Los funcionarios federales y los ejecutivos de la industria saben desde hace años que el sistema de salud de EE. UU. era una de las industrias críticas más vulnerables a la piratería, pero no lograron realizar las mejoras que podrían haber detenido ataques como el que ha paralizado a farmacéuticos y otros proveedores médicos durante tres años. semanas. El peligro era evidente en 2021, cuando bandas de ransomware atacaron hospitales ya abrumados por la pandemia de covid-19, lo que obligó a algunos a desviar a los pacientes de emergencia entrantes a otras instalaciones y contribuyó potencialmente a retrasos mortales en los tratamientos. Pero con los cabilderos del sector privado oponiéndose a los nuevos requisitos de seguridad , el Congreso y las ruedas regulatorias han avanzado lentamente, promoviendo principalmente las mejores prácticas que los hospitales pueden (y eligen) ignorar. También pueden hacerlo cámaras de compensación electrónicas relativamente desconocidas como Change Healthcare de UnitedHealth Group, que fue objeto de un ataque lanzado el mes pasado por un hacker. afiliado a la banda de ransomware ALPHV que cortó un vínculo clave entre los proveedores médicos y las compañías de seguros de sus pacientes en el peor hackeo de atención médica jamás reportado. Change Healthcare dijo el lunes que había proporcionado anticipos de 2 mil millones de dólares a farmacias, hospitales y otros proveedores que no pudieron obtener reembolsos de seguros durante el fracaso de su red. Los críticos dicen que el fiasco de Change Healthcare, que ha perjudicado la atención al paciente en casi tres cuartas partes de los hospitales estadounidenses, muestra que los esfuerzos defensivos son terriblemente inadecuados. Dicen que una respuesta completa incluiría requisitos de seguridad estrictos para las piezas más críticas del sistema en expansión, seguidos de reglas menos estrictas pero aún suficientes para los grandes sistemas hospitalarios. Los proveedores más pequeños, que pueden no tener personal de seguridad, deberían recibir ayuda, como exige el proyecto de presupuesto de la administración. «Necesitamos asegurarnos de saber dónde están estos puntos vulnerables», dijo Nitin Natarajan, subdirector del Departamento de Seguridad Nacional. Agencia de Seguridad de Infraestructura y Ciberseguridad de Security, reconoció en entrevista. «Estamos analizando qué palancas existen». Algunos miembros del Congreso dicen que eso ya debería haber sucedido. «El gobierno necesita evitar que este tipo de hackeo devastador ocurra una y otra vez», dijo el senador Ron Wyden (D-Ore. ) dijo al Washington Post. “Quiero trabajar con la administración Biden para garantizar que existan reglas de ciberseguridad específicas y obligatorias lo antes posible y garantizar la rendición de cuentas de los directores ejecutivos”. La asesora adjunta de seguridad nacional, Anne Neuberger, dijo que la Casa Blanca está examinando qué leyes puede utilizar. imponer tales estándares a una industria renuente, al tiempo que les dice a los ejecutivos que se espera que cumplan con las directrices voluntarias de inmediato. ”, dijo Neuberger a The Post el lunes. Dijo que pronto llegarán algunos requisitos para los proveedores que aceptan Medicare y Medicaid. La Asociación Estadounidense de Hospitales dijo que apoya objetivos voluntarios de ciberseguridad destinados a defenderse contra los ataques más comunes, como los correos electrónicos de phishing. Pero la organización criticó medidas obligatorias como las propuestas por la administración Biden, diciendo que penalizarían a los hospitales que no cumplan con ciertos estándares, incluso cuando la mayor parte del riesgo proviene de tecnologías de terceros. “La AHA no puede apoyar propuestas de requisitos obligatorios de ciberseguridad que se cobran a los hospitales como si fueran culpables del éxito de los piratas informáticos al perpetrar un delito”, escribió la asociación en una carta al Comité de Finanzas de la Cámara la semana pasada. El año pasado, más objetivos de la industria