BOSTON – Greg García, director ejecutivo del grupo de trabajo de seguridad cibernética del Consejo Coordinador del Sector de Salud y Salud Pública, le hizo a la audiencia una pregunta graciosa: “¿Cuál es su problema?”
Durante su discusión en el Foro de Seguridad de la Atención Médica de HIMSS el lunes, García señaló que la seguridad de la información es en realidad “nuestro problema”.
Exploró las formas en que el sector de la salud está colaborando, y no logra la colaboración, en la gestión de los riesgos de ciberseguridad.
Ha habido más de 4500 filtraciones de datos que afectaron a 315 millones de registros de pacientes, señaló, y la industria de la salud ya debería saber cuáles son sus problemas:
- Las filtraciones de datos por ataques cibernéticos han aumentado un 350 % en los últimos 5 años, según la Oficina de Derechos Civiles del HHS
- El ransomware ha causado interrupciones en las operaciones clínicas y daño al paciente
- Los dispositivos médicos obsoletos ya no son compatibles o compatibles
- Los proveedores y proveedores de servicios de terceros son vectores de ataques a la atención médica.
- El personal clínico debe reconocer y formar parte de la solución de ciberseguridad
Dijo que si bien se discutirían muchas soluciones en la conferencia de seguridad cibernética de dos días que se centraría en lo táctico y lo operativo, quería hablar sobre una solución estratégica más amplia: la colaboración.
“Parte de la solución al problema es entender que tenemos una responsabilidad colectiva”, dijo García.
La salud es un servicio público.
El gobierno, por orden ejecutiva, depende de la industria de la salud como el principal propietario y operador de infraestructura crítica para identificar y mitigar colectivamente cuáles son esas amenazas sistémicas que afectan la capacidad de brindar activos y servicios críticos de los que depende el público.
En 2017, los Servicios Humanos y de Salud de EE. UU. convocaron un grupo de trabajo de seguridad cibernética de la industria de la salud de 1 año que produjo seis imperativos principales, 24 recomendaciones y 105 elementos de acción para abordar la falta de recursos de seguridad y vulnerabilidades, según la presentación de García.
Lo que surgió de ese esfuerzo es el Consejo Coordinador del Sector de la Salud (HSCC), uno de los 16 grupos asesores especiales identificados por el gobierno para servir a sectores críticos, para abordar problemas como los ataques cibernéticos, dijo.
El HSCC trabaja en estrecha colaboración con la Administración para la Preparación y Respuesta Estratégicas del HHS, la Oficina del Director de Información del HHS y la Administración de Alimentos y Medicamentos.
En el ecosistema de atención médica, “cada nodo es vulnerable a los ataques”, dijo.
“La infraestructura crítica es un servicio público. Entonces, todos ustedes son servidores públicos, ya sea que tengan o no fines de lucro, eso es lo que son”.
El consejo de 732 miembros ha creado una serie de recursos que, según García, estaban disponibles gratuitamente para la industria, y eran imprescindibles.
“Estos deben implementarse. No son estanterías”.
García dijo que parte de la responsabilidad colectiva es usar los conjuntos de herramientas y recursos del HSCC para enfocarse en recomendaciones y acciones y unirse al esfuerzo.
“Ninguno de nosotros individualmente es tan inteligente como todos nosotros colectivamente”, dijo García.
Manteniendo la vista en el horizonte
García compartió que pronto se publicará un libro blanco sobre aplicaciones de inteligencia artificial y riesgos cibernéticos en el cuidado de la salud junto con la Guía de implementación del marco de ciberseguridad del NIST para la industria de la salud, que es un proyecto conjunto con el HHS.
“Ahora tenemos una guía que dice cómo debería la industria de la salud implementar específicamente el marco cibernético del NIST”, dijo.
El HSCC también publicará la Guía de gestión de ciberseguridad de dispositivos médicos heredados el próximo mes, que García explicó que fue un logro en la creación de consenso.
El Plan Conjunto de Seguridad de TI para Salud y Dispositivos Médicos, publicado en 2019, siguió la recomendación del Grupo de Trabajo de Seguridad Cibernética de la Industria del Cuidado de la Salud emitida en junio de 2017 y pedía una estrategia intersectorial para fortalecer la seguridad cibernética en dispositivos médicos.
“Se trata de más de 100 páginas redactadas dos veces por semana, una hora en cada reunión, durante el último año y medio: debates y negociaciones entre los fabricantes de dispositivos y [healthcare organizations] sobre la responsabilidad compartida de la ciberseguridad para los dispositivos médicos heredados”.
García dijo que durante sus años con el Departamento de Seguridad Nacional y CISA y otros roles de organización de políticas e industrias, ha visto cuántos sectores se han organizado, o no se han organizado adecuadamente, para esta misión.
“He visto un aumento en el impulso y la energía del sector de la salud en los últimos cinco años. El primer paso para una solución es: reconozca que tiene un problema. Reconocemos que tenemos este problema. Ahora está comenzando a manifestarse en todas las manos. en cubierta. Lo estoy viendo y me llena de energía”.
Andrea Fox es editora sénior de Healthcare IT News.
Correo electrónico: [email protected]
Healthcare IT News es una publicación de HIMSS.