¿En quién podemos confiar para salvaguardar los datos sanitarios? | Gestión de datos

[ad_1]

Los registros de salud se digitalizaron para ayudar a prevenir errores médicos, como diagnósticos erróneos y errores con la medicación, pero los registros de salud electrónicos (EHR) han facilitado que los malos actores roben la información altamente personal de los pacientes.

Los ciberataques a los hospitales están “aumentando exponencialmente año tras año”, escribió Ellen Neveux en SecureLink, proveedor de acceso remoto seguro. Blog.

“Los datos de atención médica son valiosos en el mercado negro porque contienen toda la información de identificación personal de un individuo, a diferencia de un único marcador que se puede encontrar en una brecha financiera”, afirmó Neveux. A menudo, estos ataques provocan el robo o el robo de datos de cientos de miles de pacientes.

Los delincuentes pueden utilizar esos datos para cometer fraude financiero, como presentar declaraciones de impuestos falsas o solicitar un crédito utilizando una identidad robada.

Los mayores temores de los profesionales de TI de la salud son los ciberataques más fuertes o más frecuentes y los usuarios que ignoran las pautas de seguridad, como lo afirma la firma de software de seguridad Netwrix en su Informe sobre ciberamenazas 2020.

El número de violaciones de datos de atención médica reportadas y de registros violados disminuyó entre enero y junio, pero se espera que los ataques cibernéticos aumenten hasta fin de año, según la firma de ciberseguridad. Seguridad CI.

Esto se debe a que los registros médicos de los pacientes “valen hasta 10 veces más que los números de tarjetas de crédito en la Dark Web”, sostiene CI Security. “Las organizaciones de atención médica requerirán más vigilancia de ciberseguridad que nunca”.

Big Tech en el cuidado de la salud

Google, Microsoft y Apple han entrado en el campo de la salud, mientras que Facebook ha anunciado planes para hacerlo.

Los esfuerzos de Google incluyen Google Cloud para ciencias de la salud y de la vida; firmar un contrato de 10 años Asociación estratégica con la Clínica Mayo bajo la cual almacenará y asegurará los datos de la clínica; y trabajar en un modelo de HCE que utiliza el aprendizaje automático para pronosticar y predecir los resultados de salud de los pacientes.

Microsoft lanzará Microsoft Cloud for Healthcare a finales de este mes, que proporcionará portales y aplicaciones de autoservicio que ayudarán a los pacientes a interactuar directamente con los equipos de salud, entre otras cosas.

Facebook ofrece una herramienta de salud preventiva en conjunto con organizaciones de salud en los Estados Unidos, como la Sociedad Estadounidense del Cáncer y la Asociación Estadounidense del Corazón, que conecta a las personas con recursos de salud y recordatorios de chequeos y vacunas.

La información que los usuarios proporcionen será “almacenada de forma segura y el acceso está restringido” al personal de la empresa que trabaja en el producto o mantiene sus sistemas, afirmó Facebook.

Problemas de privacidad de datos en curso de las grandes tecnologías

Google y Facebook tienen un historial pobre en lo que respecta a la privacidad de los datos, ya que ambos han sido multados repetidamente por la Unión Europea por violar las leyes de privacidad.

En Estados Unidos, la Comisión Federal de Comercio multó en 2012 a Google con 22,5 millones de dólares por burlar las protecciones de privacidad en el navegador web Safari para rastrear a los usuarios de iPad, iPhone y Mac en Safari.

El año pasado, la FTC multó a Google y YouTube con 170 millones de dólares por violar las leyes de privacidad infantil.

En este momento, Google está luchando contra una demanda de $ 5 mil millones en los Estados Unidos por rastrear encubiertamente el uso de Internet de los consumidores a través de navegadores configurados en modo “privado”, ya sea que hagan clic o no en los anuncios que ejecuta. La compañía también enfrenta una demanda por rastrear a los consumidores en las aplicaciones, incluso cuando optan por no participar.

En cuanto a Facebook, la FTC lo impuso el año pasado con una multa de $ 5 mil millones y nuevas restricciones de privacidad por violar la privacidad del consumidor.

El gigante de las redes sociales recibió una multa de 650.000 dólares por parte del Reino Unido por su participación en el escándalo de Cambridge Analytica, donde se recopilaron datos personales de millones de usuarios de Facebook sin su consentimiento.

En marzo, una base de datos que contenía 309 millones de identificaciones, números de teléfono y nombres de usuarios de Facebook quedó expuesta en la Web para que cualquiera pudiera acceder sin necesidad de una contraseña u otra forma de autenticación, el defensor de la privacidad y redactor tecnológico Paul Bischoff. escribió en el sitio web de tecnología pro-consumidor Comparitech. Esa información también se publicó en un foro de piratas informáticos como descarga.

