Escuchar artículo 8 minutos Este audio se genera automáticamente. Háganos saber si tiene algún comentario.
La industria de la salud necesita tomarse en serio sus planes de ciberseguridad y resiliencia después del ciberataque a Change Healthcare, y es probable que los ataques sigan afectando a la industria, dicen los expertos a Healthcare Dive Told.
Un apagón en una filial de UnitedHealth Group ha paralizado la industria de la salud durante más de un mes. Después del ataque, los proveedores de atención médica informaron sobre una variedad de desafíos, desde interrupciones en los pagos hasta retrasos en las solicitudes de autorización previa.
“Los hospitales definitivamente están informando que su personal trabaja los fines de semana y las noches”, dijo Molly Smith, vicepresidenta del grupo de políticas públicas de la Asociación Estadounidense de Hospitales, un grupo industrial. “Durante el último mes ya han estado trabajando enormes cantidades de horas extras”.
El impacto financiero podría ser particularmente severo para las prácticas más pequeñas o aquellas que dependen en gran medida de Change para procesar reclamos. Smith dijo que algunos hospitales están retrasando los pagos a los proveedores, utilizando líneas de crédito o dando prioridad a la nómina.
Pero incluso cuando Change comience a restaurar los sistemas, los expertos dicen que los ciberataques seguirán siendo un desafío para la industria a medida que la atención médica se vuelva cada vez más digital, creando más vulnerabilidades potenciales para que las exploten los ciberdelincuentes.
La industria de la salud debe aprender de los efectos de largo alcance de los ataques de cambio y prepararse para el próximo.
“Como industria, hemos logrado grandes avances en ciberseguridad, pero todavía estamos lejos de donde necesitamos estar”, dijo Steve Cagle, director ejecutivo de la empresa de ciberseguridad sanitaria Clearwater. “Necesitamos afrontar la realidad de que este problema continuará durante mucho tiempo”.
Análisis de riesgos, la redundancia protege a los proveedores
Los expertos dijeron a Healthcare Dive que los sistemas de salud deben evaluar dónde corren mayor riesgo y cómo un corte de energía afectaría sus finanzas y operaciones.
Muchos proveedores no están asignando adecuadamente sus operaciones comerciales críticas y de atención al paciente a los productos de TI que los respaldan, dijo Deron Grzetic, líder consultor de la práctica de ciberseguridad de West Monroe. Dijo que esto dificulta proteger esos sistemas y detectar intrusiones.
“Si no comprende lo que es importante para la atención al paciente y no comprende la TI, las aplicaciones y los sistemas que lo respaldan, ¿cómo puede estar seguro de que lo está protegiendo adecuadamente mediante los controles preventivos adecuados? ?” él dijo.
Los sistemas de atención médica deben realizar análisis de riesgos para identificar dónde se almacenan los datos, las posibles amenazas y vulnerabilidades dentro del sistema, los controles implementados, el potencial de ataque y el impacto en la organización, dijo Cagle. Esto le permite priorizar dónde gastar sus recursos.
Las empresas también deberían evaluar a terceros y preguntar a los proveedores sobre sus protocolos de ciberseguridad para determinar qué deben hacer para mitigar los altos riesgos. Por ejemplo, si una organización no puede obligar a un proveedor a mejorar la seguridad, el sistema podría considerar cambiar de proveedor o implementar copias de seguridad, dijo.
Los expertos dicen que tener otras opciones de proveedores para operaciones clave es generalmente una estrategia inteligente. Un informe de marzo de Moody’s Ratings encontró que los proveedores más pequeños con posiciones financieras más débiles tenían más probabilidades de tener problemas durante la interrupción de Change. Muchas organizaciones grandes y geográficamente dispersas utilizan múltiples cámaras de compensación de reclamaciones, lo que mitiga parte del impacto en sus resultados.
“Si no comprende lo que es importante para la atención al paciente y no comprende la TI, las aplicaciones y los sistemas que lo respaldan, ¿cómo puede estar seguro de que lo está protegiendo adecuadamente mediante los controles preventivos adecuados? ?”
Deron Grzetic
Líder de ciberseguridad de West Monroe
Los expertos dicen que el impacto económico de una falla en un proveedor como Change, que procesa miles de millones de transacciones médicas anualmente y afecta a un tercio de los registros médicos, hace que la planificación comercial también sea importante. Según una encuesta realizada por la AHA en marzo, aproximadamente el 60% de los hospitales informaron un impacto en los ingresos de más de $1 millón por día debido a los ataques de Change.
