Este sitio web utiliza cookies para mejorar la funcionalidad y el rendimiento del sitio web, para comprender mejor cómo utiliza el sitio web y los servicios de AAPA, y para brindarle una experiencia personalizada. Si continúa utilizando este sitio web, acepta este uso de cookies. Vea nuestro Política de Privacidad para obtener más información.

¡Has sido hackeado! Lecciones aprendidas de una brecha cibernética

Una práctica maneja un pirateo y un PA considera las implicaciones del seguro

Por Hillel Kuttler

Sábado, Abril 10, 2020

Todavía no había salido el sol el jueves 16 de enero cuando la directora de un consultorio familiar en Austin, Texas, abrió la puerta y encendió su computadora. El PA de la práctica, la enfermera practicante y dos médicos aún no habían entrado, y pasaría una hora antes de que llegara el primer paciente. Como todas las mañanas, el gerente estaba preparando la práctica para el día siguiente. La computadora se despertó, pero algo andaba mal.

Mensaje de un hacker a un consultorio familiar en Austin, Texas
Este mensaje fue enviado por el pirata informático a un consultorio familiar en Austin, Texas, el 17 de enero. Después de cuatro rondas de mensajes y un pago de rescate de $ 12,000 en bitcoin, el pirata informático desbloqueó los registros médicos y de programación de la práctica.

SUS ARCHIVOS ESTÁN CIFRADOS
Sobre una pantalla negra gritaba un titular en mayúsculas en blanco: SUS ARCHIVOS ESTÁN CIFRADOS. Un logotipo de bitcoin en la esquina superior izquierda insinuaba una estafa financiera, pero las 13 líneas de texto no lo decían explícitamente.

Fue un truco. El software de programación de la práctica y los registros médicos electrónicos de los pacientes ahora eran inaccesibles, retenidos como rehenes por alguien, en algún lugar. El sistema informático quedó inutilizado, al menos temporalmente. Los siguientes tres días de trabajo transcurrieron como si el personal hubiera viajado hacia atrás en el tiempo, obligado a depender de lápiz, papel y copias al carbón para tomar notas y comunicarse, incluida la redacción de recetas y órdenes de laboratorio. El proceso de admisión se ralentizó. Los laboratorios tenían que enviar por fax los resultados de las pruebas y los hospitales tenían que enviar los registros por fax.

Afortunadamente, dos de los horarios de los días se habían impreso antes del ataque. Incluso entonces, había que llamar a esos pacientes y decirles que trajeran cualquier medicamento a sus citas; de esa manera, se podrían pedir recargas si fuera necesario. Durante las citas, se pidió a los pacientes que recordaran al médico sus antecedentes médicos y cirugías recientes.

$ 12,000 de rescate y $ 10,000 en honorarios de abogados
Recién el martes siguiente la práctica volvió a la normalidad. Para entonces, el hackeo le había costado a la práctica $ 22,000: $ 12,000 en el rescate pagado en bitcoin a los piratas informáticos y $ 10,000 por consultas con los abogados de la práctica. Menos calculable fue la interrupción en el funcionamiento de un consultorio médico, las horas desperdiciadas por los médicos y otro personal, el tiempo dedicado por el especialista en tecnología de la información (TI) de la práctica para lidiar con el hackeo y prevenir su recurrencia, la entrada electrónica posterior a la crisis de la información manuscrita, el estrés.

El hackeo y sus consecuencias fueron un momento "loco", dijo el PA de la práctica, EM (el PA se identifica en este artículo por sus iniciales debido a la preocupación de su empleador sobre las posibles reacciones de los pacientes al ataque cibernético y el informe forense en curso).

Will Sullivan
Es probable que un PA no sea responsable de los costos relacionados con un ataque cibernético de una práctica que no es de su propiedad, dijo Will Sullivan de CM&F Group, que se muestra aquí. (Crédito: Lonna Sullivan, Foto de Smile Bella)

Las consecuencias financieras podrían haber sido peores
Aún así, la práctica esquivó una bala. Los datos de los pacientes no parecen haber sido comprometidos. Las consecuencias financieras podrían haber sido mucho mayores. Will Sullivan, vicepresidente de CM&F Group, un proveedor de seguros respaldado por AAPA, afirmó que el 60 % de las pequeñas y medianas empresas, incluidas las de atención médica, cierran dentro de los seis meses posteriores a una brecha cibernética.

Las filtraciones de datos cuestan a las organizaciones de atención médica de todo el mundo un promedio de $380 por el registro perdido o robado de cada paciente, más del doble del promedio de $141 para los registros en todas las industrias, según un informe de 2017 publicado por Ponemon Institute con sede en Michigan y patrocinado por IBM Security.

[Fundamentos del seguro de mala praxis]

El mayor gasto se presenta en tres áreas, dijo Sullivan: mayores costos legales, el costo de notificar a las agencias gubernamentales y el costo de alertar a cada paciente.

