Después de que un ciberataque a Change Healthcare causara estragos en el sistema de atención médica, los miembros del Comité de Finanzas del Senado escucharon el testimonio de Andrew Whitty, director ejecutivo de UnitedHealth Group, la empresa matriz de Change Healthcare. Jacqueline Martin/AP Ocultar título
Cambiar título Jacqueline Martin/AP
Central Oregon Pathology Consultants ha estado en el negocio durante casi 60 años, brindando pruebas moleculares y otros servicios de diagnóstico a pacientes al este de Cascade Mountains.
Desde el invierno pasado, la clínica había estado funcionando con efectivo disponible durante varios meses sin recibir pagos, dijo la directora de la clínica, Julie Tracewell. La clínica se encuentra atrapada tras uno de los ataques de ransomware más importantes en la historia de Estados Unidos, el ataque de febrero al administrador de pagos Change Healthcare.
El ataque dejó al sistema de salud de Estados Unidos en gran medida paralizado. Incluso los hospitales, farmacéuticos y fisioterapeutas tuvieron problemas para pagar sus servicios. Los pacientes tuvieron dificultades para surtir sus recetas.
COPC se enteró recientemente de que Change ha comenzado a procesar algunas de sus reclamaciones pendientes. En julio, había alrededor de 20.000 facturas impagas, pero Tracewell dijo que no sabe cuáles están impagas. Los portales de pago para pacientes permanecen inactivos y los clientes no pueden realizar pagos.
“Se necesitarán muchos meses para calcular el coste total de este tiempo de inactividad”, afirmó.
La atención sanitaria es el objetivo más frecuente de los ataques de ransomware. Según el FBI, en 2023 se producirán 249 ataques contra organizaciones sanitarias, la mayor cantidad de cualquier sector.
A los ejecutivos de la industria de la salud, abogados y miembros del Congreso les preocupa que la respuesta del gobierno federal haya sido inadecuada, no haya recibido fondos suficientes y se haya centrado demasiado en proteger los hospitales. Esto a pesar de que el cambio demuestra que la vulnerabilidad es generalizada.
El senador Ron Wyden (D-Ore.), presidente del Comité de Finanzas del Senado, escribió en una carta reciente al Departamento de Salud y Servicios Humanos que “el enfoque actual de la ciberseguridad de la atención médica, es decir, la autorregulación y las mejores prácticas voluntarias, “El sistema es lamentablemente inadecuado, lo que deja al sistema de atención médica vulnerable a delincuentes y piratas informáticos de gobiernos extranjeros”.
Mark Montgomery, director senior del Centro de Innovación Tecnológica y Cibernética de la Fundación para la Defensa de las Democracias, dijo que no hay financiación. “Ha habido muy pocos o ningún esfuerzo para aumentar la inversión en seguridad”, afirmó.
Este desafío es urgente. 2024 fue el año del hackeo médico. En un caso, el servicio de donación de sangre sin fines de lucro OneBlood fue víctima de un ataque de ransomware que impidió que cientos de hospitales de todo el sureste obtuvieran sangre para transfusiones.
Nate Couture, director de seguridad de la información de University of Vermont Health Network, que sufrió un ataque de ransomware en 2020, dijo que los ciberataques complican las tareas rutinarias y complejas por igual. “No se pueden mezclar cócteles de quimioterapia a simple vista”, dijo en un evento en junio en Washington, D.C., sobre los tratamientos contra el cáncer que dependen de la tecnología que fue derrotada en el ataque.
En diciembre, el HHS anunció una estrategia para apoyar el campo de la ciberseguridad. Algunas propuestas se centraron en los hospitales, incluidos programas de zanahoria y palo que recompensan a los proveedores que adoptan ciertas medidas de seguridad “obligatorias” e imponen multas a quienes no lo hacen.
Incluso ese enfoque limitado podría tardar años en materializarse. Según la propuesta presupuestaria del Ministerio de Salud, los fondos comenzarán a fluir a hospitales de “alta necesidad” en el año fiscal 2027.
Centrarse en los hospitales “no es apropiado”, dijo en una entrevista Ileana Peters, ex abogada ejecutiva de la División de Derechos Civiles del HHS. “El gobierno federal necesita ir más allá e invertir también en las organizaciones que suministran y contratan proveedores de atención médica”, dijo.
Brian Mazanec, subdirector de la Oficina de Preparación y Respuesta Estratégicas del Departamento de Salud y Servicios Humanos, dijo en una entrevista que “el interés del departamento en proteger la salud y la seguridad de los pacientes coloca a los hospitales en un lugar destacado de nuestra lista de socios prioritarios”.
La responsabilidad de la ciberseguridad sanitaria nacional la comparten tres departamentos dentro de dos agencias diferentes. La Oficina de Derechos Civiles del Departamento de Salud es una especie de oficial de policía que monitorea los hospitales y otras organizaciones de atención médica para ver si están protegiendo adecuadamente la privacidad de los pacientes y los multa si no lo hacen.
