De acuerdo con el Websense, el acceso indebido a datos clínicos y financieros de los hospitales creció impresionantes 600%  en 2014. Y esos ataques no se limitan a los sistemas hospitalarios, también pasan en pontos socorros, centros de diagnósticos y administradoras de planes de salud. Pero el silencio de los cibercriminales no es tan fuerte actualmente, gracias a los anuncios de instituciones de salud que alertan al mercado sobre las violaciones de sus bases de datos, el robot de informaciones personales de pacientes, hurto de datos de tarjeta de crédito, y otros perjuicios  que destruyen la imagen de la institución y pueden generar indemnizaciones millonarias en juicio.

La elaboración de un material como este se vuelve fundamental cuando nos acordamos de una investigación realizada por  KPMG, en el 2º semestre de 2015. El estudio indicó que 81% de los gestores de la salud sufrieron ataques en sus instituciones por crackers en los últimos años, y 39% afirman que no tienen mecanismos confiables en seguridad de la información para prevenir futuras invasiones. Es algo muy alarmante.

Con el objetivo de llamar la atención de los directores de hospitales y demás gestores del sector  sobre el proceso de seguridad de datos hospitalarios, que resolvemos hacer el mapeo de algunas estrategias esenciales para evitar que su hospital sea la próxima víctima. ¿Listo para precaverse? Acompáñenos:

 

Hackers x Crackers 

Ante todo, para evitar confusiones, hay que comprender la distinción entre estos dos términos. Crackers son personas aficionadas por informática, que utilizan su conocimiento en el área para romper códigos de seguridad, contraseñas de acceso a la red y códigos de programas para fines de crimen.

En distinción de lo dice los medios de comunicación, hackers y crackers tienen propósitos muy diferentes: el primer grupo se dedica a proporcionar la informática a todos e indicar posibles fallos de sistema, el segundo grupo irrumpe los ordenadores y les rompe sus sistemas de seguridad, buscando ganar lo máximo posible con la acción.

Aunque algunos hackers van contra la ley, actúan con la intención de promover el conocimiento y la ayuda a otras personas, pero jamás para promocionarse a sí mismo o destruir trabajos ajenos.

 

¿Se aprende con los errores ajenos?

Dejando aparte las consecuencias negativas de los contratiempos en el camino, es importante analizar y aprender con los errores, con el propósito de que no vuelvan a suceder. A continuación, les presentamos algunas lecciones:

- Community Health Systems

El CHS – Community Health Systems es un grupo de Tennessee, en EE.UU., que administra 198 hospitales, en 28 estados norteamericanos, y ha sido la primera víctima del robo de datos hospitalarios, en el 2014. En aquella época, las informaciones de 4,5 mil millones de pacientes que habían recibido atención en una de las instituciones del grupo se han expuesto a los hackers, y ellos las han vendido en el mercado negro.

Han indicado los especialistas que un fallo en el programa de criptografía extensamente utilizado en el sector de salud (OpenSSL) ha sido la puerta para la invasión. Engañaba la vulnerabilidad en la aplicación a los ordenadores, lo que permitiera visualizar las informaciones archivadas en su memoria. 

- Anthem Inc.

Después de 1 año vino una noticia similar. En 2015, la segunda mayor seguradora de los Estados Unidos ensució su imagen por fallos em la seguridade d edatos. Un ataque virtual en los sistemas de la institución ha sido el responsable por la violación en los datos de 78,8 millones de clientes de la empresa. Acciones indemnizatorias corren en la justicia americana  y el perjuicio financiero a la seguradora llegará.

- Samsam en los sitemas brasileros

En el último mes de abril, se ha visto una prueba potencial delriesgo que los hospitales brasileiros están sufriendo por no tener sistemas de gestión diseñados con base en las más actuales técnicas de seguridad de la información. La división de inteligencia de seguridad de la Cisco  ha detectado una variante de ransomware (un tipo de vírus que rapta datos) creado especialmente para extraer informaciones de las redes de hospitales y otras instituciones de salud.

El programa maligno llamado de Samsam penetra en los servidores por medio de las redes y encripta toda la base de datos de los hospitales (incluyendo recetas médicas, historiales clínicos de pacientes y datos bancarios). Después los hackers pasan a exigir pago de millones de dólares para desencriptar las informaciones o habilitar la clave para la víctima. ¿Percibe como es grande el riesgo cuando cerramos los ojos para este problema?

 

¿Cuál el interés de los hackers en esos sistemas?