Kate Festl, socia del Healthcare M&A Group de West Monroe, dijo que los sistemas de salud están evaluando proveedores de software y servicios que son clave para su flujo de efectivo y considerando el impacto si uno de esos productos cae en un ataque cibernético. Dijo que era necesario. entender.
Es posible que los sistemas pequeños o medianos solo tengan efectivo disponible para entre 30 y 60 días, lo que puede no ser suficiente para una interrupción prolongada.
“La conclusión de esto es que todos los proveedores, independientemente de su tamaño, deben preguntarse: ‘Si uno de mis proveedores de servicios o software desaparece o sufre una violación de seguridad, ¿qué pasará con todo el efectivo que necesito? ‘Espero que sea así. un diagnóstico completo”, afirmó Feelsl.
Por qué los proveedores tienen dificultades para invertir en ciberseguridad
La ciberseguridad es clave para las operaciones comerciales en una era de crecientes ataques al sector de la salud, pero los expertos dicen que muchos proveedores de atención médica no están dedicando suficientes recursos a prevenir incidentes ni prepararse para su impacto.
Greg García, director ejecutivo de ciberseguridad del Consejo Coordinador del Sector de la Salud, un grupo industrial que asesora al gobierno federal, dijo que invertir en ciberseguridad es a menudo una batalla entre los que tienen y los que no tienen en atención médica.
Si bien es probable que los grandes sistemas de salud estén más avanzados en la implementación de protocolos de ciberseguridad, los proveedores más pequeños o de redes de seguridad pueden tener dificultades para encontrar la financiación y el personal necesarios para aumentar su preparación.
“Hay un número significativo de hospitales que habitualmente operan en números rojos, lo que dificulta mucho su capacidad para utilizar los recursos”, dijo Smith de la AHA. “Y, francamente, incluso conseguir personal técnico y de ciberseguridad puede resultar muy difícil, especialmente para instalaciones pequeñas e independientes”.
Crear redundancia entre proveedores también puede resultar difícil para algunos proveedores. Muchos sistemas de salud ya quieren reducir el número de terceros que contratan para reducir costos y esfuerzo administrativo.
Andrew Heide, director de contenido y consultoría de Medical Group Management Association, dijo que establecer relaciones con nuevos proveedores requiere esfuerzo, genera más contratos que administrar y más facturas continuas que pagar.
También puede resultar difícil encontrar un proveedor dispuesto a asumir tareas de respaldo, añadió.
“Muchos proveedores no quieren quedarse sentados y recibir el pago cuando lo necesitan”, dijo Heide.
Smith dijo que puede que no haya suficientes proveedores para crear redundancia, o que el contrato no permita al proveedor trabajar con otra empresa con un producto competidor.
Además, muchas herramientas, o la mayoría de ellas, están hechas a medida, lo que dificulta migrar a nuevos sistemas o capacitar a los trabajadores en diferentes productos, agregó.
El gobierno federal impulsa la inversión en ciberseguridad
Los reguladores federales han señalado planes para fortalecer la ciberseguridad y la resiliencia en el sector de la salud y, en última instancia, imponer sanciones financieras a los hospitales. El HHS anunció objetivos voluntarios de ciberseguridad a principios de este año, categorizados en protecciones obligatorias y mejoradas, incluidas evaluaciones de riesgos de terceros, planificación y preparación para incidentes.
El presupuesto propuesto por la administración Biden para el año fiscal 2025 incluye fondos para que los hospitales implementen medidas de protección cibernética e introduce sanciones durante los próximos años. También se presentó recientemente en el Senado un proyecto de ley que permitiría pagos por adelantado y acelerados a los proveedores de atención médica en caso de un incidente, siempre que ellos y sus proveedores cumplan con los estándares mínimos de ciberseguridad.
García, de HSCC, dijo que el HHS ha estado desarrollando su estrategia de ciberseguridad durante varios años. Los objetivos de rendimiento no son misteriosos ni nuevos. Ese es el requisito mínimo.
“En este momento, los proyectos a largo plazo pueden tardar años en despegar”, afirma. “Quite las tablas del piso y mire las tuberías que están debajo para ver dónde están las fugas. Eso es lo que es importante para nosotros en este momento”.
Fuente: https://www.healthcaredive.com/news/change-healthcare-cyberattack-cybersecurity-resilience-planning/711650/
