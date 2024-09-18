Aunque los proveedores de atención médica han implementado salvaguardas técnicas, administrativas y físicas relacionadas con la información de los pacientes, no han sido tan diligentes en la protección de sus dispositivos médicos. Estos dispositivos son críticos para la atención al paciente y pueden dejar a los hospitales en riesgo de ataques cibernéticos, causando importantes interrupciones en la atención al paciente.
De hecho, 88 millones de personas se vieron afectadas por grandes brechas, comprometiendo grandes cantidades de información de salud protegida (ePHI) el año pasado, según el Departamento de Salud y Servicios Humanos de EE. UU.. Este año, varios grandes proveedores sanitarios volvieron a ver afectados por ciberataques, incluyendo Change Healthcare, Kaiser Permanente y Ascension. "Synnovis, un proveedor clave de servicios de laboratorio y diagnóstico en Londres, fue víctima de un ataque de ransomware que causó interrupciones generalizadas", informó Halcyon. El ataque afectóa varios hospitales, entre ellos Guy's, St Thomas' y King's College, el Hospital Infantil Evelina en Royal Brompton, los hospitales especializados en cardiología y pulmón de Harefield y el Princess Royal Hospital en Orpington, informó The Guardian.
Se espera que el número total de hospitales en todo el mundo alcance los 166 548 para 2029, según un informe de Statista . El número promedio de dispositivos médicos conectados por cama de hospital es de aproximadamente 10 a 15, según el HIPAA Journal. Estos datos sugieren que habrá 1.67 millones de dispositivos médicos conectados en todo el mundo para 2029, con muchos dispositivos fabricados sin un enfoque de seguridad desde el diseño. Según una encuesta del Instituto Ponemon y Proofpoint, el 89% de las organizaciones de atención médica han experimentado cerca de un ataque por semana. El riesgo se agrava porque el 53 % de las organizaciones de atención médica dijeron que carecen de la experiencia interna para abordar los problemas de ciberseguridad. Estas cifras son alarmantes, dada la gran cantidad de dispositivos médicos interconectados en los hospitales.
Aunque los dispositivos médicos están diseñados para monitorear la salud de un paciente, también pueden ser un importante punto de entrada para los hackers en la red de un hospital. Si bien los proveedores de atención médica han mejorado la seguridad de los registros médicos electrónicos (EHRs), los hackers ahora están apuntando a dispositivos médicos. Esto ha puesto la seguridad de los dispositivos médicos en una situación de "código azul". Algunos ejemplos incluyen:
Dispositivos heredados: Muchos dispositivos médicos antiguos que aún se utilizan no se diseñaron teniendo en cuenta la ciberseguridad. A menudo ejecutan software obsoleto, lo que introduce puntos de entrada vulnerables.
Brechas en la regulación: Aunque la Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés) ha tomado medidas significativas para hacer cumplir las regulaciones de dispositivos médicos en los últimos años, todavía hay un cumplimiento inconsistente por parte de los fabricantes de dispositivos médicos y los proveedores de atención médica.
Falta de protocolos de seguridad: Muchos dispositivos médicos están diseñados sin protocolos robustos, lo que los convierte en objetivos fáciles para los atacantes.
Complejidad: Los dispositivos médicos son sistemas complejos que pueden resultar difíciles de proteger debido a sus múltiples componentes, interfaces y opciones de conectividad.
Requisitos de interoperabilidad: los dispositivos médicos deben comunicarse con otros sistemas, dispositivos y redes, lo que genera riesgos de seguridad.
Falta de recursos: algunos fabricantes de dispositivos médicos no tienen la experiencia cibernética para implementar controles de seguridad adecuados.
Riesgos de la cadena de suministro: los proveedores de atención médica suelen tener visibilidad limitada de principio a fin en toda su red de dispositivos médicos y cadena de suministro, lo que limita la detección adecuada y la respuesta.
Abordar estas vulnerabilidades en los dispositivos médicos ayudará a mejorar significativamente la resiliencia de las redes de los proveedores de atención médica y mitigar el riesgo de ciberataques.
Algunos ejemplos de dispositivosmédicos que son los objetivos favoritos de los hackers son:
Es crítico que los proveedores de atención médica se aseguren de que los dispositivos médicos interconectados en la infraestructura de su hospital sean seguros para mitigar el riesgo y garantizar la seguridad del paciente.
Los proveedores de atención médica pueden mejorar la seguridad de los dispositivos médicos, fortalecer su postura de ciberseguridad y mejorar la calidad de la atención al paciente aprovechando la inteligencia artificial generativa (IA generativa). Algunas estrategias clave incluyen:
Monitorización del cumplimiento: Emplea IA generativa para asegurar el cumplimiento de la Ley de Portabilidad y Responsabilidad del Seguro Médico y otras normas regulatorias.
Inteligencia de amenazas: Emplear la IA generativa para analizar grandes cantidades de datos, detectar y responder a posibles amenazas para los dispositivos médicos y enviar alertas a los proveedores de atención médica.
Privacidad de datos: Garantice el cumplimiento de la HIPAA mediante la anonimización de la información médica protegida (ePHI) antes de procesarla con IA generativa y la incorporación de la tokenización para evitar la difusión externa de la información de los pacientes.
Formación: Crear formación de ciberseguridad impulsada por IA para proveedores de atención médica con el fin de aumentar la concienciación, minimizar riesgos de seguridad y cumplir con los requisitos de cumplimiento.
Gestión de parches: Implemente un sistema de gestión de parches eficiente impulsado por IA para garantizar que las vulnerabilidades más críticas se solucionen primero y que los dispositivos médicos reciban actualizaciones de software oportunas.
Respuesta a incidentes: Emplea IA para analizar datos para identificar patrones en posibles ataques, proporcionar insights a los analistas para mejorar la toma de decisiones y reducir el tiempo dedicado a analizar alertas.
Para terminar, la industria de la salud se basa en la conectividad digital de los dispositivos médicos. Los fabricantes de dispositivos médicos tradicionalmente no han seguido enfoques seguros por diseño, lo que introduce riesgos en la infraestructura de red hospitalaria. Los atacantes se están aprovechando de esto y ejecutando con éxito ataques de ransomware, cerrando las operaciones de los hospitales y otros tipos de ciberataques. Los proveedores de atención médica pueden mejorar significativamente la seguridad de los dispositivos médicos implementando las mejores prácticas de ciberseguridad y aprovechando el poder de la IA generativa para mejorar la calidad de la atención al paciente y, en última instancia, la seguridad de la vida de los pacientes.