¿Cuál la política de seguridad de la información en su hospital? ¿Es común llegar a la recepción de una institución de salud y percibir diversos dispositivos móviles conectados a la computadora del profesional responsable de hacer la atención y la triaje? Rede wi-fi que se utiliza de criptografía WEP con contraseña de 6 dígitos (de alta seguridad), ausencia de módulos de backup y sistemas sin recursos de protección extra (como autenticación de dos factores): las caídas son muchas. Son esos descuidos que hacen con que los hackers migren para el área de salud.

Las posibilidades de ganancia son muchas para los invasores que tienen acceso a:

• Datos personales de los registrados que se pueden vender en el mercado negro;

• Datos bancarios so de tarjetas de crédito de los pacientes;

• Planificación estratégica del hospital, informes financieros sigilosos o su movimiento bancario;

• Propiedad intelectual de técnicas, metodologías, equipamientos o sistemas.

 

¿Cómo protegerse de forma efectiva?

Ahora vamos a la parte práctica. Observe como usted puede mejorar la protección de los datos del sistema de su hospital con la ayuda de la seguridad de la información:

- Limitar el acceso a la base de datos

Usted puede restringir el acceso a la base de datos por medio de un firewall, simplemente al acceder al panel de control de las computadoras, en la pestaña de configuración avanzada para indicar los puertos que pueden estar disponibles.

- Utilizar algoritmos de criptografía

La criptografía es una técnica por la cual se codifican y se traducen las informaciones solamente al destinatario, neutralizando el efecto de eventuales interceptaciones. En este método, cada persona o entidad mantiene 2 claves: una pública, que se puede divulgar normalmente, y otra privada, que debe permanecer en secreto. Las informaciones codificadas con la clave pública solo se decodifican con la clave privada coligada.

Para utilizar algoritmos de criptografía con claves mayores que 128 bits, será necesario hacer el download de algunos archivos de la Sun y reemplazarlos en el directorio del JDK. Por utilizarse el algoritmo Advanced Encryption Standard (AES) para la criptografía de informaciones sensibles en los archivos properties, es necesario instalar ese paquete.

- Configurar el servidor Tom cat con SSL

Para quien no está familiarizado con las terminologías del área de seguridad de datos, Tomcat es un servidor Java menos pesado que la mayoría de las tecnologías de la competencia. Ya que está en su ambiente de IT, debe configurarse con Secure Sockets Layer (SSL), un sistema de encriptación de páginas antes de la transmisión por la web que autentica las partes relacionadas (muy común en las plataformas de pagos on-line). Las instrucciones para dar soporte a SSL en el Tomcat están pormenorizadas en este link.

- Configurar el servidor apache con SSL

El servidor apache (servidor HTTP Apache o simplemente Apache HTTP Server), en 2007, ya constituía casi mitad de los servidores activos del mundo. Eso ya mostraba un poco de su importancia. Para realizar transacciones o acceder a datos sigilosos, es necesario que el servidor atienda a las requisiciones utilizando el protocolo HTTPS, que usa una camada SSL para encriptar los datos transferidos entre cliente y servidor, garantizando más seguridad y menos riesgos de interceptaciones.  En este link usted podrá verificar todos los códigos que deben estar en el terminal para la debida configuración.

- Hacer backups automáticos

Los sistemas de gestión de alta tecnología ya tienen recursos de backup automático (a diario o periódicamente agendado de forma previa), evitando la pérdida de datos o la realización de cualquier modificación indebida en la base.

- Adoptar la autenticación de 2 factores

La autenticación de 2 factores es un nivel de seguridad adicional para el acceso a sistemas. Además de la combinación login + contraseña, el intento de entrada en la aplicación genera un código numérico (o alfanumérico), enviado vía SMS para un número de celular registrado por el usuario, y este código solo se usa una vez.

- Construir una escala de permisos

Por último, vale destacar que los mejores sistemas de gestión de salud hospitalaria tienen una escala de permisos de acceso en que cada usuario tiene un límite diferente de visualizaciones de los módulos y datos, fortaleciendo la protección de los datos sigilosos (protección externa e interna).

La seguridad de la información en los hospitales es un punto crítico que debe ser de atención total de los gestores. No se debe esperar que lo peor ocurra, es importante hablar con un experto en IT en el área de la salud, para descubrir lo que se tiene que implementar para dejar su institución libre de invasiones. Pero primero hay que suscribirse a nuestro newsletter, ¿ok?