A principios de agosto, Prospect Medical Holdings era el víctima de un ciberataque Eso afectó los sistemas informáticos de la compañía, lo que obligó a cerrar las salas de emergencia dentro de sus instalaciones de atención médica y a desviar las ambulancias. El sistema de salud no podía usar sus sistemas informáticos, lo que llevó a los proveedores a volver a los sistemas de papel que han sido retirados hace mucho tiempo.
"Prácticamente todos los elementos de las operaciones hospitalarias se realizan digitalmente. Registros médicos del paciente, codificación, facturación, contabilización de pagos y contabilidad; todo ocurre en un entorno digital y se mantiene en las redes", dijo Ky Chaffin, director general de servicios financieros, sistemas de salud de BOK Financial®. "Todos esos datos son confidenciales, lo que convierte a los hospitales y sistemas de salud en un objetivo principal para los ataques cibernéticos. Los efectos de las violaciones de datos pueden ser catastróficos, tanto financieramente como, lo que es más importante, para la atención al paciente".
Las compañías de atención médica son el objetivo común de los ataques cibernéticos
Los ciberdelincuentes a menudo se dirigen a las compañías de atención médica debido a la gran cantidad de datos que poseen; ataques como el de Prospect no son nuevos.
Organizaciones de cuidado de la salud con experiencia 1,426 ataques semanales en 2022, un aumento del 60% sobre 2021. Ataques de ransomware-El malware que cifra los archivos en un dispositivo y los mantiene como "rehenes" hasta que se paga un rescate, es aún más frecuente. Según datos de inteligencia de amenazas del FBI, de los 870 ataques de ransomware del año pasado, la atención médica fue el objetivo más común, representando más del 24% de los ataques.
La Costo promedio de una violación de la atención médica es de $ 10.93 millones, lo que los convierte en los más costosos de todas las industrias, en gran parte debido al valor que se le da a los datos que se pueden obtener de un ataque.
"El entorno rico en datos de una organización de atención médica proporciona a los ciberdelincuentes su tipo de sangre, historial médico, información de identificación personal (PII), información financiera y más", dijo Paul Tucker, director de seguridad y privacidad de la información en BOK Financial. "Aparte del gobierno federal, es difícil obtener tanta información que se pueda vender con fines de lucro para estas empresas criminales. Es por eso que la atención médica es un gran objetivo".
Según Jay Bouche, el valor del mercado negro de los registros médicos está valorado en $250 cada uno, lo que lo convierte en un negocio lucrativo para los ciberdelincuentes, el canal y el éxito del cliente con Lumifi, un proveedor administrado de detección y respuesta de anomalías cibernéticas.
"La industria de la salud ha liderado la adopción de medidas sólidas de seguridad de datos, pero la realidad es que los ciberdelincuentes evolucionan rápidamente, siempre buscando formas novedosas de derrotar la seguridad existente", dijo Chaffin.
Consecuencias de los ciberataques
Y no solo los dólares y centavos se ven afectados una vez que ocurre un ataque cibernético.
"Los ataques cibernéticos presentan no solo riesgos operativos y financieros para los hospitales, sino que las consecuencias pueden ser literalmente de vida o muerte para los pacientes".- Ky Chaffin, director ejecutivo de servicios financieros, sistemas de salud de BOK Financial
La exposición de los registros de salud también puede violar la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), que protege los registros médicos de un individuo y otra información de salud identificable individualmente. Las infracciones pueden resultar en sanciones y multas tanto civiles como penales.
Mientras tanto, la incapacidad de las empresas para recaudar ingresos, un aumento en las primas de seguros, daños a la reputación, multas y, para una empresa que cotiza en bolsa, incluso cambios en el mercado pueden ser parte de las consecuencias.
El papel del ciberseguro
Dada la evolución de los eventos de ransomware y extorsión cibernética, es aún más importante que las compañías de atención médica consideren un programa integral de seguro cibernético.
"La cobertura cibernética se puede implementar de muchas maneras; No hay una forma o política que cubra todos los problemas de ciberseguridad", dijo Sean Pechan, líder de práctica de administración de riesgo en BOK Financial Insurance, Inc. Pechan dijo que las organizaciones de atención médica tienen una estructura diferente para las protecciones debido a la naturaleza de la información y los datos que se protegen.
El seguro cibernético tiene como objetivo proteger cuatro fuentes principales de datos: PII, información corporativa confidencial, información de procesamiento de tarjetas de pago e información de salud protegida. Para las compañías de atención médica, la exposición al riesgo incluye las cuatro categorías. Al proporcionar cobertura, los suscriptores analizan los controles relacionados con la protección de la información, cómo se almacena, cómo se accede a ella y, si se ve comprometida, la posibilidad de usar copias de seguridad o sistemas alternativos.
