Un grupo de médicos del NHS responsables de los registros que contienen información de salud de millones de pacientes advierten sobre el riesgo de una importante filtración de datos a través de un proyecto del NHS de Inglaterra que, según afirman, ha descuidado las medidas básicas de seguridad de TI. El programa para establecer una Plataforma de Registros de Resultados (ORP) ha recibido poca atención fuera del NHS, pero una vez completado, verá más de 30 registros clínicos que comprenden conjuntos de datos dispares, de categorías especiales y altamente sensibles que actualmente se mantienen por separado, trasladados a un único centro centralizado. repositorio, con el objetivo de mejorar la atención al paciente. Sin embargo, actualmente se puede acceder a ORP a través de Internet de cara al público, en lugar de estar ubicado en la Red segura de atención social y sanitaria (HSCN), y no está protegido por la autenticación multifactor (MFA), que está estipulada por los protocolos de seguridad del NHS. Esto significa que un actor de amenazas que haya podido obtener una credencial válida mediante phishing a un usuario o engañándolo para que descargue malware para robar información podría acceder a los datos del paciente. Incluso podrían realizar los llamados ataques de fuerza bruta, probando múltiples variaciones de nombres de usuario y contraseñas probables hasta encontrar una coincidencia. Si el ORP se viera comprometido una vez que haya asimilado múltiples registros, los datos de millones de pacientes se verían afectados, incluidos pacientes con cáncer, receptores de trasplantes, personas que han recibido atención por traumatismos graves, quemaduras o lesiones de la columna, aquellos que viven con enfermedades congénitas. como fibrosis quística o labio y paladar hendido, y aquellos que viven con enfermedades que cambian sus vidas, como el VIH. La Federación de Registros Clínicos (FCR), un grupo de profesionales de la salud y tecnólogos líderes en registros que están preocupados por la dirección que tomará el programa ORP, está haciendo sonar las campanas de advertencia. Un representante de FCR dijo: “La plataforma que se lanzó este año se colocó en Internet sin autenticación de dos factores (2FA), y eso va en contra de las políticas de seguridad del NHS que han estado vigentes desde mediados del año pasado, mucho antes que el sistema. salió en vivo. Es una política específica que el NHS debe tener 2FA en todos los sistemas, y eso a pesar del hecho de que también está en Internet debido a su estrategia de plataforma única defectuosa, que expone los datos del NHS a riesgos innecesarios”. Violación de datos La FCR señaló una violación de datos de 2023 de la Red de Investigación y Auditoría de Trauma (TARN), que ocurrió durante un ataque cibernético a la Universidad de Manchester, como un ejemplo de lo que podría sucederle a ORP. “NHS Inglaterra estuvo involucrada en esto [incident] además, que comprometió millones de registros de pacientes. Fueron alertados del riesgo de incumplimiento, pero no actuaron. Entonces, saben que existe un riesgo de violación, obviamente saben que ha habido esta violación, y luego van y publican el registro ORP en Internet, incluido el registro TARN remodelado (ahora rebautizado como NMTR), sin 2FA y con otros temas de seguridad”, dijo el representante del FCR. La FCR también citó otras preocupaciones de seguridad al investigar a los usuarios potenciales de ORP. “El registro y la validación de usuarios se gestionan por correo electrónico, utilizando hojas de cálculo de Excel que contienen datos personales, que se transmiten por correo electrónico no seguro. Las contraseñas se envían a los usuarios por correo electrónico sin ningún proceso de validación de dos factores. Las pautas gubernamentales, los sistemas estatales nunca deberían hacer esto porque no es un canal seguro. Los usuarios pueden especificar a qué registros desean acceder y qué nivel de acceso. También se está realizando el prerregistro masivo de usuarios. Todo el proceso está abierto a la subversión”, afirmó el representante del FCR. “Los pacientes, con razón, estarán muy preocupados de que sus datos se gestionen de esta manera. Para proteger los datos de los pacientes, la plataforma de software ORP debe retirarse con efecto inmediato hasta que la plataforma haya sido revisada por completo y se hayan solucionado los problemas de seguridad”. Originalmente establecido como un registro de datos sobre dispositivos médicos, los críticos también dijeron que el alcance del ORP se está ampliando mucho más allá de su mandato original. Un portavoz del NHS de Inglaterra dijo: “El seguimiento y la monitorización de dispositivos e implantes es crucial para la seguridad del paciente. NHS England se compromete a cumplir con los más altos estándares en seguridad cibernética y