Una filtración de datos en el proveedor medico Confidant estado deja al descubierto la gran diferencia entre la información de identificación personal (PII) por un lado y los datos confidenciales por el otro.
La historia comenzó cuando el investigador de seguridad Jeremiah Fowler descubrió una base de datos no segura que contenía 5.3 terabytes de datos expuestos vinculados a Confidant estado. La empresa ofrece ayuda para la recuperación de adicciones y tratamiento de salud mental en Connecticut, Florida, Texas y otros estados.
La violación, reportada por primera vez por WIRED, involucró PII, como nombres y direcciones de pacientes, pero también información sensible como grabaciones de audio y video de sesiones de terapia, notas detalladas de ingesta psiquiátrica e historias médicas integrales.
El artículo mostró cuán terriblemente comprometedora era parte de la información: “Un archivo de admisión de psiquiatría de siete páginas... detalla problemas con el alcohol y otras sustancias, incluyendo cómo el paciente afirmó haber tomado... narcóticos del suministro de hospicio de sus abuelos antes de que el miembro de la familia falleciera ”, según el artículo. "En otro documento, una madre describe la relación 'contenciosa' entre su marido y su hijo, incluyendo que mientras su hijo consumía estimulantes, acusó a su pareja de abuso sexual".
El informe Costo de una filtración de datos 2024 de IBM destaca que el 46 % de las filtraciones involucraron PII de clientes. El informe también señala un aumento significativo en el costo por registro de los datos de propiedad intelectual (IP), pasando de 156 USD a 173 USD.
Pero el nivel de exposición en el incidente de Confidant estado representa una escalada significativa en el daño potencial a las personas afectadas, superando con creces los riesgos asociados con las meras filtraciones de PII.
Los atacantes cibernéticos y los malos actores premian los datos confidenciales, incluidos los datos médicos, porque pueden usarse para ataques de ingeniería social, chantaje dirigido o incluso vender a competidores o adversarios poco éticos. La naturaleza sensible de la información es precisamente lo que la hace valiosa para su explotación maliciosa.
Para ser claros, la exposición de datos confidenciales, como los detalles médicos, es un riesgo no solo para el objetivo sino también para su empleador. Los datos pueden utilizarse para chantajear al empleado para que proporcione contraseñas y otros datos que puedan ayudarle en una filtración de la empresa del empleado.
Los posibles vectores de ataque incluyen:
La reciente brecha sirve como un recordatorio contundente de la necesidad crítica de medidas robustas de protección de datos, especialmente en entornos de atención médica. Las claves son la exhaustividad y la vigilancia constante.
La protección de la información confidencial en el ámbito sanitario y otros entornos exige un enfoque integral.
La implementación de controles de acceso y autenticación sólidos es crucial. Esto incluye desplegar autenticación multifactor para todas las cuentas de usuario y la creación de controles de acceso basados en roles para limitar el acceso a los datos en función de las funciones del trabajo. (Se deben realizar auditorías y revisiones periódicas de los permisos de los usuarios para garantizar una gestión de acceso adecuada).
El cifrado juega un papel vital en la protección de los datos confidenciales. Es esencial cifrar los datos tanto en reposo como en tránsito, empleando cifrado de extremo a extremo para todas las comunicaciones y transferencias de datos. El cifrado de dispositivos debe implementarse para dispositivos móviles y computadoras portátiles para proteger los datos en caso de pérdida o robo.
La seguridad de la red es otro aspecto crítico de la protección de datos. La implementación de firewalls de próxima generación y sistemas de detección/prevención de intrusiones ayuda a defenderse contra amenazas externas. La segmentación de la red permite aislar los datos confidenciales, mientras que las redes privadas virtuales proporcionan un acceso remoto seguro.
Las medidas de protección de datos deben incluir la implementación de soluciones de prevención de pérdida de datos para supervisar y controlar el movimiento de datos. El enmascaramiento y la tokenización de datos pueden utilizarse para proteger la información confidencial, y las copias de seguridad periódicas con procedimientos de restauración probados garantizan la disponibilidad de los datos en caso de incidentes.
La seguridad endpoint es importante para proteger contra malware y otras amenazas. Mantenga actualizados los programas antivirus y antimalware, implemente soluciones de detección y respuesta de endpoints y utilice gestión de dispositivos móviles para los dispositivos propiedad de la empresa.
Desde un punto de vista organizacional, es fundamental desarrollar y hacer cumplir políticas integrales de protección de datos. Esto incluye implementar un plan formal de respuesta a incidentes y establecer procedimientos claros de retención y eliminación de datos. La formación regular en concienciación de seguridad para todos los empleados, con formación especializada para quienes manejan datos sensibles, ayuda a fomentar una cultura de conciencia de seguridad en toda la organización.
La gestión de riesgos es un proceso continuo que implica realizar evaluaciones de riesgos y análisis de vulnerabilidades periódicos. Se debe implementar un programa formal de administración de riesgos, con actualizaciones y parches regulares aplicados a todos los sistemas y software.
La gestión de los riesgos de terceros es igualmente importante. Esto implica implementar procedimientos estrictos de gestión de riesgos de los proveedores, garantizar que todos los contratos con terceros incluyan cláusulas de protección de datos y auditar periódicamente el acceso de terceros y las prácticas de manejo de datos.
El cumplimiento y la auditoría son componentes críticos de un programa de seguridad sólido. Las organizaciones deben garantizar el cumplimiento de las normativas sanitarias pertinentes, como la HIPAA. Se deben realizar auditorías de seguridad internas y externas periódicas, y se deben mantener registros detallados de todo el acceso a los datos y las actividades del sistema.
La gobernanza de datos es esencial para una protección de datos eficaz. Esto incluye la implementación de un sistema formal de clasificación de datos, el establecimiento de funciones de propiedad y administración de datos y el inventario y mapeo regulares de todos los datos confidenciales.
Las capacidades de respuesta a incidentes y recuperación son cruciales para minimizar el impacto de las violaciones de seguridad. Las organizaciones deben desarrollar y probar periódicamente un plan de respuesta ante incidentes, crear un equipo dedicado a la respuesta ante incidentes e implementar capacidades automatizadas de detección y respuesta ante amenazas.
Las medidas de seguridad física no deben pasarse por alto. Proteger el acceso físico a los centros de datos y áreas sensibles, implementar procedimientos adecuados de eliminación de medios físicos y usar sistemas de vigilancia y control de acceso en áreas críticas son aspectos importantes de una Estrategia de seguridad integral.
Al implementar estas medidas, las organizaciones pueden mejorar significativamente su postura de protección de datos. Sin embargo, es importante recordar que la ciberseguridad es un proceso continuo que requiere una vigilancia constante. Las evaluaciones periódicas y las mejoras al programa de seguridad son esenciales para mantener una protección sólida de la información confidencial en el ámbito en constante evolución de las amenazas cibernéticas.
A medida que navegamos por un panorama cada vez más digital, este incidente resalta la necesidad urgente de un cambio de paradigma en la forma en que vemos y protegemos los datos confidenciales. Ya no basta con centrarse únicamente en proteger la PII. Las organizaciones deben adoptar un enfoque holístico que reconozca el valor único y la vulnerabilidad de la información personal confidencial.