Los expertos en ciberseguridad comentan los esfuerzos del gobierno para impulsar la ciberseguridad de los proveedores de atención médica
El gobierno del Reino Unido ofrecerá a cientos de empresas de salud vitales del país los beneficios de la financiación gubernamental para aumentar su seguridad cibernética. El ministro de Infraestructura Digital Matt Warman anunció esto ayer, como parte de la London Tech Week.
La medida se produce después del Centro Nacional de Seguridad Cibernética (NCSC) identificado una mayor amenaza cibernética para el sector de la salud del Reino Unido en relación con la pandemia, con grupos de delitos cibernéticos que intentan robar información confidencial, propiedad intelectual e información personal de compañías farmacéuticas y organizaciones de investigación médica.
Esta es la reacción de los profesionales de la seguridad:
Javvad Malik, defensor de la conciencia de seguridad en KnowBe4
Esta es una noticia muy alentadora y muy necesaria.
A nivel mundial, la atención médica y la farmacéutica son industrias muy sensibles que protegen la información personal de los pacientes, así como la fabricación de medicamentos y la propiedad intelectual. Ha sido de particular interés en los últimos meses, ya que muchas organizaciones que han estado investigando las vacunas COVID-19 han sido blanco de delincuentes respaldados por el estado. los NCSC y el NHS publicó un aviso en julio advirtiendo a las organizaciones de WellMail y WellMess del Reino Unido, EE. UU. y Canadá que se entregan a través de campañas de spearphishing contra organizaciones de investigación y desarrollo de COVID-19.
El spearphishing es una herramienta particularmente eficaz utilizada por los delincuentes y, según el informe comparativo de phishing 2020 de KnowBe4, la atención médica y los productos farmacéuticos se encuentran entre los que corren mayor riesgo de caer en ataques de phishing en organizaciones pequeñas, medianas y grandes.
En las organizaciones pequeñas (menos de 250 empleados), es probable que el 44,7% caiga en un correo electrónico de phishing. En el medio (250-999), el 49,2% y en el grande (más de 1000) el 49,3% haría clic en un correo electrónico de phishing.
Sin embargo, con un programa de concientización sobre seguridad, en solo 90 días, estas cifras cayeron al 15.9%, 15.7% y 17.5%.
Después de un año de capacitación continua en concientización sobre seguridad, el porcentaje de personal que probablemente caiga en un correo electrónico de phishing en la atención médica y farmacéutica en organizaciones pequeñas, medianas y grandes cayó aún más al 4,3%, 3,9% y 5,2%, respectivamente.
Por lo tanto, es vital que la industria de la salud, al igual que otras industrias, invierta en controles de seguridad adecuados, en particular contra el phishing, que incluye controles técnicos, así como capacitación en conciencia de seguridad para los empleados. Estos ataques de estados extranjeros y delincuentes organizados no muestran signos de desaceleración y, por lo tanto, es imperativo que las organizaciones aprovechen al máximo el esquema del gobierno e inviertan sabiamente en controles de seguridad.
PJ Norris, ingeniero senior de sistemas en Tripwire:
Para garantizar la atención y la seguridad de los pacientes, las organizaciones sanitarias deben asegurarse de que su entorno esté debidamente protegido contra cambios no autorizados y configuraciones incorrectas, que pueden hacer que su entorno sea susceptible a un ciberataque. Dado el aumento de los ataques cibernéticos contra las organizaciones de atención médica, simplemente ya no es suficiente cumplir con los marcos de seguridad. Al retener este tipo de datos, es fundamental elegir una solución de cifrado que no solo proteja las instancias de la base de datos, sino que también brinde protección para los datos en tránsito y en reposo. Este plan de financiación será muy bienvenido, ya que la protección de los datos de los pacientes es parte del deber general de atención al paciente.
Esta es una noticia muy bienvenida del Ministro y del NCSC. A medida que avanzamos a través de la pandemia de COVID, los ciberdelincuentes encuentran víctimas cada vez más vulnerables y la atención sobre la importancia vital de los proveedores de atención médica y social y las cadenas de suministro claramente los ha puesto en primer plano como maduros para el ciberataque. Eso, junto con la amenaza constante de amenazas internas no malintencionadas, hace que tener incluso los protocolos de higiene cibernética más básicos sea una necesidad absoluta para todas las empresas involucradas.
Desafortunadamente, la cantidad de dinero disponible es insignificante en comparación con la amenaza.
En su forma más básica, Cyber Essentials cuesta £ 300 + IVA. Cuando agrega ‘costos de consultoría y certificación’, esta cantidad puede aumentar rápidamente a cientos o incluso más, dependiendo del tamaño de la empresa que aproveche esta oferta.
Dado el tamaño del sector y el nivel de amenaza, esta es una buena idea, pero lamentablemente no cuenta con fondos suficientes.
Los primeros solicitantes que se beneficien de este incentivo ya serán conscientes de las amenazas cibernéticas a las que se enfrentan y, si bien las mitigará en cierta medida, para cuando la mayoría de los proveedores y proveedores, aquellos que, sin culpa suya, no lo hagan. Realmente no entiendo la necesidad vital de participar, empiece a tomar nota y aplique, el dinero se habrá ido.
Esas organizaciones son donde el sector de la asistencia sanitaria y social es más vulnerable y son los proveedores y proveedores que más necesitan este tipo de ayuda.
Warren Poschman, arquitecto senior de soluciones en Comforte AG
Es fantástico ver las inversiones que se están realizando aquí, ya que la industria de la salud puede ser la más vulnerable de todas las industrias a los ataques cibernéticos. Se trata de los datos a los que tienen acceso los operadores de atención médica. El desafío de seguridad para los operadores de atención médica es extremadamente difícil, especialmente cuando los datos se almacenan en diferentes ubicaciones y se accede a ellos a través de diversas tecnologías. Sin embargo, es posible que estemos viendo un cambio en los enfoques de ‘proteger la tecnología’ a ‘proteger los datos’, lo que reducirá la amenaza de pérdida de datos y exposición cuando (no si) ocurre un ciberataque. Si bien no siempre es posible evitar el acceso malintencionado, la protección de datos sofisticada es imprescindible al procesar y almacenar información confidencial, especialmente PII y registros de atención médica. Estos son requisitos básicos de las regulaciones de privacidad de datos como HIPAA y GDPR y aquí podrían surgir multas por esto.