Proofpoint y el Instituto Ponemon han publicado los resultados de un nuevo estudio sobre el efecto de la ciberseguridad en la atención sanitaria en Estados Unidos. El informe “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care” revela que el 89% de las organizaciones sanitarias encuestadas ha sufrido una media de 43 ataques en los últimos 12 meses, casi uno por semana. Más del 20% de aquellas que han experimentado los cuatro tipos de ataques más comunes —compromiso de cloud, ransomware, cadena de suministro y vulneración de correo electrónico empresarial (BEC) o suplantación de identidad— ha observado un aumento de las tasas de mortalidad de los pacientes.
Este estudio, que ha contado con la participación de 641 profesionales de TI y seguridad de la sanidad estadounidense, indica que los ciberataques en este sector tienen como consecuencia más común el retraso de procedimientos y pruebas médicas, lo que se traduce en malos resultados en cuanto a la evolución médica de los pacientes para el 57% de los proveedores de asistencia sanitaria y en un aumento de las complicaciones de los procedimientos médicos para casi la mitad de ellos. El tipo de ataque con más probabilidades de repercutir negativamente en la atención al paciente es el ransomware, que provoca retrasos en procedimientos o pruebas en el 64% de las organizaciones y hospitalizaciones más largas para los pacientes en el 59% de ellas.
“Los ataques que hemos analizado suponen una importante carga para los recursos de las organizaciones sanitarias. El efecto de esto no es solo un coste tremendo, sino también un impacto directo en la atención a los pacientes, poniendo en peligro la seguridad y el bienestar de las personas”, declara Larry Ponemon, presidente y fundador del Instituto Ponemon. “La mayoría de los profesionales de TI y seguridad considera que sus organizaciones son vulnerables a estos ataques, y dos tercios creen que tecnologías como cloud, móvil, big data e Internet de las Cosas (IoT), que están teniendo una mayor adopción, aumentan aún más los riesgos en torno a datos y pacientes”.
Otras conclusiones importantes del informe son las siguientes:
- La falta de seguridad en el Internet of Medical Things (IoMT) es una de las principales preocupaciones. Las organizaciones sanitarias tienen una media de más de 26.000 dispositivos conectados a la red. Aunque el 64% de los encuestados está preocupado por la seguridad de los dispositivos médicos, solo el 51% los incluye en su estrategia de ciberseguridad.
- Las organizaciones sanitarias se sienten a la vez más vulnerables y preparadas para el compromiso de cloud. El 75% de los encuestados afirma que sus organizaciones son vulnerables a un compromiso de cloud, y el 54% señala que en los últimos dos años ha tenido al menos uno de estos incidentes. Las organizaciones dentro de este grupo han pasado por una media de 22 vulneraciones de este tipo en los últimos dos años. Pero al igual que son las más vulnerables, también son las más preparadas para un compromiso de cloud, con un 63% centrado en tomar medidas para enfrentarse y responder a estos ataques.
- El ransomware es la segunda mayor vulnerabilidad. El 72% de los encuestados cree que sus organizaciones son vulnerables a un ataque de ransomware, y el 60% afirma que este es el tipo de ataque que más les preocupa. En consecuencia, el 62% ha tomado medidas para prevenir y responder al ransomware.
- La escasa preparación pone en riesgo a los pacientes. Aunque el 71% de los participantes considera que son vulnerables a los ataques a la cadena de suministro y el 64% opina lo mismo sobre BEC y la suplantación de identidad, solo el 44% y el 48% tiene una respuesta documentada para estos ataques, respectivamente.
- Los costes financieros de los ciberataques son enormes. El ciberataque más caro ha costado una media de 4,4 millones de dólares en los últimos 12 meses, siendo la pérdida de productividad el impacto financiero más significativo (1,1 millones de dólares).
- Los programas de formación y concienciación, junto con la supervisión de los empleados, son las dos principales defensas. Las organizaciones reconocen que los empleados descuidados y negligentes suponen un riesgo importante. El 59% aborda la falta de concienciación de su plantilla, y el 63% de ellas lleva a cabo programas regulares de formación y concienciación, mientras que el 59% supervisa las acciones de los empleados.
- La falta de financiación y recursos sigue siendo un reto. El 53% de los participantes dice que la falta de experiencia interna es un reto; y el 46% de las organizaciones, que carecen de personal suficiente. Ambas deficiencias afectan negativamente a la estrategia de ciberseguridad.
