5 problemas claves de ciberseguridad para la industria sanitaria
En los dos últimos años, la industria sanitaria ha sufrido un importante aumento en el número de ciberataques, y las brechas de seguridad han llegado a suponer para el sector unos costes en 2015 de cerca de 5,6 millardos de dólares. Informaciones y datos sobre cómo debemos proteger a las empresas y organizaciones de salud y que procedimientos son necesarios poner en marcha, son conocidos por todos.
La verdad es que cada empresa o entidad es diferente y no hay soluciones mágicas o milagrosas que puedan garantizar totalmente la seguridad. Los profesionales de TI del sector salud necesitan estar al día sobre los problemas específicos de su industria y adaptar sus estrategias de seguridad a medida que los ataques se van volviendo cada vez más complejos.
1.- El mercado negro
Los datos sanitarios son muy apreciados por los hackers, ya que pueden colocarse a buen precio en el mercado negro. En Estados Unidos, los datos de los pacientes que incluyen el número de la seguridad social tienen una gran demanda, y pueden ser vendidos cada expediente por cantidades entre los 10 y los 50 USD. Si lo comparamos con los precios que alcanzan los números de tarjetas de crédito robadas, no más de 1 USD, la urgencia y necesidad de proteger estos datos es obvia. El objetivo de los hackers es hacer dinero gracias a grandes brechas que dejan expuestos datos de millones de usuarios, pero también datos familiares y otros y, desgraciadamente, los titulares de prensa nos sugieren que la industria parece que va perdiendo la batalla.
2.- Las estafas abundan
No pensemos que los cibercriminales sólo están interesados en datos que puedan vender con rapidez. Los cibercriminales también quieren utilizar los registros médicos de forma que puedan llegar a emitir facturas contra aseguradoras o contra otras entidades, como por ejemplo Medicare en los EE.UU., un programa gubernamental de salud para mayores de 65 años. También pueden llegar a hacerse con identidades falsas que les permitan suplantar a pacientes y hacerse con algún tipo de productos y medicinas para ser revendidos. Pero todavía las cosas pueden ponerse peor pues, como nos recuerda el Ponemom Institute, el coste promedio de una brecha de seguridad para la industria de la salud es de un 70% superior al de otros sectores.
3.- Mandar los datos a la nube o mantenerlos en nuestros equipos
Este es un dilema que está presente en muchas empresas y entidades sanitarias. El cumplimiento de la normativa en vigor es algo muy importante y a las empresas les supone un importante esfuerzo al que han dedicado mucho tiempo y recursos para conseguir un nivel adecuado. No es extraño también que muchas empresas se planteen dudas a la hora de actualizar la tecnología o implementar nuevos sistemas de seguridad frente a la evolución de las amenazas, y si además añadimos. Dar el salto hacia la nube es algo que muchas empresas de la industria sanitaria analizan y saben que es inevitable, pero les asusta.
Las pasarelas de protección de datos en la nube (Cloud Data Protection – CDP) aportan un control flexible que protege la información sensible antes de salir de la red corporativa y entrar en la nube. Las pasarelas interceptan la información médica protegida mientras se encuentran en las redes corporativas y las reemplazar con valores encriptados o tokenizados, que son los que se envían a la nube. De esta forma, los datos no tienen ningún sentido para cualquiera que se encuentre fuera de la red o en su camino a la nube. Estas plataformas también aseguran que los usuarios finales pueden utilizar debidamente la funcionalidad de las aplicaciones SaaS en la nube, incluso cuando los datos han sido cifrados o tokenizados. También existen tecnologías que permiten monitorizar continuamente y escanear los archivos en busca de información confidencial de los historiales y, si la encuentran, bloquearla e impedir que siga su camino o bien, alertas a los equipos IT que la información ha sido enviada a la nube.
4.- El cifrado es nuestro amigo
Mientras no exista la obligación legal de poner en marcha unos procedimientos técnicos específicos para la protección de datos de los historiales médicos, el cifrado de los mismos puede ser suficiente. El cifrado codifica los datos de forma que sólo aquellos actores autorizados pueden descifrar la información y leerla. Con el cifrado no impedimos que alguien pueda interceptar los datos, pero sí que puedan ser leídos. Es muy importante que los códigos de cifrado estén bajo el control físico de los equipos de TI de la empresa y no de los proveedores de servicio. Perder el control de la propiedad de las llaves de cifrado supone para la empresa un riesgo adicional de divulgación de los datos.
5.- El factor miedo
Como ya he comentado antes, muchos de los responsables de los departamentos de TI de las empresas de salud se muestran bastante escépticos a la hora de probar nuevas opciones de almacenamiento y de seguridad. Muchos tienen miedo a perder el control de esta información sensible y altamente protegida. Es muy lógico que exista preocupación, pero soluciones como el cifrado y los centros de datos pueden ayudar a superar estos temores.
La realidad es que toda una variedad de nuevas soluciones de control de datos y de protección están apareciendo en la industria para ayudar a las organizaciones a enfrentarse a todos estos riesgos y a estar mejor preparadas antes riesgos futuros que todavía no conocemos. Soluciones que no debemos dejar de lado y que, cuanto antes las pongamos a trabajar, antes podremos combatir las viejas y nuevas amenazas.
Miguel Angel Martos
Director general Blue Coat para el Sur de Europa
Miguel Angel Martos de Blue Coat