Protección de los datos sanitarios digitales frente a los ciberataques

En 2023, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) notificó 541 casos de filtraciones de datos que afectaron a más de 500 personas. Algunos de estos incidentes afectaron a millones, o incluso a decenas de millones de personas, como la filtración de HCA Healthcare, que tuvo gran repercusión mediática durante el verano. 

El Día de Acción de Gracias de ese mismo año, Ardent Health Services sufrió un ataque de ransomware, lo que llevó a este sistema de 30 hospitales a cerrar de forma preventiva y suspender todo acceso de los usuarios a sus aplicaciones informáticas. Esto provocó retrasos en las intervenciones no urgentes. 

En febrero de 2024, HIPAA Journal había registrado 24 filtraciones de datos que afectaban a 10 000 historiales médicos. 

Se avecinan nuevos requisitos normativos en materia de seguridad de los datos sanitarios, a medida que los legisladores toman medidas para exigir a las organizaciones que rindan cuentas en materia de protección de datos. 

La Norma de Privacidad de la HIPAA, 45 CFR Parte 160 y las subpartes A y E de la Parte 164, establece los usos y divulgaciones permitidos y obligatorios de la información médica protegida (PHI). La PHI puede presentarse en cualquier formato, ya sea en papel, en película o en formato electrónico, y se considera información médica que permite identificar a una persona concreta. 

La Norma de Seguridad de la HIPAA, 45 CFR, partes 160 y 164, subpartes A y C, establece los requisitos relativos a la información médica protegida en formato electrónico (ePHI). Las entidades sujetas a la normativa y sus socios comerciales tienen la obligación de garantizar la confidencialidad, la integridad y la disponibilidad de la ePHI. 

La Norma de notificación de violaciones de la HIPAA, 45 CFR §§ 164.400-414, exige a las entidades sujetas a la HIPAA y a sus socios comerciales que notifiquen cualquier violación de la información médica protegida que no esté debidamente protegida. 

La Publicación Especial 800 del NIST ( NIST SP 800-66r2), publicada en febrero de 2024, ofrece orientación a las entidades reguladas (es decir, las entidades sujetas a la HIPAA y los socios comerciales) sobre la evaluación y gestión de los riesgos para la ePHI, identifica las actividades típicas que una entidad regulada podría considerar implementar como parte de un programa de seguridad de la información, y presenta orientaciones que las entidades reguladas pueden utilizar en su totalidad o en parte para ayudar a mejorar su postura de ciberseguridad y contribuir al cumplimiento de la Norma de Seguridad de la HIPAA. 

En diciembre de 2023, el Departamento de Salud y Servicios Humanos (HHS) publicó un documento conceptual en el que se esbozaba su estrategia de ciberseguridad para el sector sanitario. Esta estrategia hace hincapié en el refuerzo de las medidas de control y en el establecimiento de normas de buenas prácticas más exigentes para el sector. Posteriormente, en enero de 2024, el HHS dio a conocer sus Objetivos de Rendimiento en Ciberseguridad (CPG) específicos para los sectores de la asistencia sanitaria y la salud pública. Estos objetivos se dividen en categorías «esenciales» y «mejoradas», con el fin de abordar las vulnerabilidades de ciberseguridad más frecuentes en el sector sanitario. 

El programa HHS 405(d) ofrece orientación práctica a las organizaciones sanitarias que se enfrentan a las complejidades que conlleva la implementación de medidas sólidas de seguridad de los datos. Esta iniciativa destaca la integración estratégica de los sistemas de prevención de pérdida de datos (DLP) como un componente fundamental de un marco integral de seguridad de los datos. La adaptación de las soluciones DLP a las necesidades específicas de los flujos de trabajo sanitarios puede reducir significativamente los falsos positivos y mejorar la eficacia general de las iniciativas de protección de datos.  

Leyes federales como la Ley Gramm-Leach-Bliley (GLBA), la Ley de Derechos Educativos y Privacidad de la Familia (FERPA) y la Ley de Informes Crediticios Justos (FCRA) protegen la confidencialidad de los datos personales. Además de estas normativas federales, siguen surgiendo nuevas leyes estatales que refuerzan aún más las medidas de privacidad y protección de datos: 

Dada la importancia fundamental que revisten los datos de los pacientes y su seguridad, ¿cómo pueden los profesionales sanitarios asegurarse de que sus herramientas de seguridad actuales son eficaces frente a las amenazas en constante evolución? 

Se ha producido un notable aumento de los ataques dirigidos contra proveedores de atención sanitaria regionales de menor tamaño, lo que pone de relieve la necesidad de adoptar medidas de ciberseguridad sólidas. Estas organizaciones suelen almacenar datos extremadamente sensibles, lo que las convierte en objetivos prioritarios para los piratas informáticos. La implementación de estrategias de seguridad «multicapa», que incluyan la prevención de la pérdida de datos y la detección proactiva de amenazas, es fundamental para minimizar los posibles daños. 

La DLP (prevención de fugas de datos) incluye estrategias destinadas a evitar la divulgación involuntaria o no autorizada de datos sensibles, como historiales de pacientes o información médica protegida (PHI). Esto resulta especialmente crucial en el sector sanitario, donde la filtración de la PHI puede tener graves consecuencias para los pacientes, pudiendo dar lugar a robos de identidad o a que se vea comprometido el tratamiento médico. Es imprescindible que las organizaciones establezcan una estrategia sólida de DLP para mitigar las filtraciones de datos y garantizar la seguridad y la confidencialidad de los datos sanitarios. 

OPSWAT Proactive DLP detecta y bloquea datos sensibles, que incumplen las políticas y confidenciales en archivos y correos electrónicos. Equipado para mitigar posibles fugas de datos, Proactive DLP una amplia gama de medidas de seguridad, entre las que se incluyen la detección de malware transmitido por archivos, la clasificación de documentos basada en inteligencia artificial y el uso del reconocimiento óptico de caracteres (OCR) para la ocultación de información sensible. Garantiza el cumplimiento de la HIPAA mediante sólidas capacidades de prevención de pérdida de datos, controles de acceso y mitigación de riesgos.  

MetaDefender OPSWAT MetaDefender ofrece una prevención integral de amenazas diseñada específicamente para que las organizaciones sanitarias puedan gestionar los datos sanitarios de forma segura y rentable. MetaDefender simplifica los procesos de operaciones de seguridad, se adapta fácilmente a las necesidades de la organización y proporciona tecnologías líderes en el mercado para una estrategia de defensa en profundidad, tales como: 

• La tecnología Deep CDR™ neutraliza los archivos potencialmente maliciosos y regenera contenido seguro para su uso.
• Multiscanning detecta tanto el malware conocido como el desconocido con más de 30 motores antivirus.
• Adaptive Sandbox detecta el malware mediante análisis dinámico y estático.
• «País de origen» restringe el acceso a los datos en función de la ubicación y el proveedor.