protección de datos, y la plataforma Outcome Registries cumple con todos los estándares de seguridad apropiados”. Preguntas de seguridad La FCR proporcionó a Computer Weekly respuestas a las preguntas que le planteó al propietario responsable principal (SRO) del proyecto ORP, Tim Briggs, director nacional de mejora clínica y recuperación electiva del NHS de Inglaterra. Cuando se le preguntó si todos los procesos de seguridad y gobierno de la información (IG) del NHS requeridos se habían seguido correctamente para el trabajo de ORP, la respuesta dijo: “Todos los procesos de IG y seguridad del NHS de Inglaterra se han seguido y están completos para el trabajo del Programa de Registros y Resultados llevado a cabo para fecha.» NHS England dijo que ORP ha sido probado según las credenciales de seguridad cibernética pertinentes y que su proveedor cumple con los estándares de seguridad pertinentes. La organización dijo que cuando se adjudicó el contrato para ORP, MFA no era un requisito para los sistemas externos basados ​​en Internet, pero afirmó que ahora se agregó MFA y que estará implementado en julio. La FCR dijo que no tenía conocimiento de que ningún usuario hubiera sido informado sobre los próximos cambios en el ORP relacionados con MFA, menos de dos semanas antes del comienzo de julio. El programa ORP en profundidad El proyecto ORP, inicialmente conocido como programa de registro y resultados de dispositivos médicos (MDORP), tiene una historia algo compleja. La decisión inicial de crearlo se tomó tras dos investigaciones distintas sobre percances médicos: la investigación Paterson sobre crímenes cometidos por el cirujano corrupto Ian Paterson, que cumple una condena de 20 años de prisión por someter a más de mil mujeres a cirugía mamaria innecesaria; y la Revisión Independiente de Seguridad de Medicamentos y Dispositivos Médicos (IMMDSR), o Informe Cumberledge, que exploró la seguridad de la malla sintética utilizada para cirugías de prolapso e incontinencia. Entre las recomendaciones clave del IMMDSR estuvo la creación de un Sistema de Información de Dispositivos Médicos (MDIS) para registrar datos sobre todos los dispositivos médicos implantados o administrados a los pacientes, e información sobre pacientes y procedimientos. Estos datos se encuentran actualmente en varios registros clínicos. En 2021, la respuesta del gobierno al IMMDSR estuvo de acuerdo con la recomendación y pidió la creación del MDIS, pero no dijo cómo se haría, aparte de utilizar los conjuntos de datos existentes en los registros clínicos. NHS Digital (como era entonces) recibió instrucciones de crear MDIS, más tarde rebautizado como Sistema de Información de Implantes y Dispositivos Quirúrgicos (SDIIS), con la intención de poder llegar e identificar a cualquier paciente que reciba dispositivos médicos en caso de que tenga un problema de seguridad que requiera una recordar. Según declaraciones anteriores del NHS de Inglaterra, se suponía que esta capacidad habría estado implementada en abril de 2021, pero tres años después, aún no se ha implementado, lo que genera preocupación entre los autores del informe IMMDSR y los parlamentarios del Comité Selecto de Salud. Los retrasos en curso, junto con una extensión del mandato del MDORP para cubrir todos los registros clínicos del NHS (significado por el cambio de título a ORP) fueron algunos de los factores que en septiembre de 2023 impulsaron la formación del grupo FCR, cuya membresía está compuesta por compuesto de líderes clínicos que representan algunos de los registros en alcance, que incluyen cirujanos y médicos del NHS, académicos clínicos, científicos y tecnólogos. Además de las preocupaciones de seguridad cibernética detalladas anteriormente, la FCR dijo que le preocupa que el ORP se esté extralimitando dramáticamente en su cometido inicial (centrarse en la seguridad física de los dispositivos médicos) para incluir muchos más registros clínicos de los que se pretendía inicialmente, sin tener aún cumplió con las recomendaciones del informe IMMDSR. La FCR afirmó que varios registros clínicos han sido presionados para firmar borradores de contratos entregando el control exclusivo de los datos del registro al NHS de Inglaterra; desarrollar una estrategia de salida para hacerlo; y entregar personal de registro y rescindir contratos con terceros, como con desarrolladores de software. El grupo también afirmó que no se siguió el proceso de adquisición correcto para la creación de la plataforma de software. La FCR dijo que el liderazgo de ORP rutinariamente les dice a quienes expresan inquietudes que están siendo abordados y que se está llevando a cabo un amplio ejercicio de consulta, pero sus miembros dicen que no han visto evidencia de esto. No tenemos confianza en que los registros de los pacientes estén protegidos o en que ORP comprenda