Servicios de saludunit 42

Ciberseguridad de los servicios de salud

RESPUESTA ANTE INCIDENTES CIBERNÉTICOS Y PROTECCIÓN PARA LAS ORGANIZACIONES DE SERVICIOS DE SALUD

Está surgiendo un creciente enfoque en la ciberseguridad de los servicios de salud dado que el sector de servicios de salud es conocido entre los ciberdelincuentes por ser un buen objetivo. Esto se debe a que los registros de pacientes, datos de investigaciones y propiedad intelectual pueden generar grandes sumas de dinero en la web oscura.

Mientras que los datos financieros robados normalmente tienen poca vida útil, la información personal de salud (PHI) es para siempre. Las víctimas pueden obtener una nueva tarjeta de crédito luego de una vulneración, pero no pueden cambiar su tipo de sangre o la historia clínica. Este hecho aumenta el valor de la PHI para los ciberdelincuentes, quienes pueden secuestrar la información para pedir un rescate o venderla a terceros mucho después de haberla robado.

Esto no significa que los ciberdelincuentes ignoran oportunidades de robar dinero de las organizaciones de servicios de salud. Los servicios de salud representan casi un quinto de la economía de Estados Unidos con grandes sumas que se mueven electrónicamente todos los días entre varias partes y organizaciones: pagadores, proveedores, distribuidores y pacientes. Solo requiere un eslabón débil en la cadena para crear una oportunidad para que los actores de amenazas den el golpe.


Cuando se trata de incidentes cibernéticos, se destacan los servicios de salud

  • Las empresas y organizaciones de salud representan el 16 por ciento de todos los asuntos de respuesta ante incidentes que resuelve Unit 42®, antes de otras categorías del sector.
  • Ransomware es el método de ataque elegido contra todas las organizaciones de salud, que representan más de un quinto de todos los incidentes de ransomware que detectamos.
  • Los actores de amenazas de la vulneración de correo electrónico de negocios (BEC) apuntan al sector, principalmente para robar dinero. Los servicios de salud representan el 15 por ciento de los incidentes a los que respondemos.
  • Debido principalmente a que los servicios de salud confían cada vez más en soluciones en la nube, el sector representaba el 15 por ciento de nuestras interacciones con clientes que implicaban la divulgación inadvertidade datos confidenciales.
Obtenga más información acerca del crecimiento en los ciberataques de servicios de salud en el Informe de vulneración de datos y respuesta ante incidentes de Unit 42

Los servicios de salud tienen desafíos de ciberseguridad únicos

1

Migrar a la nube conlleva riesgos.

El sector de servicios de salud ha sufrido una transformación a soluciones en la nube en todo aspecto, desde la facturación hasta opciones de atención remota a pacientes, portales en línea para pacientes y más. Si bien ofrecen eficiencia y escalabilidad, también aumentan los riesgos asociados no solo con la ciberdelincuencia, sino también con eventos de divulgación inadvertida que puede exponer grandes volúmenes de datos confidenciales.

2

La seguridad de IoT es un problema emergente.

Los dispositivos médicos están cada vez más interconectados y, por lo tanto, aumentan la superficie de ataque en la cual los ciberdelincuentes pueden obtener acceso a datos confidenciales o incluso interrumpir la atención al paciente mientras se realiza. Esta proliferación de dispositivos de IoT, junto a las herramientas y técnicas cada vez más sofisticadas que utilizan los actores de amenazas para hackearlos, significa que los proveedores de servicios de salud deben proteger más equipos que antes y que los desafíos nunca han sido mayores. Encargarse correctamente de la ciberseguridad en los servicios de salud requiere de un socio con una experiencia única, conozca más acerca de Unit 42 ahora.

3

Los costos de interrupción y tiempo de inactividad pueden ser impactantes y suponer un grave riesgo para los pacientes.

Given what they do, hospitals, medical practices, and other healthcare organizations can least afford to experience disruptions in essential systems and networks. As they rely increasingly on electronic data exchange, system downtime not only results in huge costs but can also bring delays in accessing critical patient health information and keeping life-saving services operating smoothly.

4

Los reguladores están observando.

La Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) atribuye una responsabilidad adicional a las organizaciones de salud de proteger la información electrónica de salud personal de los individuos que reciben, usan o guardan. La regla de seguridad de la HIPPA requiere protecciones administrativas, físicas y técnicas adecuadas para garantizar la confidencialidad, integridad y seguridad de la información electrónica de salud protegida. Si las organizaciones de salud pierden el control de sus datos, se requiere que notifiquen a las personas afectadas, el gobierno federal y, en determinadas circunstancias, a los medios.

5

Las pandemias aumentan los desafíos.

Si bien las organizaciones de salud enfocan su tiempo, atención y recursos en la respuesta a la COVID-19, han visto aumentos en los ataques de ciberseguridad dado que los actores de amenazas buscan explotar la emergencia. Desde el inicio de la pandemia, ha habido un aumento significativo en correos electrónicos de phishing y distribución de malware utilizando la COVID-19 como señuelo. Mientras tanto, las agencias de inteligencia informaron que los hackers están utilizando malware y correos electrónicos de phishing sofisticados para intentar obtener acceso a la investigación de vacunas e información sobre cadenas de suministro médicas.

Vea este estudio de caso que detalla el esfuerzo de una gran organización de salud tras un ataque de malware y cómo se recuperó con la ayuda de un vCISO de Unit 42.

Soluciones de ciberseguridad de Unit 42 para las organizaciones de salud

1

Realizar una evaluación de la Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA).

Unit 42 aplica las pautas y requisitos de la HIPPA de evaluar la postura de seguridad general de una organización teniendo en cuenta su personal, procesos y tecnologías en uso para proteger la organización y sus activos. Comprendemos el panorama de ciberseguridad, trazando donde se encuentra la PHI y otros datos confidenciales, y cómo se almacena y transmite. También analizamos la documentación existente y damos recomendaciones conforme a los estándares del sector de servicios de salud, y realizamos entrevistas a las partes interesadas para obtener perspectivas de la infraestructura en ciberseguridad, las operaciones, las capacidades, los procesos y las prácticas generales en la organización. Nuestra evaluación de la HIPAA incluye recomendaciones detalladas para remediar las debilidades identificadas o las brechas en seguridad, así como una hoja de ruta de implementación estratégica que detalle cómo pueden abordarse las debilidades identificadas, incluido el nivel percibido del esfuerzo y los costos estimados.

2

Llevar a cabo evaluaciones exhaustivas y personalizadas de riesgo cibernético para las amenazas relacionadas con los servicios de salud.

Unit 42 ofrece evaluaciones dirigidas y servicios de ciberseguridad técnica para poner a prueba y evaluar la postura de ciberseguridad y la resiliencia cibernética general y para verificar que los controles de seguridad se desempeñen de mantera óptima y eficaz. Estos incluyen las pruebas de penetración (en las que simulamos un ataque real para evaluar la fortaleza de sus contramedidas e identificar las vulnerabilidades ocultas), pruebas de aplicaciones móviles y web, evaluaciones de seguridad dirigida de sus configuraciones actuales, ejercicios de phishing y ejercicios de simulación que incluyen escenarios personalizados en función de amenazas específicas para el sector de servicios de salud.

3

Desarrollar una postura de defensa cibernética idónea para los servicios de salud.

La protección comienza con iniciar las protecciones e implementar capacidades de supervisión continua para garantizar que se ofrezcan los servicios de infraestructura fundamentales. Algunos ejemplos incluyen identificar la gestión y el control de acceso, llevar a cabo la capacitación de concientización sobre el riesgo cibernético para empleados e implementar procesos y procedimientos de protección de información. Esto implica supervisar los desarrollos y eventos de ciberseguridad para verificar la eficacia de las medidas de protección.

4

Responder a los incidentes de ciberseguridad si ocurren y cuando ocurren.

El equipo de respuesta ante incidentes de Unit 42 está preparado para ayudar a las organizaciones de salud a investigar, erradicar y recuperarse de ataques de ransomware, además de la vulneración de correos electrónicos de negocios, divulgaciones inadvertidas de datos y cualquier otro tipo de incidente. Nuestra misión es detener inmediatamente el ataque, ahuyentar al intruso, restaurar los sistemas y reanudar las operaciones en línea lo antes posible, aprovechando las soluciones de análisis de datos para investigar el alcance de la exposición de PHI ante las obligaciones reglamentarias pertinentes.