de la salud informaron ataques de ransomware al sitio de Internet del FBI. Centro de Denuncias contra Delitos que cualquier otro de los 16 sectores de infraestructura crítica, según el resumen anual publicado este mes. Los expertos dijeron que la resistencia de la industria a la seguridad obligatoria era sólo una parte del problema. Los hospitales son víctimas porque son “dinero fácil”, dijo Greg García, director ejecutivo de un grupo de ciberseguridad de la industria de la salud y ex subsecretario de seguridad nacional. «Si la opción es ‘pagar el rescate y salvar una vida y no pagar un rescate y correr el riesgo de perder una vida o cerrar el negocio si se trata de un sistema pequeño’, es una obviedad para el hacker». Por qué no se ha preparado mejor, Natarajan dijo que la “complejidad del sector” era parte de la razón. Un solo servicio médico puede contar con innumerables participantes (médicos y hospitales, compañías de seguros, fabricantes de medicamentos, farmacias y plataformas como Change Healthcare), todos los cuales conectarse electrónicamente. Eso hace que cada pieza, con su propia tecnología y prioridades, sea una puerta de entrada potencial a todo el universo médico. Entonces, cuando los piratas informáticos irrumpen en proveedores u otros, cifran registros de salud y facturación y exigen dinero para desbloquearlos, también pueden llegar a objetivos adyacentes. Más de la mitad de todos los ataques a la atención médica provienen de terceros, según García, cuya organización se llama Grupo de Trabajo de Ciberseguridad del Consejo Coordinador del Sector Salud. La complejidad se ve agravada por la existencia de reguladores separados para muchas partes de la economía de la atención médica, algunas de los cuales proponen directrices de seguridad diferentes entre sí, o ninguna en absoluto. La autoridad más importante, el Departamento de Salud y Servicios Humanos, aplica reglas para proteger los datos de salud confidenciales y está investigando la violación de Change Healthcare. Una portavoz del HHS, Samira Burns, dijo que el departamento no podía discutir la investigación. Pero señaló un “documento conceptual” de diciembre en el que el HHS decía que más allá de los objetivos de seguridad voluntarios para los proveedores, estaba “trabajando con el Congreso para desarrollar apoyos e incentivos para que los hospitales nacionales mejoren la ciberseguridad, aumenten la responsabilidad dentro del sector de atención médica y mejorar la coordinación a través de una ventanilla única”. CISA nombró el año pasado la atención médica como una de sus principales prioridades para la seguridad tecnológica, junto con el agua, las escuelas públicas y los sistemas electorales. La agencia ofrece evaluaciones de vulnerabilidad y capacitación gratuitas, y el año pasado pudo advertir a unos 100 proveedores de atención médica que sus sistemas estaban bajo ataque antes de que fuera demasiado tarde. Una cuestión clave es si se debe pagar un rescate para desbloquear los sistemas. después de que los piratas informáticos hayan tomado el control de ellos. En una declaración, la Casa Blanca dijo que «desaconseja firmemente el pago de rescates, para detener el flujo de fondos hacia estos delincuentes y desincentivar sus ataques». Pero muchas compañías de seguros cibernéticos sugieren pagar si los datos las copias de seguridad no están disponibles. Cuando los proveedores de salud no pagan, los resultados pueden ser catastróficos. La empresa matriz de Change Healthcare, United Health Group, no ha negado los informes de que resistió durante dos semanas antes de enviar 22 millones de dólares a la banda de ransomware de habla rusa ALPHV. En ese caso, la mayor parte del daño también afectó a otras organizaciones que dependían de Change Healthcare. como pacientes que descubrieron que no podían obtener medicamentos que les salvaran la vida sin pagar el mismo precio que alguien sin seguro. UnitedHealth Group dijo el lunes que había restaurado la plataforma de Change Healthcare para pagos electrónicos y