el alcance y la complejidad de la Base de datos nacional de hemofilia. Sociedad de Hemofilia del Reino Unido La FCR acusó al NHS de Inglaterra de seguir un “enfoque intimidante y destructivo” hacia los registros establecidos y de renombre mundial, y argumentó que los mismos individuos que impulsan la controvertida Plataforma Federada de Datos (FDP) están siguiendo una “estrategia peligrosamente defectuosa” para tomar revisar y redesarrollar los registros establecidos simplemente para absorber sus datos en el FDP. NHS England dijo que no hay ningún plan para hacerse cargo o remodelar los registros existentes, ni para absorber sus datos en el FDP. En respuesta, el representante del FCR dijo: “Esto es una absoluta tontería y enfurecerá a los registros. Hay una enorme cantidad de pruebas que demuestran lo contrario”, citando una revisión de PA Consulting que decía: “NHS England tiene una lista prioritaria de registros nuevos y establecidos que serán revisados ​​con miras a consolidarlos en una sola plataforma”, y el contrato términos emitidos por el NHS de Inglaterra a los registros existentes que incluían términos para permitir al NHS “hacer la transición a un modelo de recopilación de datos automatizada/rutinaria/centralizada para los registros clínicos nacionales durante un período de tres a cinco años”. Además, la respuesta de SRO Briggs a las preguntas anteriores de la FCR decía: “Hay más de 30 registros que están total o significativamente financiados por el NHS de Inglaterra y que actualmente están bajo revisión” para su inclusión en una única plataforma de TI. Los grupos de pacientes instan a repensar la creciente controversia también ha llamado la atención de los grupos de defensa de los pacientes, entre ellos la Haemophilia Society UK, Haemophilia Northern Ireland y Haemophilia Scotland, que están preocupados por el futuro de la Base de datos nacional de hemofilia (NHD), una de las los registros se agrupan en ORP. El NHD desempeña un papel enormemente importante en el seguimiento de la hemofilia y otros trastornos de la coagulación, el seguimiento de los resultados clínicos y la identificación de tendencias y posibles áreas de preocupación entre las personas que viven con dichas afecciones. También desempeñó un papel fundamental en el apoyo a la investigación sobre sangre infectada recientemente concluida, que investigó el escándalo de sangre contaminada de los años 1970 y 1980, en el que más de 30.000 personas recibieron transfusiones de sangre o tratamientos que las infectaron con hepatitis C o VIH. Más de 3.000 personas han muerto a consecuencia de esto. También es probable que se utilice para fundamentar futuras reclamaciones médicas, especialmente en los casos en los que los registros médicos ya no existan. En una carta dirigida al director médico nacional del NHS de Inglaterra, Steve Powis, vista por Computer Weekly, Kate Burt, directora ejecutiva de la Sociedad de Hemofilia del Reino Unido, y sus homólogos, Nigel Hamilton y Alan Martin de Haemophilia NI y Haemophilia Scotland, dijeron que la Investigación sobre Sangre Infectada había recomendó la necesidad de que el NHD opere fuera del NHS. En su informe, el presidente de la investigación, Brian Langstaff, pidió financiación adicional para el NHD si quería continuar con su trabajo vital, y si bien reconoció que uno podría pensar que esto significaba que debería incorporarse al NHS, consideró que habría “pocas ventajas”. «En esto, porque expondría al NHS a mayores costos y sometería al NHD a fluctuaciones presupuestarias e incertidumbre. «Creemos que es crucial que todas las recomendaciones del informe de Sir Brian sean respetadas e implementadas», escribieron Burt, Hamilton y Martin. “Estamos profundamente preocupados por la forma en que se ha manejado esta propuesta. No se ha realizado ninguna consulta con las organizaciones de pacientes ni con el NHD, y no se ha presentado ningún caso de negocio. «Por lo tanto, no tenemos confianza en que los registros de los pacientes estén protegidos o en que ORP comprenda el alcance y la complejidad del NHD», dijeron. “Es importante para las generaciones presentes y futuras de personas con trastornos hemorrágicos, no sólo para aquellos perjudicados por el escándalo de la sangre contaminada, que el NHD esté protegido y se mejore su financiación. Debemos aprender lecciones del pasado y poner las voces de los pacientes en el centro de la toma de decisiones. “Por lo tanto, instamos al NHS de Inglaterra a que detenga inmediatamente cualquier plan para hacerse cargo del NHD. Le pedimos que apoye las recomendaciones de la Infected Blood Enquiry, que permitirían que el NHD, dirigido por UKHCDO, sea una herramienta vital para lograr una mejor atención centrada en el paciente, que seguramente todos queremos para la comunidad de trastornos de la coagulación».