Dic 27

Artículo: Cybersecurity: What 2016 taught the healthcare industry | FierceHealthcare

Lección aprendida en este 2016?

http://www.fiercehealthcare.com/it/feature-cybersecurity-what-2016-teaching-industry

Traducción Google:

Uno de los mayores avances en los EHR y la salud de TI de 2016-por desgracia-fue  el aumento de los ataques cibernéticos.  Es la consecuencia no deseada de zanjas para los registros en papel electrónico, en los sistemas internos o en la nube. Es más fácil robar o comprometer un mayor número de registros a la vez cuando son digitales. Y los registros en sí son lucrativa (aunque el precio de los registros médicos parece haber disminuido, tal vez porque ahora están inundando el mercado de banda oscura ).

El problema se ha vuelto tan omnipresente que el Departamento de Salud y Servicios Humanos del Inspector General (OIG) ha incluido en su plan de trabajo para 2017 su intención de investigar qué tan bien los proveedores son la protección de la información de HCE.

RELACIONADO:  auditorías in situ HIPAA viene en 2017

Además, la OIG ha identificado la privacidad y la seguridad de la información electrónica como uno de HHS principales retos de gestión para 2017 , señalando en particular lo difícil que es para proteger los datos debido al rápido ritmo al que la tecnología evoluciona, la expansión de Internet de los objetos, tales como dispositivos médicos conectados en red , y el surgimiento de la tecnología móvil de salud. El informe citó las debilidades continuas en los sistemas de organizaciones de salud ‘a pesar del aumento significativo de las infracciones y ataques ransomware.

Éstos son algunos de los mayores problemas que plagan cibernéticos EHR este año.

ransomware

Mientras ransomware ha existido durante años, en 2016, el gran número de incidentes que golpean la industria de la salud le dio un nombre familiar.

Algunos incidentes se han reportado ampliamente. Por ejemplo, del Centro Médico Presbiteriano de Hollywood de California pago de 40 bitcoins (valor $ S 17.000 en el tiempo) para anular ransomware colocados en su sistema EHR ganado mucha atención. El mal funcionamiento de los sistemas  que detuvo las operaciones en Medstar Salud también estaba determinado a haber sido un ataque ransomware.

Pero ransomware en sí ha evolucionado, según los expertos gubernamentales . Mientras que la mayoría de los eventos ransomware son todavía debido a los ataques de phishing que contienen el malware en un archivo adjunto a un correo electrónico, ransomware se está moviendo en spear phishing más específico, como el envío de lo que parece ser una factura al director financiero de una organización con un falso dirección de correo electrónico que parece de fiar. 

Los delincuentes se han vuelto más sofisticados, no se puede asumir sus empleados no caer en sus trucos. 

Ransomware se ha vuelto más insidiosa, con algunas versiones del malware capaces de infiltrarse en los datos en sí y permitir a los ciberdelincuentes para acceder o comprometer mientras cifrarlo.

HHS Oficina de Derechos Civiles dio un paso hacia la solución del problema en julio, la liberación de la guía explica qué es el ransomware y ofrecer consejos para evitar proteger paciente y otros datos.

La guía también aclaró que ransomware por lo general constituye un incumplimiento en virtud de la Ley de Responsabilidad (HIPAA) y portabilidad de seguro de salud y por lo tanto es de declaración obligatoria a HHS, los pacientes y, a veces los medios de comunicación debido. Incluso si los datos no se accedió por el ataque cibernético, el proveedor había perdido el control de la misma.

Seco

Piratería por los ciberdelincuentes sigue afectando a los proveedores . Por ejemplo, en marzo, con sede en Fort Myers 21 Century Oncology informó que los registros de 2,2 millones de pacientes se rompieron debido a la piratería . Un número de demandas de acción de clase, ya se han presentado en contra de la cadena de cáncer. 

Atenas Clínica Ortopédica en Georgia sufrió un ataque cibernético comprometer los registros de 200.000 pacientes en junio, cuando se utilizan las credenciales de acceso de un proveedor externo para acceder a su EHR. La clínica también tuvo que informar a sus pacientes que no podía permitirse el lujo  extendidos de monitoreo de crédito .

El Internet de las cosas

Insiders han advertido desde hace varios años que los objetos en red, tales como televisores inteligentes, monitores de bebés y dispositivos médicos estaban en riesgo de ataque cibernético. Esto se convirtió en una realidad con Johnson & Johnson reconociendo este año que una de sus bombas de insulina podría ser pirateado , ya que su sistema de comunicación no se ha cifrado. Este anuncio se produce justo después de un informe que los dispositivos cardiacos de St. Jude Medical también son vulnerables a la piratería, una alegación de que St. Jude ha negado . 

el uso descuidado internet

Bueno error de usuario pasada de moda sigue siendo una amenaza cibernética. Ha habido cada vez más informes de entidades erróneamente que exponen los registros de pacientes en Internet , tales como San José de la Salud, que compró un servidor para almacenar los registros electrónicos de pacientes sin saber que incluye una aplicación de intercambio de archivos cuyos valores predeterminados permitido el acceso público a los registros. San José nunca desprotegido el servidor para identificar o corregir este problema y este año se comprometió a pagar $ 2.14 millones de en la solución por la presunta violación de HIPAA.

LabMD continúa luchando contra los intentos de ejecución por la Comisión Federal de Comercio, que ha afirmado que el proveedor participa en actividades engañosas y fraudulentas en violación de la Ley Federal Trade Commission. Un archivo de computadora seguro de salud de la información del paciente que contiene de LabMD había sido expuesto en el Internet en una red de intercambio de archivos peer-to-peer.

Lecciones aprendidas

Hay varios pasos que los proveedores pueden tomar para reducir los cambios que sus verá comprometida EHR . Éstas incluyen:  

  • Un análisis de la seguridad de cualquier EHR o otro producto antes de usarlo. Si hay que elegir entre las opciones, elegir la solución más segura y obtener garantías de seguridad en el contrato de proveedor. 
  • formación de los empleados para reconocer las ciberamenazas y otros riesgos, como lo que es un ataque de phishing parece, y advirtiéndoles que tener cuidado acerca de la publicación de datos en Internet.
  • Copia de seguridad de la HCE y otros datos de manera responsable para que esté disponible cuando un proveedor lo necesita, como cuando está unido por ransomware. Por ejemplo, la copia de seguridad debe estar desconectado de modo que también no quede comprometida por el ransomware, y poner a prueba la copia de seguridad para asegurarse de que se puede acceder en caso de emergencia.
  • Siguiendo los requisitos de seguridad descritos en la HIPAA . Realizar un análisis de riesgo para la seguridad de las vulnerabilidades de la información electrónica del paciente y hacer frente a las vulnerabilidades encontradas. Cifrar los datos. Mantenga los parches de seguridad al día.  
  • El uso de los controles de acceso. Por ejemplo, el acceso a la HCE debe ser limitada y pistas de auditoría debe revisarse periódicamente.
The following two tabs change content below.
My Twitter profileMy Facebook profileMy LinkedIn profileMy Flickr profile

Jose Miguel

Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.

Jose Miguel

Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC).
**Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET.
**En el campo de la pericial informática:
* Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos.
* Autentificación y Verificación de correos electrónicos.
* Suplantación de identidad y verificación de mensajes en redes sociales.
* Recuperación de datos de dispositivos de almacenamiento físicos.
* Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral.
* Fraudes informáticos y phising.
............
Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.