La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) ha propuesto nuevos requisitos de ciberseguridad para las organizaciones sanitarias con el objetivo de salvaguardar los datos de los pacientes contra posibles ciberataques.
La propuesta, que busca modificar la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) de 1996, es parte de una iniciativa más amplia para reforzar la ciberseguridad de la infraestructura crítica, dijo la OCR.
La regla está diseñada para fortalecer la protección de la información médica protegida electrónica (ePHI) actualizando los estándares de la regla de seguridad HIPAA para “abordar mejor las amenazas de ciberseguridad cada vez mayores al sector de la salud”.
Con ese fin, la propuesta, entre otras cosas, requiere que las organizaciones realicen una revisión del inventario de activos tecnológicos y el mapa de la red, identifiquen vulnerabilidades potenciales que podrían representar una amenaza para los sistemas de información electrónicos y establezcan procedimientos para restaurar la pérdida de ciertos datos electrónicos relevantes. sistemas de información y datos en un plazo de 72 horas.
Otras cláusulas notables incluyen llevar a cabo una auditoría de cumplimiento al menos una vez cada 12 meses, exigir el cifrado de ePHI en reposo y en tránsito, imponer el uso de autenticación multifactor, implementar protección antimalware y eliminar software extraño de los sistemas de información electrónica relevantes.
El Aviso de reglamentación propuesta (NPRM) también exige que las entidades de atención médica implementen la segmentación de la red, establezcan controles técnicos para el respaldo y la recuperación, así como que realicen escaneos de vulnerabilidades al menos cada seis meses y pruebas de penetración al menos una vez cada 12 meses.
Este avance se produce cuando el sector de la salud sigue siendo un objetivo lucrativo con ataques de ransomware, que no solo plantean un riesgo financiero sino que también ponen vidas en juego al interrumpir el acceso a equipos de diagnóstico y sistemas críticos que contienen registros médicos de pacientes.
“Las organizaciones de atención médica recopilan y almacenan datos extremadamente confidenciales, lo que probablemente contribuye a que los actores de amenazas los apunten con ataques de ransomware”, Microsoft anotado en octubre de 2024. “Sin embargo, una razón más importante por la que estas instalaciones están en riesgo es la posibilidad de recibir enormes pagos financieros”.
“Los centros de salud ubicados cerca de hospitales que se ven afectados por ransomware también se ven afectados porque experimentan una oleada de pacientes que necesitan atención y no pueden atenderlos de manera urgente”.
Según datos recopilados por la empresa de ciberseguridad Sophos, el 67 % de las organizaciones sanitarias se vieron afectadas por ransomware en 2024, frente al 34 % en 2021. La causa fundamental de la mayoría de estos incidentes se remonta a vulnerabilidades explotadas, credenciales comprometidas y ataques maliciosos. correos electrónicos.
Además, el 53 % de las organizaciones sanitarias que tenían datos cifrados pagaron el rescate para restaurar el acceso. El pago medio del rescate fue de 1,5 millones de dólares.
El aumento en la tasa de ataques de ransomware contra entidades de atención médica también se ha complementado con tiempos de recuperación más largos, con solo el 22% de las víctimas recuperándose completamente de un ataque en una semana o menos, una caída significativa desde el 54% en 2022.
“La naturaleza altamente sensible de la información sanitaria y la necesidad de accesibilidad siempre pondrán en el punto de mira a la industria sanitaria por parte de los ciberdelincuentes”, afirmó el CTO de Sophos, John Shier. dicho. “Desafortunadamente, los ciberdelincuentes han aprendido que pocas organizaciones sanitarias están preparadas para responder a estos ataques, como lo demuestran los tiempos de recuperación cada vez más largos”.
El mes pasado, la Organización Mundial de la Salud (OMS), una agencia de las Naciones Unidas centrada en la salud pública mundial, caracterizado calificó los ataques de ransomware a hospitales y sistemas de salud como “cuestiones de vida o muerte” y pidió cooperación internacional para combatir la amenaza cibernética.
About the Author
