Ty Greenhalgh.- En 2020, la American Health Information Management Association (AHIMA), la American Medical Association (AMA), el College of Healthcare Information Management Executives (CHIME) y la Medical Group Management Association (MGMA) expresaron su firme apoyo a HR 7898 en la 116a Congreso. Este proyecto de ley enmendó la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH), que requiere que el Departamento de Salud y Servicios Humanos (HHS) de Estados Unidos incentive las mejores prácticas de seguridad cibernética destinadas a cumplir con los requisitos de HIPAA. El proyecto de ley se convirtió en ley el 5 de enero de 2021 y ahora se conoce como Ley Pública No. 116-321. Estas organizaciones, que representan a los médicos, hospitales, sistemas de salud, los principales expertos en informática de salud y los de gestión de información de salud de la nación, expresaron su opinión colectiva en la carta, diciendo: “Esto incentivará la adopción de prácticas de ciberseguridad al reconocer que los proveedores que han actuado de buena fe no debe ser penalizado por la OCR y promover una mayor comunicación entre los proveedores y el HHS durante las primeras etapas cruciales de un ataque«. Este es un alivio bienvenido, dado que durante 2020, la Oficina de Derechos Civiles (OCR) del HHS impuso más sanciones por violación de HIPAA a entidades cubiertas (CE) y socios comerciales (BA) que cualquier otro año anterior.
En 2015, el Congreso de Estados Unidos aprobó la Ley de Ciberseguridad, que incluía una disposición conocida como Sección 405 (d). La intención de la disposición era formar un Grupo de Trabajo, o el “Grupo de Trabajo de la Sección 405 (d)”, compuesto por diversas partes interesadas, incluidos expertos en ciberseguridad y privacidad, profesionales de la salud, organizaciones de TI de salud y otros expertos en la materia. La industria de la salud puede encontrar liderazgo y gobernanza que evitarán infracciones a través de técnicas, tácticas y procedimientos de ciberseguridad efectivos producidos por el grupo 405 (d). Julie Chua se desempeña en la División de Gobernanza, Gestión de Riesgos y Cumplimiento (GRC) dentro de la Oficina de Seguridad de la Información (OIS) del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. Y es la co-líder pública en el Grupo de Trabajo 405 (d).
“El programa 405 (d) se centra en proporcionar al sector de la salud pública y la salud (HPH) recursos, productos y herramientas útiles e impactantes que ayudan a crear conciencia y proporcionan prácticas de ciberseguridad examinadas, que impulsan el cambio de comportamiento y avanzan hacia la coherencia en la mitigación las amenazas de ciberseguridad más relevantes para el sector”, dice Chua. Ella continúa, “La aprobación de HR 7898 no solo destaca el trabajo del Grupo de Trabajo 405 (d) y todos sus esfuerzos, sino que también es otro paso adelante para alentar a las entidades de HPH a continuar enfocándose en las prácticas de ciberseguridad que ayudará a proteger sus organizaciones y sus pacientes. La seguridad cibernética es la seguridad del paciente«.
Estado de la ciberseguridad en la asistencia sanitaria
Los proveedores siguen siendo el sector más objetivo de los ciberataques, y representan el 79 por ciento de todas las infracciones notificadas. En 2019, Estados Unidos se vio afectado por un aluvión sin precedentes e implacable de ataques de ransomware que afectaron a 764 proveedores de atención médica. Desde el 1 de noviembre del 2020, ha habido un aumento de más del 45 por ciento en la cantidad de ataques observados contra organizaciones de atención médica a nivel mundial, en comparación con un aumento promedio del 22 por ciento en ataques contra otros sectores de la industria. Ripple20 es un conjunto de 19 vulnerabilidades, descubiertas en 2020, que afectan a cientos de millones de dispositivos conectados, incluidos los dispositivos médicos conectados. Un atacante remoto puede aprovechar estas vulnerabilidades para tomar el control de un sistema afectado, dándoles acceso a toda la red de un hospital desde cualquier lugar. ¡Los malos no se van a ir! La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), una agencia federal dependiente del Departamento de Seguridad Nacional de los Estados Unidos, alentó a los usuarios y administradores a mitigar los riesgos de Ripple20 actualizando a la última versión estable del software de pila Treck IP (6.0.1.67 o posterior). Desafortunadamente, la mayoría de los hospitales no tienen en cuenta adecuadamente todos los dispositivos de la red, sin mencionar los subsistemas dentro de un dispositivo médico. Increíblemente, los hospitales todavía tienen dificultades para identificar los dispositivos que ejecutan Windows 7, que se suspendió en enero de 2020.
