Cómo evitar que se pongan en peligro los registros de los pacientes

Año tras año, aumenta el número de violaciones de datos que afectan a entidades de la industria de la salud, y 2020 no fue una excepción

Las 616 filtraciones de datos informadas el año pasado al Departamento de Salud y Servicios Humanos de EE. UU. (DHHS) han dado como resultado la exposición / compromiso de 28,756,445 registros de atención médica.

La mayoría de estas infracciones fueron causadas por piratas informáticos y una seguridad de TI inadecuada, ya que las bandas de ransomware continúan apuntando a organizaciones cuya seguridad se ha reducido aún más de lo habitual.

“Los ciberdelincuentes han utilizado la pandemia como una puerta de entrada para acceder a la información de salud protegida (PHI)”, dice Rick Kuwahara , director de operaciones y director de cumplimiento de Paubox.

“Los efectos de Covid-19, incluidos los hospitales con capacidad y la tensión de los empleados, han dejado a la industria de la salud especialmente vulnerable. Algunas de las mayores amenazas para la PHI incluyen ataques de phishing y ransomware, pero también errores humanos, un retraso en la seguridad de la red y puntos ciegos en el cifrado de correo electrónico ".

Protección de la PHI

En los EE. UU., El uso de información médica protegida (PHI) se rige por la Regla de privacidad de HIPAA , que permite que las entidades cubiertas y sus socios comerciales usen y divulguen PHI sin el consentimiento del paciente si es para tratamiento y pago de atención y, según quién creó la información, las operaciones sanitarias.

“Se puede hacer uso y divulgación adicionales fuera de ese alcance si es con la autorización por escrito del paciente”, explica Rick Kuwahara, COO y Director de Cumplimiento de Paubox.

La PHI también puede incluir información financiera (de facturación) de los pacientes, si forma parte de su historial médico general.

La regla de seguridad de HIPAA exige que las organizaciones mantengan “salvaguardas administrativas, técnicas y físicas razonables y apropiadas para proteger ePHI”, pero las salvaguardas estándar a menudo no son suficientes

“Las organizaciones deben ir más allá de los estándares de HIPAA e implementar prácticas que puedan ayudar a reparar los agujeros y crear una barrera que los ciberdelincuentes no puedan penetrar”, opina Kuwahara, y les aconseja que consideren prácticas comunes como:

  • Capacitación oportuna y continua del personal para disminuir la posibilidad de errores humanos.
  • Actualización de políticas para mantenerse al día con el estándar de la industria
  • Adoptando nuevas tecnologías
  • Protección del correo electrónico entrante y saliente con cifrado de calidad
  • Emplear políticas de contraseñas seguras
  • Parcheo y actualización de redes
  • Aumento de la seguridad de la red en la nube

Según el último informe de IBM sobre el costo de una violación de datos, el error humano representó aproximadamente el 30% de todas las violaciones de la atención médica en 2020.

Para minimizar ese porcentaje en los próximos años, las organizaciones de atención médica deben capacitar adecuadamente a los proveedores, enfermeras y administradores, así como promulgar políticas enfocadas en reconocer y bloquear correos electrónicos maliciosos, compartir credenciales y uso de dispositivos móviles.

Obligaciones y repercusiones

La responsabilidad de mantener segura la PHI y otra información del paciente depende de aquellos que la tienen "en la mano", por así decirlo.

“Si el proveedor de atención médica tiene PHI en forma digital o física, debe realizar todos los esfuerzos razonables para mantenerla segura, incluido el cifrado de PHI electrónico (ePHI). El proveedor también es responsable de proporcionar de forma segura la PHI al paciente que lo solicite ”, explica Kuwahara.

“Pero una vez que el paciente tiene su información, depende de él mantenerla segura. Esto incluye tanto el papeleo como el ePHI que se les haya enviado por correo electrónico ".

En el mercado negro, la PHI es mucho más valiosa que la información de identificación personal (información básica como nombres, direcciones, correos electrónicos). Los ciberdelincuentes persiguen la PHI porque les permite robar medicamentos recetados, atacar a las víctimas con estafas que se aprovechan de sus afecciones médicas y crear reclamos de seguros falsos.

Si bien el 70% de los consumidores dicen que cortarían lazos con los médicos si descubrieran que sus datos de salud personales están desprotegidos, la forma más probable de averiguarlo es después de una infracción, y para entonces ya es demasiado tarde: las repercusiones negativas de su PHI comprometida puede ser masiva y puede continuar apareciendo mientras vivan.

Y, para colmo de males, los pacientes que han visto comprometida su información médica protegida (PHI) no pueden buscar un recurso legal sobre la base de una violación de HIPAA.

“Si bien la HIPAA no tiene una causa de acción privada, los pacientes pueden emprender acciones legales contra una organización de atención médica por violaciones de las leyes estatales. Dicho esto, los pacientes deben poder probar el daño o daño causado como resultado del robo o negligencia de la PHI ”, concluyó Kuwahara

Fecha actualización el 2021-09-15. Fecha publicación el 2021-09-15. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: helpnetsecurity