Más tarde, en marzo, un segundo servidor fue expuesto en la Web, aparentemente por el mismo grupo criminal. Este contenía 42 millones de registros más que el primero.

Apple y Microsoft no se han enfrentado a estos problemas hasta la fecha, pero en enero Microsoft expuso casi 250 registros de soporte y servicio al cliente en la Web, Bischoff informó.

Estos contenían registros de conversaciones entre los agentes de soporte de Microsoft y los clientes de todo el mundo entre 2005 y diciembre de 2019. Los datos eran accesibles para cualquier persona con un navegador web y “podrían ser valiosos para los estafadores de soporte técnico en particular”, dijo Bischoff. Estos estafadores a menudo afirman ser representantes de Microsoft e intentan convencer a las víctimas para que permitan el acceso remoto a sus computadoras.

También en enero, Ronen Shustin de la firma de ciberseguridad Check Point Research divulgado la existencia de vulnerabilidades en el servicio en la nube Azure de Microsoft.

“La seguridad en la nube es como el vudú”, escribió Shustin. “Los clientes confían ciegamente en los proveedores de la nube y en la seguridad que brindan”.

Las vulnerabilidades de la nube más populares se centran en la seguridad de las aplicaciones del cliente, y no en la propia infraestructura del proveedor de la nube, afirmó Shustin. “Queríamos refutar la suposición de que las infraestructuras en la nube son seguras”.

En julio, los ciberdelincuentes secuestrado más de 240 sitios web alojados en Azure. Esto fue “una toma de control de subdominio, que es una amenaza común en toda la industria”, dijo un portavoz de Microsoft en ese momento, en un comunicado enviado por correo electrónico a TechNewsWorld por Rhoades Clark de la firma de relaciones públicas de Microsoft WWE-Worldwide. Microsoft posteriormente guía emitida sobre cómo evitar que esto suceda.

Miedo y asco entre los consumidores

Hay poca confianza en que Facebook se adhiera a su compromiso de mantener la privacidad.

“Como muchos observadores del mercado saben, lo que Facebook dice que hará y lo que Facebook realmente hace en la práctica son dos cosas diferentes”, Victoria Rohrer. escribió para la empresa de asesoramiento financiero y de inversiones The Motley Fool.

Todas las empresas de alta tecnología dicen que eliminarán los datos de identificación personal, pero eso puede ser una promesa vacía, especialmente si se están asociando con instituciones de salud.

“Teóricamente, la empresa de tecnología no debería poder volver a identificar al paciente a partir de un conjunto de datos desidentificados, pero, cuando la empresa de tecnología ya tiene grandes cantidades de información sobre casi todos, la probabilidad de que se pueda identificar al individuo aumenta”. Marti Arvin, asesor ejecutivo de la consultora de ciberseguridad sanitaria CynergisTek, dijo a TechNewsWorld.

Por ejemplo, Google rastrea a las personas a través de dispositivos domésticos inteligentes, autos inteligentes, Google Assistant en sus teléfonos inteligentes, posiblemente a través del uso de Google Voice y Google Fiber, y sus búsquedas en línea. Una función introducida recientemente en el Asistente de Google hace recomendaciones personalizadas de restaurantes y recetas basadas en el historial de búsqueda del usuario y los datos del dispositivo inteligente.

Esto “reconfirma la tendencia emergente de utilizar datos de los consumidores para analizar sus demandas e impulsar ofertas personales”, Jerrold Wang de Lux Research escribió. Google “tiene el potencial de moldear las ventas de diferentes productos empaquetados para el consumidor con recomendaciones de productos altamente personalizadas utilizando datos obtenidos a través de sus diferentes modos de recopilación, como su motor de búsqueda, dispositivos portátiles y dispositivos domésticos”.

Facebook rastrea a los usuarios de múltiples formas. Además de rastrearlos cuando hacen clic en sus anuncios o interactúan con otros en sus páginas, Facebook puede traer información de WhatsApp e Instagram, ambos de los cuales es propietario. El gigante de las redes sociales también tiene asociaciones con muchas empresas de marketing y redes publicitarias, por lo que las actividades en otros sitios se pueden combinar con los perfiles de Facebook de los usuarios. los Pixel de Facebook, que permite a los sitios web y a los minoristas en línea obtener información sobre sus visitantes, y también rastrear a los usuarios.

En los dispositivos móviles, las aplicaciones móviles de Facebook registran las redes WiFi a las que se conectan los usuarios, el tipo de teléfono que tienen, las otras aplicaciones que han instalado y todo lo que hacen en la plataforma de Facebook.

Google y Facebook ganan dinero con los anuncios y, “cuando se crea un conflicto entre hacer lo correcto y ganar dinero, el dinero generalmente gana”, Rob Enderle, director del grupo de asesoría empresarial The Grupo Enderle, dijo a TechNewsWorld.