"La importancia de suscribir controles para el seguro cibernético se ha vuelto cada vez más escudriñada", dijo Pechan. "Hay un énfasis mucho mayor puesto en qué gestión de riesgos está en su lugar para que un suscriptor lo considere".
Dijo que cosas como la autenticación multifactor (MFA), que requiere que los usuarios inicien sesión utilizando dos (o más) formas de identificación, como una contraseña y un código, y la detección de software de punto final ahora son obligatorias para la cobertura.
Agregó que el seguro cibernético no es la única respuesta, sino una pieza del rompecabezas.
"Prevenir el evento te llevará más allá de tener un seguro, pero estar preparado para el evento es lo que te hará resistente".- Sean Pechan, líder de prácticas de administración de riesgo en BOK Financial Insurance, Inc.
Salvaguardias a considerar
Los ciberataques a menudo comienzan a través de Phishing, la práctica de enviar comunicaciones fraudulentas que parezcan legítimas para acceder a información o datos sensibles.
"Los ciberdelincuentes se afianzan a través del phishing en una cuenta y continúan aumentando la amenaza a un líder que podría tener derechos privilegiados y acceso a datos valiosos", dijo Tucker.
Estas son algunas protecciones a considerar:
- Filtros de spam mejorados. No es suficiente usar los filtros ya disponibles de su proveedor de correo electrónico; Estas soluciones integradas no van a recoger el Intentos de phishing inteligentes que parecen provenir de fuentes internas o externas legítimas. Una forma de mejorar los filtros es identificando todos los correos electrónicos que provienen de fuera de la organización.
- Autenticación multifactor (MFA). Aunque es un requisito para las pólizas de seguro cibernético, MFA debe ser esencial para cualquier compañía de atención médica.
- Monitoreo impulsado por IA. La inteligencia artificial se utiliza para identificar amenazas potenciales al observar anomalías en los correos electrónicos para combatir los compromisos a través del correo electrónico.
- Piense en la resiliencia. El momento de considerar la resiliencia empresarial no es durante un evento, sino antes de que ocurra.
- Asóciese con un proveedor externo del Centro de operaciones de seguridad (SOC) o de detección y respuesta administradas (MDR). Es importante tener acceso a un equipo externo que pueda multiplicar los esfuerzos rápidamente si ataca el ransomware. Además, el monitoreo 24/7 puede tener un impacto positivo en la identificación en tiempo real cuando puede haber una violación.
Además, Tucker recomienda usar un marco, como el Instituto Nacional de Estándares y Tecnología, para la protección:
- Identificar. La administración de activos tecnológicos se vuelve crítica porque si tiene dispositivos en red que nadie conoce y están conectados, es probable que los ciberdelincuentes apunten primero. "Si no los conoce, no puede parchearlos o actualizarlos con las últimas actualizaciones de seguridad", dijo Tucker. Identifique los activos que no se están utilizando.
- Proteger. El phishing es una de las mayores amenazas para una organización, por lo que invertir en protección avanzada es fundamental. Si una organización no puede permitirse esta inversión, Formación de empleados se vuelve crucial como la primera defensa contra amenazas externas.
- Detectar. En el caso de los ataques de ransomware, es probable que los ciberdelincuentes hayan estado en su red durante algún tiempo, tratando de descifrar sus contraseñas para que puedan robar información y luego implementar ransomware. Aquí es donde entran en juego la detección y el monitoreo, pero el software de detección podría no marcar la diferencia a menos que una organización se haya centrado en la parte de "identificar". Si una organización entiende dónde están sus activos, el software de detección puede detectar brechas muy temprano y mitigarse más rápidamente.
- Responder. Tener un libro de jugadas para responder a un incidente es crucial para recuperarse de un ataque cibernético. Por ejemplo, si un MDR ve ransomware en un dispositivo, el siguiente paso sería aislarlo para que no pueda propagarse a todas partes. Un libro de jugadas cubre los protocolos de respuesta en detalle, junto con quién es responsable de cada paso.
- Recuperar. Este paso es crucial e implica desarrollar e implementar las actividades apropiadas para mantener los planes de resiliencia y restaurar cualquier capacidad o servicio que se haya visto afectado debido a un evento de ciberseguridad.
"Las organizaciones de atención médica han tenido que centrarse ampliamente en la privacidad de los datos, lo que puede haber desviado recursos de los ataques de seguridad de datos", dijo Tucker. "Prepararse para un evento de ciberseguridad, violación de datos o ataque de ransomware debe ser una prioridad para estas instituciones".
. © 2023 BOKF, NA.