Preguntas y respuestas de expertos: ¿Cómo puede prepararse la atención médica para el aumento de las amenazas cibernéticas?

Este Q&A se publicó originalmente en Salud Global. Entrevista realizada por Ella Thompson.

Los ataques de ransomware en la atención médica aumentaron un 328% en el primer semestre de 2022, según el Revista HIPAA. Y el costo promedio de una brecha en el cuidado de la salud es de 10.1 millones de dólares en comparación con un promedio de $4.35 millones en otras industrias, según el Informe sobre el costo de una brecha de IBM 2022.

La industria de la salud es un objetivo importante para los ataques cibernéticos. Entonces, ¿cómo pueden prepararse las organizaciones?

Nos sentamos con Trevor Dearing, Director de Marketing de Soluciones Industriales de Illumio, para analizar cómo las organizaciones de atención médica pueden ser proactivas contra las amenazas cibernéticas.

Únete a Illumio en HIMSS 2023 en Chicago del 17 al 21 de abril en el stand 2678. Inscríbase hoy.

¿Por qué el sector de la salud está en la cima de las listas de objetivos de los ciberatacantes?

La atención médica es un objetivo principal para los ataques cibernéticos porque un ataque puede poner en peligro el bienestar, e incluso la vida de los pacientes.

Los ciberdelincuentes siempre se dirigirán a aquellos que ofrezcan la mayor posibilidad de recompensa. Saben que los proveedores de atención médica no pueden permitirse ningún tiempo de inactividad con la seguridad del paciente en línea y es más probable que paguen y lo hagan rápidamente. Por eso el sector se ha convertido en una de las principales víctimas de ataques de ransomware — especialmente en los últimos años.

Pero no son solo los ataques de ransomware lo que las organizaciones deben tener en cuenta. Los proveedores de atención médica tienen grandes volúmenes de datos personales sobre los pacientes, lo cual es un producto básico en los mercados de la web oscura. Estos datos dan lugar a ataques más específicos, chantaje y fraude.

La industria también se ha convertido en un blanco más atractivo gracias al auge de dispositivos médicos conectados que han ampliado la superficie de ataque. La inestabilidad económica y las presiones del gasto público también significan que muchos proveedores de atención médica carecen del presupuesto para igualar las estrategias cibernéticas más sólidas de otros sectores.

¿Exactamente cómo se desarrollan los ataques de ransomware?

La mayoría de los ataques de ransomware siguen un patrón similar. Los actores de ransomware obtienen acceso inicial a una organización y se esconden dentro de las redes (hasta meses a la vez) antes de atacar. Se moverán sigilosamente a través de la red de la organización, obteniendo privilegios de acceso de mayor nivel para acceder a archivos valiosos y sistemas de misión crítica antes de implementar su ransomware, bloqueando de manera efectiva los archivos y aplicaciones. A menos que las organizaciones puedan detener la propagación, rápidamente encontrará que toda la actividad se detiene.

Para los proveedores de atención médica, el peor de los casos podría ser la desconexión de dispositivos médicos, como sensores para monitorear los vitales del paciente y administrar automáticamente el tratamiento. O podría bloquear registros críticos de pacientes y sistemas para administrar citas, paralizando efectivamente la organización.

También estamos viendo más ataques utilizando una táctica de 'doble extorsión' que combina el cifrado de datos con la exfiltración. El atacante hará copias de los datos y los cifrará, y luego amenazará con filtrar o vender información confidencial aunque la víctima pague el rescate.

¿Cómo pueden las organizaciones de atención médica mantenerse a salvo de las amenazas cibernéticas?

Las organizaciones deben dejar de invertir tantos recursos para tratar de evitar que ocurran ataques e invertir en su lugar en administrar el impacto. Esto significa aceptar que se van a producir ataques y mitigar el impacto mediante la contención de brechas.

Uno de los mejores modelos de seguridad para mejorar la resiliencia cibernética es Zero Trust. Esta estrategia se basa en el mantra de “nunca confiar, siempre verificar” lo que significa que ningún usuario es automáticamente de confianza para acceder a archivos y aplicaciones simplemente porque tienen las credenciales adecuadas.

