Ambulancias siendo desviadas. Posponer los tratamientos de radiación para pacientes con cáncer. Muertes de pacientes como resultado del retraso en el tratamiento de emergencia.
Estos son los impactos de la vida real de las violaciones de datos de atención médica. Si bien los ataques cibernéticos se han generalizado en varias industrias, desde la fabricación hasta la banca, ninguna otra industria experimenta el impacto humano de estas infracciones tanto como lo hace la atención médica. La industria de la salud se ha visto afectada por una ola de ataques recientes y esta tendencia no muestra signos de detenerse.
Las demandas de rescate por infracciones de atención médica actualmente promedian $ 4.6 millones. Sin embargo, lo que es aún más aterrador que perder datos y dinero, es el impacto que estas infracciones tienen en los pacientes. En el cuidado de la salud, los ataques cibernéticos no solo afectan los datos, sino que afectan vidas.
Los registros médicos contienen información médica del paciente que, a diferencia de otras formas de datos, no se puede reemplazar fácilmente. Como resultado de la Ley de Uso Significativo de 2009, que ordenó la transición a los registros de salud digitales, los registros médicos ahora son completamente digitales. La implementación de los estándares de cumplimiento de HIPAA, centrados en proteger la información de salud protegida (PHI) y hacer cumplir el uso de registros electrónicos de salud (EHR), dio como resultado que los registros médicos pasaran del papel al digital, generando un gran volumen de datos confidenciales para que los proveedores de atención médica los protejan de los ataques cibernéticos.
La sensibilidad de los datos de los pacientes es una gran parte de lo que hace que los proveedores de atención médica sean vulnerables a los ataques cibernéticos. Si bien los datos financieros pueden volverse inutilizables rápidamente después de ser robados porque las personas pueden cambiar rápidamente sus números de tarjetas de crédito, los datos médicos no son perecederos, lo que los hace particularmente valiosos.
Los hackers se dan cuenta de lo mucho que las organizaciones de atención médica dependen de estos registros médicos electrónicos y esto los convierte en objetivos atractivos para los ataques cibernéticos. Asumen que los proveedores necesitarán restaurar el acceso a los datos del paciente rápidamente para garantizar la continuidad y confidencialidad de la atención al paciente.
Evitar que los médicos accedan a los registros de salud puede impedir que los pacientes accedan a la atención.
En los Servicios Universales de Salud (UHS) de 2020, 400 hospitales y centros de salud en los Estados Unidos y el Reino Unido se vieron afectados. El ataque de UHS Healthcare costó 67 millones de dólares , pero el impacto humano fue aún más asombroso.
El ataque no solo eliminó los sistemas de TI, sino que también dejó fuera de servicio el sistema telefónico.
Dado que los registros médicos de los pacientes ahora son completamente electrónicos, un ataque cibernético hace que los empleados del hospital no puedan acceder a la información del paciente. En el caso de la violación de UHS, el personal tuvo que usar lápiz y papel para registrar la información del paciente.
El impacto inmediato del ataque fue que las ambulancias fueron desviadas a instalaciones alternativas y algunos procedimientos electivos fueron pospuestos o desviados a otros hospitales. Los registros médicos se volvieron temporalmente inaccesibles y, en algunos casos, se perdieron permanentemente, los tratamientos se retrasaron y los pacientes experimentaron largas esperas para obtener los resultados de las pruebas. Incluso con los técnicos de TI trabajando día y noche para restaurar el servicio, la interrupción duró tres semanas.
En otro ataque reciente, la Red de Salud de la Universidad de Vermont se vio obligada a operar bajo procedimientos de tiempo de inactividad de EHR durante más de un mes, con su portal de pacientes, EHR y resultados de laboratorio inaccesibles para la mayoría de sus sitios de atención durante ese tiempo.
En septiembre de 2020, el Hospital Universitario de Düsseldorf en Alemania fue víctima de un ataque cibernético y se vio obligado a rechazar a los pacientes que acudían a su sala de emergencias para recibir tratamiento. Después de ser desviado a una instalación a una hora de distancia, un paciente con una enfermedad potencialmente mortallamentablemente falleció debido a la demora en recibir atención médica.
