Prevenir el próximo gran ciberataque a la atención médica de los EE. UU.

El pasado mes de febrero, un ataque de ransomware en una empresa llamada Change Healthcare paralizó la facturación médica en los Estados Unidos e impulsó a cientos de sistemas de salud y consultorios médicos con problemas financieros al borde de la quiebra. La violación paralizó el flujo de caja de muchas de las organizaciones que, en conjunto, representan una quinta parte de la economía estadounidense, lo que podría comprometer hasta 85 millones de historiales de pacientes y costar miles de millones de dólares. La recuperación sigue en marcha mientras escribimos este artículo y pueden pasar meses o años antes de que se sepa el número final de víctimas.

No está claro si los culpables reconocieron la magnitud del daño que iban a infligir. Sin duda, el sector de la salud quedó atrapado con los pies planos. Ahora que todos los malos actores del ciberespacio tienen clara la magnitud de su vulnerabilidad subyacente, el sector tiene que analizarla en detalle y actuar antes de que uno de ellos lance otro ataque devastador. El proceso que vamos a describir lo puede emplear casi cualquier sector.

El primer paso es reconocer, definir y analizar las interconexiones e interdependencias entre los miembros del ecosistema sanitario. Si bien no se ha hecho público el punto exacto del ataque, el enorme impacto se debió a su efecto en el centro de compensación de siniestros de Change Healthcare, un intermediario entre los proveedores y las aseguradoras, que procesa la mitad de las reclamaciones médicas en los Estados Unidos, lo que representa billones de dólares en ingresos. Es uno de los principales puntos débiles del ecosistema. ¿Por qué? Dos factores: su «materialidad» (es decir, cuánto depende de él el resto del ecosistema) y sus conexiones bidireccionales con los pagadores y los proveedores.

Un nuevo enfoque del riesgo de ciberseguridad requiere analizar las funciones críticas que componen el sector, incluidos los hospitales, los consultorios médicos, los planes de salud y los pagadores, las farmacias, las compañías farmacéuticas, los laboratorios, las empresas de tecnología médica, los proveedores de TI de salud, los contratistas administrativos y los gobiernos. El riesgo relativo de cada uno de estos nodos debe evaluarse en función de su materialidad y de la naturaleza de sus interconexiones. Este análisis mostrará dónde el ecosistema es más vulnerable y necesita defensas más fuertes.

La siguiente figura es un ejemplo que muestra cómo funciona. Los nodos son círculos y su tamaño indica su materialidad o importancia relativa en el ecosistema. Una línea verde es una conexión unidireccional. Su riesgo depende de la naturaleza de la conexión. Un ejemplo de conexión de bajo riesgo es una entre dos partes que solo tienen una relación contractual y no comparten datos de forma rutinaria, o que simplemente tienen una conexión de red unidireccional a través de una conexión segura API. Sin embargo, una conexión API unidireccional que no sea segura es extremadamente arriesgada.

Una línea roja representa una conexión bidireccional, una que va en ambos sentidos. Una conexión roja de alto riesgo podría ser una conexión de sitio a sitio a través de una red privada virtual o una solución de acceso remoto que no esté supervisada y cuyo acceso carezca de autenticación multifactor. Cuando un atacante entra en uno de esos nodos, puede atravesar las conexiones rojas y afectar a otros nodos. Si el nodo es material, todas las conexiones de ese nodo, rojas o verdes, pueden sufrir daños materiales por la pérdida de comunicación con el nodo que ha sido atacado, incluso si no son atacadas directamente.

Los círculos con más de una línea que conduce a ellos representan mayores riesgos. Los círculos grandes con más de una línea roja son especialmente riesgosos. (Un círculo azul grande con varias líneas rojas sería análogo a Change Healthcare.)

Ver más gráficos de HBR en Datos e imágenes

Para mejorar la protección del ecosistema sanitario, se necesitan las cinco medidas siguientes:

1. Establecer una base de prácticas básicas.

Si ni un solo nodo de un ecosistema adopta las prácticas de seguridad básicas, es mucho más fácil para un atacante invadir el ecosistema y propagarse desenfrenadamente.

