CISO de Intermountain Health: la industria necesita más transparencia después del ciberataque


Los sistemas de salud dependen de socios externos. Es probable que cualquier hospital de este país tenga contratos con cientos de empresas que brindan los servicios que necesita para mantener las operaciones diarias, desde plataformas de telesalud hasta software de ciclo de ingresos y trabajadores de lavandería.

La alta dependencia de proveedores externos hace que los sistemas sanitarios sean muy vulnerables a los incidentes de ciberseguridad. El reciente ataque a Change Healthcare, una empresa de software que procesa pagos de pacientes para hospitales y farmacias, es un ejemplo clásico de un ciberataque de terceros que ha tenido un impacto devastador en los proveedores de atención médica en todo el país.

Si un importante proveedor de software sanitario sufriera un ciberataque, habría “todo un ecosistema” que tendría que lidiar con las consecuencias, dijo Eric Decker, director de seguridad de la información de Intermountain Health, en una entrevista la semana pasada en HIMSS en Orlando.

“Ningún sistema funciona aislado del otro. Todos estamos conectados de alguna manera y hay algunas cosas que podemos hacer mejor como industria”, afirma.

La transparencia es algo que la industria necesita mejorar. Sin embargo, Decker señaló que los proveedores de atención médica enfrentan desafíos cuando se trata de compartir información después de un incidente de ciberseguridad.

Aunque existen leyes que permiten a las organizaciones de atención médica afectadas compartir información con el gobierno federal y otras entidades, es muy difícil para estas organizaciones hacer pública la información. Temen que la divulgación de información pueda generar preocupaciones legales, dañar su reputación o exacerbar las vulnerabilidades de ciberseguridad.

“Cuando estás en medio de un incidente como este, tienes que caminar sobre la cuerda floja, tratando de ser lo más transparente posible, pero también teniendo cuidado de no ser demasiado transparente. Es posible que no sepamos realmente lo que está pasando, y eso es todo. Hay mucha especulación”, explicó Decker.

Añadió que en los días inmediatamente posteriores a un ciberataque, a veces parece que las organizaciones víctimas no están divulgando información públicamente. Pero normalmente ese no es el caso, afirmó, y los proveedores no quieren “llevar a toda la industria en una dirección innecesaria” difundiendo información poco convincente.

Decker añadió que después de un ciberataque, pueden pasar “entre 36 y 72 horas” para entender realmente lo que está pasando.

Una vez que las organizaciones afectadas sepan lo que está pasando, deberían compartir esa información con grupos como el FBI y Health-ISAC, dijo.

“A través del gobierno federal, hay maneras de compartir lo que se llama ‘indicios de compromiso'”, dijo Decker. “Esto permite que todos los demás miren dentro de su entorno y se aseguren de que no haya actores maliciosos allí, porque los actores maliciosos siempre están cambiando y sus tácticas siempre cambian. Porque yo lo haré”.

Días después del ataque a Change Healthcare, los proveedores de atención médica de todo el país notaron estos signos. Decker dijo que los proveedores de atención médica están analizando los riesgos en sus sistemas y trabajando para evitar que los mismos atacantes ataquen las vulnerabilidades.

Decker espera que Change Healthcare comparta las lecciones aprendidas a lo largo del camino con la industria. Decker citó la Red de Salud de la Universidad de Vermont como ejemplo de una organización que está haciendo un gran trabajo en este sentido.

“Tuvieron un ataque de ransomware hace unos años y confesaron y realizaron un estudio sobre el impacto clínico de ese incidente. Esto es realmente una gran transparencia”, explicó. “Ellos fueron las víctimas del ataque e hicieron las correcciones necesarias. Realmente tomaron la iniciativa de decir: ‘Esto es lo que pasó. Se lo contamos a todos’. Y muchos me beneficié de eso”.

Foto: Traffic_analyzer, Getty Images



Fuente: https://medcitynews.com/2024/03/intermountain-health-ciso-transparency-cyberattack/