La ciberseguridad es un esfuerzo de grupo

La empresa matriz de Google, Alphabet, IBM, Amazon, Microsoft, Oracle y Salesforce se comprometieron en 2018 a respaldar un conjunto común de estándares para mejorar el intercambio de datos de salud entre proveedores.

Este conjunto de estándares, conocido como Fast Healthcare Interoperability Resources (FHIR), define cómo se puede intercambiar la información sanitaria entre diferentes sistemas informáticos, independientemente de cómo se almacene.

“A menudo, el cumplimiento no es igual a la ciberseguridad”, dijo Ilia Sotnikov, vicepresidenta de gestión de productos de Netwrix, dijo a TechNewsWorld. Las organizaciones a menudo tratan los requisitos de cumplimiento como una lista de casillas de verificación para completar.

“Esto ayuda a aprobar las auditorías de cumplimiento, pero no ayuda con el riesgo cibernético”, señaló Sotnikov.

“Asegurar los datos en la nube es una responsabilidad compartida entre la instalación de atención médica y el proveedor de la nube”, dijo Sotnikov. “El proveedor de la nube será responsable de la seguridad física y los parches, pero no lo ayudará contra ataques de ingeniería social o ataques internos”.

Para fortalecer la seguridad de los datos, Sotnikov recomienda que las organizaciones de atención médica inviertan en capas adicionales de seguridad, como:

  • Control de acceso a datos
  • Supervisar la actividad del usuario para detectar anomalías más rápidamente, como la copia masiva de archivos o el acceso a datos sin autorización.
  • Adopción de la evaluación de empleados

“La nube ayuda a reducir los costos de hardware y mantenimiento, pero todavía se necesita un profesional de ciberseguridad capacitado para tomar decisiones estratégicas, un equipo para implementar controles internos y software y políticas para que esto funcione”, dijo Sotnikov.

AllegisCyber El fundador y director gerente Robert Ackerman dice que la seguridad de los proveedores de nube privada no está a la altura y sugiere el cifrado.

“El cifrado ayuda contra el acceso no autorizado de los empleados del proveedor de la nube, pero no es una solución milagrosa”, señaló Sotnikov de Netwrix. “Si la clave de cifrado está fácilmente disponible para todos los empleados o si el acceso a la aplicación que se ejecuta sobre estos datos no se controla adecuadamente, todos los esfuerzos de cifrado son en vano”.

El riesgo interno es “extremadamente alto” en el cuidado de la salud porque muchos sistemas ERH brindan acceso a los datos del paciente a muchos empleados para garantizar que los pacientes puedan recibir el tratamiento adecuado de manera oportuna, dijo Sotnikov. “Cuando los datos están sobreexpuestos, los riesgos de seguridad también aumentan”.

Techjury, que consiste en un grupo de expertos en software, considera que la amenaza interna es una de las áreas de ciberseguridad más subestimadas.

En marzo, el Departamento de Salud y Servicios Humanos de EE. UU. Finalizó las reglas que, según dijo, brindarían a los pacientes un mayor control sobre sus datos de salud. Sin embargo, es posible que esto no funcione como se pretendía.

“La regla de bloqueo de información les da a los pacientes más control sobre el acceso y el intercambio de su información, pero no más control sobre los datos, ya que residen en la organización de atención médica”, dijo Arvin de CynergisTek.

Se requiere vigilancia sostenida

Existe una gran variación entre las entidades sanitarias en lo que respecta a HIPAA cumplimiento, señaló Arvin. También entra en juego el factor humano. “Solo hace falta un humano para hacer clic en el enlace incorrecto”.

Además, los piratas informáticos están desarrollando constantemente métodos cada vez más sofisticados para acceder a los datos, “por lo que es una lucha diaria para las organizaciones adelantarse a los malos”, comentó Arvin. En el mejor de los casos, pueden mantenerse a la par.

La actitud de las empresas de alta tecnología hacia los problemas de privacidad no ayuda. Por ejemplo, en la demanda contra Google por rastrear a los consumidores en aplicaciones sin su consentimiento, la compañía argumentó el 1 de octubre en la corte que los usuarios aceptaron compartir sus datos y no han sido perjudicados, Law360 informes.

“Las empresas de tecnología tienen experiencia y tecnología para trabajar con big data, pero necesitamos legislación, medios de comunicación y supervisión pública para monitorear cómo se utilizan estos datos”, señaló Sotnikov.


Richard Adhikari ha sido reportero de ECT News Network desde 2008. Sus áreas de enfoque incluyen ciberseguridad, tecnologías móviles, CRM, bases de datos, desarrollo de software, mainframe y computación de rango medio y desarrollo de aplicaciones. Ha escrito y editado para numerosas publicaciones, incluyendo Semana de la información y Mundo de la informática. Es autor de dos libros sobre tecnología cliente / servidor.
Envíe un correo electrónico a Richard.

.

[ad_2]

Source link