Los hospitales están trabajando arduamente para prevenir las infecciones, pero aún ocurren. Los equipos de seguridad de la información sanitaria trabajan incansablemente para proteger y detectar. La tecnología de la información crea y mantiene infraestructuras increíblemente complejas. Los departamentos de cumplimiento analizan minuciosamente los detalles, asegurando que todo lo realizado cumpla o supere los requisitos necesarios. Pero, ¿todo este esfuerzo para aumentar el cumplimiento y reducir el riesgo se invierte en las mejores prácticas?
Puerto Seguro
St John’s en Terranova, Canadá, es el punto más al noreste del continente norteamericano y promociona uno de los puertos naturales más perfectamente formados del mundo. El puerto ha sido utilizado por barcos militares e internacionales que necesitan protección contra tormentas destructivas, mares peligrosos y enemigos implacables durante cientos de años. La entrada al puerto de St. John está bordeada, al norte y al sur, por las escarpadas paredes rocosas de Signal Hill, que fortifica un refugio para los barcos en el puerto. Un «puerto seguro« se define en el diccionario Webster como algo (como una disposición legal o reglamentaria) que proporciona protección (como de penalización o responsabilidad). ¿La conducta, tal como la define una regla determinada, lo protege automáticamente del incumplimiento? Los puertos seguros no siempre son una panacea y pueden malinterpretarse. Muchas personas en la industria se apresuran a llamar a HR 7898 un puerto seguro.
El HHS ha utilizado el término puerto seguro para transmitir reglamentos o métodos de cumplimiento muy específicos. Si bien el espíritu de esta nueva ley cumple con la definición de Webster, no creo que el HHS haya clasificado ninguna parte de esta ley como un puerto seguro… todavía. Hasta que lo hagan, sería prudente evitar el uso de ese término al discutir esta nueva ley. Aquí hay tres puertos seguros existentes relacionados con HIPAA como comparaciones:
- Método de desidentificación
- Hacer inutilizable la información de salud protegida (PHI) no garantizada
- Tecnología y servicios de ciberseguridad
No si, pero cuando
Cada organización necesita examinar su entorno único y aplicar prácticas que hayan demostrado su eficacia. Necesitan colaborar para elegir los controles de seguridad que mejor aborden las vulnerabilidades de su ecosistema. Esforzarse por lograr el 100% de cumplimiento no garantizará la seguridad, y el 100% de seguridad no garantiza el cumplimiento. Pero esforzarse con el 100 por ciento de esfuerzo tampoco debe ser penalizado. Las organizaciones de prestación de servicios de salud (HDO) protegen la entrada y salida de sus redes, pero los malos actores altamente motivados en todo el mundo están motivados financieramente para paralizar las operaciones de HDO y robar valiosos registros médicos electrónicos. Las amenazas persistentes avanzadas (APT) evitarán inevitablemente la seguridad del perímetro.
Los HDO están dispuestos a navegar a cualquier puerto seguro que se recomiende, pero resulta que algunos son más efectivos que otros. A través de esta legislación, el Congreso de Estados Unidos ha destacado las prácticas de ciberseguridad reconocidas que cree que reducirán el riesgo para los pacientes y los sistemas de salud. Implementarlos permitirá ahora considerar la protección contra sanciones o responsabilidades impuestas por el HHS OCR como resultado de un evento cibernético adverso.
Las empresas delictivas seguirán estrategias que generen resultados. Obviamente, se ha demostrado que los ataques de ransomware contra entidades cubiertas (CE) y socios comerciales (BA) funcionan. Dado su éxito, la industria de la atención médica seguirá siendo un objetivo muy importante en este 2021. Desafortunadamente, los malos actores que aumentan sus recursos financieros crean organizaciones que pueden aumentar tanto en la sofisticación como en la frecuencia de sus ataques. La protección de los pacientes, sus datos y la organización es primordial para todos en el liderazgo de la atención médica. La Ley Pública No. 116-321 tiene el potencial de aumentar el cumplimiento, mejorar la ciberseguridad y reducir el riesgo financiero. Ya sea que eventualmente se designe como un puerto seguro o solo sirva para brindar refugio contra sanciones adicionales injustas, es de esperar que los ejecutivos de atención médica vean los beneficios tangibles de adoptar las mejores prácticas de ciberseguridad comprobadas del NIST y el Grupo de Trabajo 405 (d). Para mas información consulte la Fuente: Journal of Ahima.