Si bien algunos de los impactos humanos de los ataques cibernéticos son inmediatos, otros impactos son menos directos y pueden no surgir completamente hasta dos o tres años después de una violación de seguridad.
Un estudio de 2019 de la Universidad de Vanderbilt encontró que las infracciones pueden afectar negativamente la mortalidad del paciente porque las actividades de remediación después de una violación interrumpen las prácticas de atención del proveedor. Si bien la violación en sí misma suele ser el foco de informar sobre ataques cibernéticos, el impacto de los intentos de remediación puede no ser evidente durante dos o tres años después del ataque.
Las violaciones de seguridad requieren una revisión del programa de seguridad general. Después de un ataque cibernético, las organizaciones de atención médica a menudo promulgarán políticas similares a las de las instituciones financieras, como requerir contraseñas o tarjetas de acceso para acceder a datos confidenciales. Los métodos de corrección posteriores a la violación también pueden incluir la autenticación multifactor (MFA) y la aplicación de tiempos de espera en las máquinas después de que los médicos hayan iniciado sesión durante un período de tiempo específico.
El estudio de Vanderbilt se centró en métricas de calidad relacionadas con el tiempo y las condiciones relacionadas con el tiempo. Es difícil imaginar algo más sensible al tiempo que llegar a la sala de emergencias con dolor en el pecho. Cuando los hospitales han sido violados, sus tasas de mortalidad a los 30 días se ven afectadas en los próximos dos o tres años. El tiempo que se requiere para obtener un ECG aumentó en algunos casos en más de dos minutos. En un entorno no sanitario, un retraso de dos minutos sería una molestia menor. Sin embargo, dos minutos son literalmente la vida o la muerte para un paciente que sufre un ataque al corazón.
Cuando se trata de acceder a la información, los médicos se centran más en la velocidad que en la seguridad. Los protocolos de seguridad mejorados hacen que los sistemas sean más seguros, pero agregan tiempo al proceso de acceso a los registros médicos de los pacientes. Los procedimientos, procesos y software de seguridad posteriores a la violación empeoran la usabilidad de la TI de salud para los médicos.
Cuando los médicos descubren que los requisitos de seguridad son engorrosos, recurrirán a soluciones creativas que pueden poner en riesgo los datos.
Se sabe que el personal del hospital escribe sus contraseñas en notas pegadas a sus teclados o incluso las escribe en la pared. Incluso hay soluciones alternativas para los métodos de seguridad que requieren tokens físicos, como dejar tarjetas de acceso insertadas en lectores de tarjetas todo el día para ahorrar tiempo.
Los médicos necesitan soluciones de seguridad utilizables. Cuando las opciones de seguridad no son utilizables por los médicos en sus diversos flujos de trabajo, como tener demasiadas contraseñas para memorizar o tener que cambiar las contraseñas con demasiada frecuencia, recurrirán a soluciones alternativas.
La seguridad debe equilibrarse con los problemas de usabilidad, y particularmente en entornos como la atención médica, donde el objetivo principal es la atención de calidad al paciente.
La autenticación biométrica vinculada a la identidad puede ofrecer una solución para proteger los sistemas de atención médica que equilibra la seguridad con la facilidad de uso. Por ejemplo, los escaneos de huellas dactilares pueden permitir a los médicos acceder rápidamente a información y dispositivos, como gabinetes de suministros, sin tener que memorizar contraseñas o llevar una tarjeta.
Al igual que un registro de salud personal, la biometría ligada a la identidad, como un escaneo de palma o huella digital, es única para un individuo. Ofrecen una forma concreta de verificar la identidad de una persona y confirmar que esa persona es quien dice ser con los más altos niveles de integridad, disponibilidad, seguridad y precisión.
En el cuidado de la salud, las soluciones de seguridad deben usarse para protegerse contra los ataques cibernéticos. Los efectos de los ataques en la atención médica pueden tener un impacto humano devastador. Proteger a los pacientes debe ser la máxima prioridad, que incluye tanto la protección de los datos de los pacientes como la protección de los flujos de trabajo clínicos que permiten a los proveedores brindar a sus pacientes la atención de la más alta calidad posible.