Esta protección mínima, o «ciberhigiene» básica, se ha establecido en la industria de la salud gracias a un esfuerzo conjunto entre el Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos y el Consejo Coordinador del Sector de la Salud, un grupo asesor que trabaja con las agencias federales en políticas y operaciones de ciberseguridad de la atención médica crítica. Juntos han desarrollado objetivos de rendimiento de ciberseguridad y mantener amplios recursos para ayudar a las organizaciones a lograr esos objetivos. Van desde las básicas (como parchear las vulnerabilidades críticas expuestas directamente a Internet, la autenticación multifactor y las copias de seguridad sólidas y probadas con regularidad de los activos de misión crítica) hasta las más elaboradas (como la planificación y la preparación centralizadas para los incidentes). Estos objetivos tienen que ser obligatorios en todo el ecosistema. Esperamos que el HHS dé este paso pronto.

2. Identifique y proteja las conexiones riesgosas.

Como se ha indicado anteriormente, no todas las conexiones conllevan el mismo riesgo de ciberataque. Por ejemplo, si la única conexión entre dos nodos es una conexión API segura unidireccional, es probable que los atacantes no puedan utilizarla para entrar en el ecosistema más amplio.

Los riesgos aumentan cuando las organizaciones permiten una conectividad de red bidireccional total o cuando una organización permite que otra tenga cierto grado de control con privilegios. El ejemplo clásico es un proveedor de HVAC que necesita una conexión de red privada virtual con un hospital para poder controlar activamente el entorno en los quirófanos, los laboratorios y las habitaciones de los pacientes.

Cuando estas conexiones sean necesarias, los sistemas de gestión de riesgos deben centrarse en gran medida en la conexión y en la capacidad de defenderse de las intrusiones. Ambas organizaciones conectadas deben tener la higiene básica establecida a través de los objetivos de rendimiento de ciberseguridad antes mencionados y deben establecer conjuntamente un método para detectar y responder a una amenaza que llegue a través de este enlace.

3. Identifique las convergencias entre la materialidad y el alto riesgo y mejore la resiliencia para recuperarse.

No todos los nodos del ecosistema son igual de críticos o importantes. Sin embargo, cualquier combinación de conexiones riesgosas y nodos muy importantes (los círculos azules más grandes de nuestro diagrama) representa un punto de estrangulamiento crítico en todo el ecosistema. Una organización como Change Healthcare se encuentra en el centro de una gran cantidad de actividad industrial y es importante para el funcionamiento de otros nodos. Es el equivalente del sector sanitario a la red eléctrica o al control del tráfico aéreo.

La Comisión de Bolsa y Valores de los Estados Unidos lanzó recientemente nueva guía exigir a las empresas que cotizan en bolsa que denuncien una infracción importante a la SEC en un plazo de 72 horas y para establecer criterios para determinar si una infracción es importante. El sector sanitario debería tomar la misma determinación y dar el siguiente paso utilizando nuestro enfoque para identificar los riesgos.

Los riesgos se evalúan tradicionalmente en función de la probabilidad y el impacto. Los actores del sector de la salud saben ahora que sus nodos materiales lo hará ser incumplido. El análisis descrito anteriormente mostrará cómo se infringirán. Las organizaciones deben esforzarse por entender el impacto de un ciberataque en los nodos del ecosistema y el tiempo que tardarán en recuperarse de uno; es similar a un enfoque utilizado para hacer que las cadenas de suministro sean más resilientes.

Las organizaciones pueden soportar las interrupciones a corto plazo, pero las interrupciones causadas por un ciberataque a gran escala duran de 30 a 60 días, de media. Todos los nodos deben estar preparados para evitar consecuencias duraderas. El propietario de Change Healthcare, el gigante de los seguros UnitedHealth Group, dice que ha avanzado más de 6 000 millones de dólares a los proveedores afectados por la infracción, y Medicare aceleró sus pagos también. Aun así, esos pagos no se hicieron con la suficiente rapidez como para evitar un caos financiero para muchos. Los pagadores, como grupo, deben tener un plan para futuros incidentes y cada nodo del ecosistema también debe tener uno.

