cinco sistemas que probaron, en gran medida recopilando fotografías de redes sociales y fuentes en línea.
La conclusión de esto es que la industria de la salud puede ser el principal objetivo tanto de los ciberdelincuentes como de los actores del ciberespionaje porque la propia información que poseen se puede utilizar de muchas maneras. Incluso el simple acceso a esta información es un bien escaso, a juzgar por los múltiples ataques de ransomware dirigidos a la atención médica en la primera mitad de. Si bien algunos hospitales de EE. UU. han incurrido en multas por parte del Departamento de Salud y Servicios Humanos de EE. UU. por sus fallas en el cumplimiento de la seguridad cibernética con Con respecto a la protección de la información sanitaria, esto es demasiado poco y demasiado tarde. Las organizaciones relacionadas con la atención médica deben comprender que son un objetivo principal para todo tipo de atacantes que continuamente demuestran formas innovadoras y astutas de robar la información que desean.
Incluso después de la atención negativa generada por las grandes violaciones de datos y los continuos esfuerzos de la Ley de Responsabilidad y Portabilidad de Seguros Médicos para desarrollar directrices de seguridad para la industria, algunas organizaciones de atención médica continúan operando en un vacío de seguridad. Una encuesta reciente encontró que aproximadamente el 32 por ciento de los hospitales y el 52 por ciento de los proveedores no agudos (como clínicas ambulatorias, centros de rehabilitación y consultorios médicos) no cifran los datos en tránsito, y sólo el 61 por ciento de los proveedores agudos y el 48 por ciento de los no -Los proveedores agudos cifran los datos en reposo. Este tipo de enfoque de seguridad debe cambiar.
La industria de la salud en su conjunto necesita ser más proactiva en el diseño de estrategias de gestión de riesgos y planes de respuesta a incidentes para identificar, mitigar y remediar rápidamente las actividades cibernéticas hostiles contra sus redes. Intentar ponerse al día con una amenaza dinámica es una situación sin salida; y no importa cuán elevadas sean las multas después del hecho, no aliviará las preocupaciones de que las instituciones en las que confían los pacientes para proteger su información más privada les hayan fallado.
Esta es una publicación invitada escrita por Emilio Iasiello.