lo que dijo era el 99 por ciento de los servicios de su red de farmacias, mientras comenzaba a lanzar software para que los proveedores de atención médica presenten reclamaciones médicas para su reembolso. Los consumidores y las farmacias aún informaron impactos continuos, como no poder aplicar cupones que muchos usan para pagar los medicamentos. El cronograma para restaurar la capacidad de presentar reclamos médicos aún no está claro, dijeron algunos médicos. También hubo graves daños colaterales después de un gran ataque a la red de hospitales Scripps en San Diego en 2021, según un artículo de mayo en JAMA Network Open, de la Asociación Médica Estadounidense. Scripps no pagó el rescate, según informes de la época. El estudio encontró que la cantidad de tiempo que los pacientes perdieron al ser desviados a otras salas de emergencia se duplicó con creces en los primeros días después del ataque. Dentro de los hospitales de Scripps, el equipo crítico estaba inoperable, dijo un médico al Washington Post, incluidos los registros electrónicos de los pacientes. Algunos médicos más jóvenes que nunca antes habían usado gráficos en papel simplemente se fueron a casa. “Había que contar con que el paciente le dijera qué medicamentos estaba tomando, qué cirugías había tenido, si se acordaba”, dijo el médico. “Estoy seguro de que cometimos errores”. Algunos veteranos de la industria de la seguridad que habían presenciado una serie de filtraciones de datos en la industria médica antes del covid-19 previeron el aumento de ransomware que vendría después y formaron un grupo de voluntarios para ayudar en marzo de 2020. En la Cyber ​​Threat Intelligence League, escanearon las redes hospitalarias desde lejos, buscando vulnerabilidades y alertando a las instalaciones que estaban en peligro. Los miembros también avisaron a los hospitales que ya estaban bajo ataque y en mal estado. “Personalmente, no tengo ninguna duda de que se perdieron vidas, ”, dijo el cofundador de la CTI League, Marc Rogers. «Cuando hablas con un hospital en las primeras horas de la mañana y no tienen forma de acceder a los registros médicos de los pacientes y utilizar sistemas más avanzados, sabes que eso va a costar vidas». En muchos casos, los hospitales desconfiaban de aceptar Consejos de extraños, incluso cuando CISA o el FBI respondieron por ellos, recordó Rogers. Los hospitales más pequeños a menudo no tenían vínculos con el grupo de intercambio de información de seguridad sin fines de lucro de la industria. A través de prueba y error, la liga descubrió que la mejor manera de transmitir consejos y correcciones era a menudo a través de proveedores de equipos y software que ya tenían un contacto técnico en el establecimiento. Los mayores éxitos de la liga fueron las pocas veces que encontró un software crítico. falla en un hospital, confirmó que los piratas informáticos de ransomware estaban explotando la misma falla en otros lugares y explicó la situación al hospital a tiempo para que pudiera atrapar a los piratas informáticos en sus sistemas antes de que los cifraran. CISA ahora utiliza el mismo enfoque. Rogers, ex ejecutivo de seguridad de la empresa de seguridad de Internet Cloudflare, dijo que una mayor colaboración y mejores directrices por parte de las agencias federales son sólo una parte de la respuesta. Lo que no cambia es el hecho de que muchos hospitales son pequeñas organizaciones sin fines de lucro y nadie puede establecer ni siquiera controles mínimos sobre el acceso en línea, como la autenticación multifactor, en lugar de solo contraseñas. “Nada de esto tiene en cuenta la falta de fondos para hacer estas cosas, «, Dijo Rogers. “Estos hospitales todavía carecen de recursos suficientes. Si vas a un hospital rural, tendrás suerte si encuentras algún experto en ciberseguridad”. El enfoque del gobierno hasta la fecha, añadió, significa que “les estás dando una lista de las cosas que deben hacer, pero no No les estamos dando los medios para hacerlo”. Daniel Gilbert contribuyó a este informe.

Source link