Por lo general, Zero Trust consta de tres pilares: Zero Trust Network Access (ZTNA), Zero Trust Data Security (ZTDS) y Segmentación de confianza cero (ZTS). Este último de los cuales es crítico para la contención de brechas, dividiendo la red en múltiples secciones selladas, con principios de confianza cero que rigen el movimiento entre zonas.

Investigación de Grupo de Estrategia Empresarial (ESG) descubrió que las organizaciones que han adoptado estrategias Zero Trust evitan un promedio de cinco desastres cibernéticos anuales y ahorran un promedio de 20 millones de dólares en downtime de las aplicaciones. Y una emulación de ataque llevada a cabo por Obispo Fox descubrió que Illumio ZTS puede hacer que los atacantes sean ineficaces en menos de 10 minutos, cuatro veces más rápido que la detección y respuesta de puntos finales (EDR) por sí sola.

¿Por qué la industria de la salud debería cambiar su mentalidad para trabajar en aislar los ataques, no en prevenirlos?

Hemos visto un gran cambio en los motivos de ataque en los últimos años, desde un enfoque en robar datos hasta impactar la disponibilidad. Esto significa que la ciberseguridad ya no es solo un problema de seguridad; es un problema operativo con impactos que incluyen un tiempo de inactividad operacional prolongado, daños financieros y de reputación, y para la atención médica, la posible pérdida de vidas.

Los ataques ahora están orientados a causar la máxima interrupción y los actores de amenazas cuentan con poder llegar a los sistemas y datos críticos antes de que las defensas los detecten. Los ataques también están aumentando en número y los ciberdelincuentes están utilizando tácticas cada vez más sofisticadas para cumplir sus objetivos. Esto significa que la prevención por sí sola ya no es una estrategia viable.

No importa cuán bien protegida esté la red, el compromiso es inevitable. Esto es lo que llamamos el”asumir una violación“mentalidad. Esto podría parecer una actitud muy derrotista para que tome un especialista en seguridad; sin embargo, es esta mentalidad la que va a evitar que una brecha se convierta en un desastre grave. Si las organizaciones aceptan que un atacante violará sus defensas, pueden poner en marcha medidas para contener la amenaza y minimizar el impacto.

Cuéntenos sobre los pasos que cualquier organización de salud, independientemente de su tamaño y presupuesto, puede tomar para fortalecer su postura de seguridad de inmediato.

El primer paso que deben dar las organizaciones es mapear las comunicaciones de todos los sistemas. Una vez que un atacante se ha infiltrado en una organización, intentará trasladarse a los activos de mayor valor. Esto podría ser datos de pacientes o dispositivos médicos. Las organizaciones necesitan identificar qué sistemas pueden comunicarse y cómo informar qué restricciones poner en marcha.

A continuación, las organizaciones deben utilizar este conocimiento para identificar y cuantificar los riesgos que enfrenta cualquier activo o aplicación. Esto puede basarse en la vulnerabilidad de cada sistema y la exposición a la que se enfrenta al conectarse a otros sistemas y dispositivos.

El paso final es aplicar controles basados en privilegios mínimos para gobernar y restringir el acceso entre recursos. Detener la comunicación no autorizada permite que un ataque esté contenido en una sola ubicación y evita que los atacantes lleguen a activos y servicios críticos. Este enfoque es igualmente aplicable para dispositivos médicos, data centers, la nube y endpoints.

Seguir estos pasos hará que la infraestructura médica sea tolerante a las brechas y garantizará que las organizaciones puedan mantener los servicios incluso bajo ataque, sin la necesidad de cerrar los servicios o trasladar a los pacientes.

Inscríbase hoy para HIMSS 2023 y conocer a Illumio en nuestro stand 2678.

Leer más sobre cómo Illumio ZTS puede ayudar a proteger su organización de atención médica.

Póngase en contacto con nosotros hoy para una demostración y consulta gratuitas.