Entrevista Si usted es responsable de seguridad de la información en un hospital de EE. UU. u otra organización de atención médica, y trata los nuevos objetivos de desempeño de ciberseguridad (CPG) «voluntarios» del gobierno como, bueno, voluntarios, está ignorando la escritura en la pared. Además, le espera un gran daño cuando entren en vigor nuevas regulaciones, que muy probablemente reflejarán estas prácticas voluntarias, según Taylor Lehmann, director de la Oficina del Director de Seguridad de la Información de Google Cloud. «El beneficio de las CPG es que indica dónde rebotará la pelota a continuación y cuáles son los estándares y expectativas sobre en qué deberían trabajar las organizaciones», dijo Lehmann a The Register. Lehmann, ex CISO de Athenahealth y Tufts Medicine, dijo que la prueba se encuentra en procesos anteriores de elaboración de normas de agencias federales. «Puede que no sea hoy, pero lo que está en el documento del HHS probablemente se convertirá en lo que está en la reglamentación final real o en nuevos requisitos regulatorios que se convertirán en ley», dijo. «Si aceptas el hecho de que voluntario no significa que tengas que hacer algo, probablemente estarás equivocado. Los objetivos voluntarios se vuelven obligatorios, y ese ha sido generalmente el caso con otras normas en el ámbito de la atención sanitaria en lo que se refiere a la seguridad. » A principios de enero, cuando una cifra récord de 46 redes de salud con un total de 141 hospitales entre ellas todavía se estaban recuperando de infecciones de ransomware y robo de datos en 2023, comenzaron a circular rumores de que la Casa Blanca pronto exigiría a los hospitales estadounidenses que cumplieran con los estándares básicos de ciberseguridad antes. recibiendo fondos federales. Durante todo esto, los delincuentes detrás de las intrusiones utilizaban sus propios métodos de extorsión, cada vez más peligrosos, para obligar a los hospitales a pagar las demandas de rescate. Cuando se les preguntó acerca de las reglas del hospital, los Centros de Servicios de Medicare y Medicaid dirigieron a The Register a un documento conceptual publicado en diciembre que describe la estrategia de ciberseguridad del Departamento de Salud y Servicios Humanos (HHS). Según el periódico [PDF]Los funcionarios propondrán nuevos estándares de seguridad exigibles y trabajarán con el Congreso para administrar apoyo financiero e incentivos para que los hospitales implementen «prácticas de ciberseguridad de alto impacto», entre otras acciones. Más tarde, en enero, el HHS publicó las GPC voluntarias específicas para la atención médica. Esencial no significa fácil. Estos objetivos se dividen en dos categorías, esenciales y mejorados, y cada uno tiene diez cosas específicas que las organizaciones pueden hacer para protegerse mejor de los ciberataques. Los objetivos esenciales suenan como seguridad de nivel básico: el tipo de cosas que uno esperaría que los hospitales y clínicas ya tuvieran implementadas. Pero, según Lehmann, todos se basan en hazañas y compromisos del mundo real. «Básicamente lo que vivió el sector durante el último año», afirmó. «Me encantaría decir que son muy obvios, pero claramente no se están haciendo todos». Incluyen mitigar vulnerabilidades conocidas, utilizar autenticación multifactor, implementar seguridad del correo electrónico, capacitar a los empleados en comportamientos seguros, cifrar datos confidenciales y revocar credenciales de empleados, contratistas y voluntarios cuando abandonan la organización. La planificación básica de respuesta a incidentes, el uso de credenciales únicas, la separación de cuentas de usuarios y privilegiadas y la evaluación de los riesgos de vendedores y proveedores completan los objetivos esenciales. «La cuestión es que lo básico no siempre es necesariamente fácil. Lo básico puede ser muy difícil», dijo Lehmann. Las redes de atención médica, especialmente aquellas con clínicas y hospitales en comunidades rurales más pequeñas, no cuentan con tecnologías modernas. Algunos de sus equipos tienen décadas de antigüedad y no pueden darse el lujo de actualizarlos ni contratar suficientes empleados para respaldar sus objetivos de seguridad. «La deuda tecnológica se ha acumulado durante años y superarla, en muchos casos, dejará a las organizaciones fuera del negocio», dijo Lehmann. «Sucedió este verano». Se refiere a un hospital de Illinois que dijo que cerraría en parte debido a una infección de ransomware. Esto no quiere decir que los grandes hospitales sean inmunes al ransomware u otros ataques cibernéticos. Un ejemplo: CommonSpirit Health, la segunda organización de atención médica sin fines de lucro más grande de Estados Unidos, desvió ambulancias y cerró sistemas de registros electrónicos en sus instalaciones y hospitales en 21 estados. «Vamos a seguir luchando, es decir, hasta el punto en que el HHS intervenga, que es lo que han aludido a hacer», dijo Lehmann. Aún así, implementar incluso los objetivos esenciales como la autenticación multifactor, por ejemplo, puede presentar dificultades. «¿Cómo se va a lograr que 15.000 personas se registren con autenticación de dos factores en un período de tiempo? Y con los recursos adecuados, para asegurarnos de que si ocurre un evento catastrófico y estamos en medio de una inscripción de dos factores, eso ¿No tenemos que cerrar el hospital? Si estas cosas no se hacen bien, pueden tener impactos operacionales catastróficos en cosas realmente sensibles que salvan vidas», dijo Lehmann. Otro de los objetivos esenciales –revocar las credenciales cuando las personas abandonan la organización– tampoco es tan fácil como parece. «No, si eres un sistema médico académico donde tienes cinco o más instituciones académicas y no sabes cuándo esos estudiantes se gradúan, no sabes cuándo se van», dijo Lehmann. Añadió que los objetivos esenciales «pierden un poco el sentido» al centrarse principalmente en prevenir ataques, en lugar de priorizar igualmente la resiliencia y la recuperación. Durante demasiado tiempo, la confidencialidad de los datos y la protección de la PII y la información de salud del paciente se han considerado el único objetivo para garantizar la atención médica, porque no proteger la información confidencial es lo que mete a los hospitales en problemas con las agencias gubernamentales. «La disponibilidad es tan importante, si no más, que la confidencialidad», dijo Lehmann, y agregó que muchas organizaciones de atención médica aún no han avanzado hacia esta forma de pensar sobre la seguridad. «Me importa si mis datos son violados, pero me importa más si muero a causa de ello». ®

Source link