4. Mejorar la detección de los ataques y el intercambio de información cuando se producen.

Es comprensible que las organizaciones se muestren reacias a revelar los detalles y el alcance de un ciberataque exitoso, pero esta reticencia pone en peligro todo el ecosistema. La denuncia obligatoria de los incidentes importantes puede ayudar, y eso está en camino: el gobierno federal Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA) exige a las organizaciones de sectores clave, como las finanzas, la energía, el agua, el transporte y la atención médica, que denuncien los ataques a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) en un plazo de 72 horas, y las normas para la aplicación de la ley están en desarrollo.

Sin embargo, el ecosistema no puede responder a menos que el gobierno comparta un informe en cuanto lo reciba. En el incidente de Change Healthcare, el sector estuvo paralizado durante seis días antes de que la CISA compartiera información procesable, y el HHS tardó 13 días en hacer una declaración pública.

Afortunadamente, no es necesario confiar únicamente en el gobierno; el propio ecosistema podría aprovechar la Centro de intercambio y análisis de información médica (Health-ISAC), un grupo industrial que ya recopila información sobre las amenazas de ciberseguridad y las mejores prácticas. La membresía de Health-ISAC colaboró activamente en el incidente desde el primer día del ataque, pero eso solo ayudó a quienes pagaron la membresía. Cinco días después, Health-ISAC compartió lo que sabía públicamente.

Todos los nodos del ecosistema deberían hacer accesible un «flujo» constante de información sobre actividades incorrectas, incluidas las direcciones IP utilizadas por los atacantes, el malware conocido y otros detalles técnicos. Esto ayudaría a todos a recibir y aprovechar la información rápidamente para protegerse a sí mismos y a sus socios comerciales.

5. Establecer la supervisión gubernamental y el reconocimiento formal de las organizaciones críticas.

Además de compartir información sobre los ciberataques, los miembros del ecosistema sanitario siguen necesitando la ayuda del gobierno federal para hacer todo lo que tiene que hacer.

Por ejemplo, para permitir el intercambio entre sistemas de información sobre los ataques descritos anteriormente, debe haber protecciones de responsabilidad contra las respuestas reglamentarias y de responsabilidad extracontractual. El sistema legal estadounidense, tan litigioso, incentiva a la organización afectada a cerrar la comunicación en lugar de hacer señas a sus socios. Las organizaciones que no han hecho lo básico no deberían ser absueltas de sus responsabilidades, pero se les debe permitir proteger todo el ecosistema compartiendo información de forma segura sin temor a represalias legales.

Otra área en la que se necesita la ayuda del gobierno es cartografiar los riesgos del ecosistema para encontrar las áreas de riesgo material e identificar claramente las organizaciones críticas. Varias agencias gubernamentales tienen la autoridad para hacerlo. Ya lo ha hecho para la industria financiera; la atención médica debería ser lo siguiente. Este mapeo no eliminaría el riesgo, pero crearía un panorama completo que ayudaría a colocar las defensas para proteger a todos.

La industria de la salud sabe desde hace tiempo que los ciberataques pueden poner de rodillas a un hospital o plan de salud, pero la debacle de Change Healthcare demuestra cómo un ataque a una parte vulnerable del vasto sector de la salud puede poner de rodillas a todo el ecosistema.

El ecosistema sanitario y el gobierno pueden ajustar sus programas de ciberseguridad para centrarse en garantizar que su higiene está bajo control, que los riesgos se comprenden bien, que sus medidas preventivas son sólidas y que es capaz de detectar y reaccionar rápidamente ante un ataque a una conexión material. No todas las relaciones deben tratarse en igualdad de condiciones; es vital identificar dónde existen las relaciones materiales y dedicar los recursos a proteger esas conexiones y a hacer que las organizaciones sean resilientes cuando son atacadas. Los miembros del ecosistema deben compartir información de forma activa para poder unirse contra un adversario en lugar de luchar contra él de forma individual.

El camino para que el sector sanitario pase de estar «en estado crítico a estable» en 2029 se ha descrito en plan estratégico quinquenal de ciberseguridad producida por el Consejo Coordinador del Sector Sanitario. Los miembros del sector sanitario deberían seguir el ejemplo de Chris Inglis, el primer director cibernético nacional, cuya filosofía es: «Debe ganarnos a todos… para derrotar a uno de nosotros».