La Oficina de Preparación del Departamento de Salud y la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional están ayudando a construir defensas, incluido el requisito de que los desarrolladores de software médico utilicen técnicas de auditoría para verificar la seguridad.
Ambas últimas organizaciones deben compilar una lista de “organizaciones de importancia sistémica” cuyas actividades son esenciales para el buen funcionamiento del sistema de atención médica. Josh Corman, cofundador del grupo de defensa cibernética I Am The Cavalry, dijo en una entrevista que estas organizaciones merecen una atención especial, incluida su inclusión en los informes de amenazas gubernamentales.
Cuando se conoció la noticia del hackeo de Change, los funcionarios federales estaban trabajando en una lista, pero Change Healthcare no estaba en esa lista, dijo la jefa de la agencia de ciberseguridad del Departamento de Seguridad Nacional, Jen Easterly, en un evento en marzo.
Nitin Natarajan, subdirector general de la agencia de ciberseguridad, dijo a KFF Health News que la lista es sólo un borrador. La agencia estimó previamente que completaría la lista de organizaciones de todos los sectores en septiembre del año pasado.
Se supone que la Oficina de Preparación del Departamento de Salud trabaja con la Oficina de Ciberseguridad del Departamento de Seguridad Nacional y el Departamento de Salud en general, pero el personal del Congreso dijo que los esfuerzos de la agencia son insuficientes. Matt McMurray, jefe de personal del representante Robin Kelly (D-Ill.), dijo en una reunión de junio que el Departamento de Salud tiene “silos de talento” y que “los equipos no se comunican entre sí”. “Está claro a quién (la gente) debe recurrir”.
“¿Es la oficina de preparación del Ministerio de Salud el lugar apropiado para ser responsable de la ciberseguridad? No lo sé”, dijo.
Hasta ahora, la agencia se ha centrado en desastres mundiales físicos como terremotos, huracanes, ataques de ántrax y pandemias. Chris Meekins, quien trabajó en la Oficina de Gestión de Desastres durante la administración Trump y ahora es analista en el banco de inversión Raymond James, dijo que cuando el liderazgo de la agencia de la era Trump buscó ampliar la financiación y la autoridad, la ciberseguridad también fue un problema. él se había hecho cargo.
Pero desde entonces, el departamento ha demostrado que “no está calificado para hacer eso”, dijo Meekins. “No hay financiación, no hay compromiso, no hay experiencia”.
Annie Fixler, directora del Centro de Innovación en Tecnología Cibernética de la Reserva Federal, dijo que sólo hay “un puñado” de empleados responsables de la ciberseguridad. Mazanec admite que el número no es grande, pero espera que la financiación adicional les permita contratar más.
El departamento tarda en responder a los comentarios externos. Cuando la cámara de compensación de la industria sobre amenazas cibernéticas intentó trabajar con la agencia para crear un proceso de respuesta a incidentes, “probablemente tomó tres años encontrar a alguien que ayudara con ese esfuerzo”, dijo el grupo, que en ese momento, dijo Jim Routh, ex director del Centro para el Intercambio y Análisis de Información.
Durante el ataque NotPetya de 2017, un ataque que causó grandes daños a hospitales y a la compañía farmacéutica Merck, Health-ISAC difundió información a sus propios miembros, incluida la mejor manera de contener el ataque, dijo Routh.
Los defensores señalan que el cambio se atribuye a la falta de autenticación multifactor, una tecnología muy familiar en los lugares de trabajo de EE. UU., y el Departamento de Salud y Servicios Humanos está utilizando mandatos e incentivos para obligar al sector de la salud a mejorar. es necesario introducir medidas defensivas. La estrategia del ministerio, publicada en diciembre, tiene objetivos relativamente limitados para el sector de la salud y actualmente es en gran medida voluntaria. El departamento está “considerando” la creación de “nuevas normas aplicables”, afirmó Mazanec.
Gran parte de la estrategia del HHS se implementará en los próximos meses. El departamento ya ha solicitado financiación adicional. Por ejemplo, la Oficina de Preparación solicita 12 millones de dólares adicionales en financiación de ciberseguridad. Se espera que la Oficina de Derechos Civiles, con su presupuesto estable y su personal encargado de hacer cumplir la ley, anuncie actualizaciones de sus normas de privacidad y seguridad.
“Todavía hay grandes desafíos que enfrenta la industria en su conjunto”, dijo Routh. “No creo que suceda nada que necesariamente cambie esa situación”.
KFF Health News es uno de los programas operativos principales de KFF, una sala de redacción nacional que produce periodismo en profundidad sobre temas de salud y una fuente independiente de investigación, encuestas y periodismo sobre políticas de salud.
https://www.npr.org/sections/shots-health-news/2024/09/17/nx-s1-5111590/cyberattacks-ransomware-health-care-federal-response