La tercera área podría haber resultado extremadamente costosa en el caso de la práctica de Texas, porque habría tenido que notificar a cada uno de sus casi 11,000 pacientes sobre la infracción. Eso habría requerido envíos por correo y, posiblemente, la contratación de compañías de informes crediticios para monitorear cualquier uso indebido de las identidades de los pacientes.

Los datos del paciente son más valiosos
Según el sitio web de Sullivan y CM&F, el registro de salud de una persona es de 10 a 20 veces más valioso para los piratas informáticos que la información de la tarjeta de crédito porque el registro contiene el nombre, la dirección, la fecha de nacimiento, el número de seguro social, el diagnóstico y la información de facturación de la persona, todo lo cual puede ser utilizado en el robo de identidad.

“La atención médica es uno de los objetivos más frecuentes de los delitos cibernéticos porque tienen lo que en el mercado negro se consideraría el boleto dorado”, dijo Sullivan.

A los pacientes de la práctica de Texas no se les dijo lo que sucedió porque una investigación forense posterior a la violación descubrió que los piratas informáticos habían bloqueado temporalmente los registros médicos en lugar de robarlos, dijo EM.

Para complicar la situación del seguro, los médicos del consultorio tienen pólizas de responsabilidad cibernética, pero el NP y el EM no las tienen, y el NP es el único propietario del consultorio. Eso llevó a EM a ponerse en contacto con AAPA después de la brecha. EM se preguntó si ella podría, por defecto, estar cubierta por la póliza de responsabilidad cibernética de su médico supervisor. Pero le preocupaba que, al no tener una póliza de responsabilidad cibernética de forma independiente, estuviera expuesta, al menos parcialmente, a cualquier daño.

“Plantea la pregunta para los PA: no soy dueño de la práctica, pero ¿tengo que comprar un seguro de responsabilidad cibernética? ¿Cuánta responsabilidad tengo con nuestros pacientes?” ella dijo.

El propietario que no es de la práctica no es responsable de los costos de piratería
Sullivan cree que en tal situación, un profesional médico que no sea el propietario de la práctica no sería responsable de los costos relacionados con la piratería.

Al final resultó que, la práctica de Texas no recibió el golpe por el rescate de $ 12,000 pagado a los piratas informáticos. Si bien la póliza de responsabilidad médica de NP no incluía cobertura cibernética, su póliza con otra compañía cubría el robo. Resultó que las pérdidas de la práctica cayeron en esa categoría porque su servidor estaba en la oficina, en lugar de estar basado en la nube. La práctica tuvo que pagar los honorarios legales.

“¡No podía creerlo!” EM dijo de la relativamente buena fortuna de su empleador. “Pensamos que la clínica estaría fuera de 22 mil dólares”.

EM se puso seria ante lo que podría haber sido dañino para ella.

“El enigma habría sido si yo, el PA, fuera el propietario [del consultorio] y no estuviera cubierto por robo cibernético. Tengo mi propia [cobertura] de responsabilidad médica, pero no tiene un componente cibernético”, dijo. “Planteó preguntas de las que no estoy al tanto y que deberíamos saber”.

Ella no está sola. A encuesta realizado por la Asociación Médica Estadounidense y la consultora Accenture de 1,300 médicos en 2017 encontró que el 83% ha experimentado ciberataques en su práctica clínica, el 55% está "muy preocupado" o "extremadamente preocupado" por un ataque futuro y el 74% está muy preocupado por un ataque que interrumpe el funcionamiento de la práctica. El nueve por ciento de los ataques que experimentaron los médicos retuvo los datos de los pacientes a cambio de un rescate.

Los hallazgos "sugieren una gran necesidad de mejorar la educación en seguridad cibernética para los médicos", concluyó la encuesta.

Próximas políticas de ciberseguridad
CM&F no ha ofrecido seguro de responsabilidad cibernética, pero esta primavera planea introducir dichas pólizas para proveedores médicos. Las pólizas cubrirán hasta $ 1 millón en cada una de las siguientes áreas: responsabilidad de seguridad y privacidad, cobertura de respuesta a violaciones de seguridad y cobertura de extorsión cibernética.

Esas políticas, dijo Sullivan, cubrirán una práctica completa. En el caso de EM, los cuatro profesionales médicos y el resto del personal no tendrían que comprar pólizas de responsabilidad cibernética separadas a través de la compañía de Sullivan.

En cuanto a su acuerdo de compartir el episodio de enero con AAPA a través de este artículo, EM dijo que está encantada de ayudar "de cualquier manera que pueda para ayudar a proteger las AP en el futuro".

Hillel Kuttler es escritor y editor independiente. Contáctelo en [email protected].

También te puede interesar
Portafolio PA
Fundamentos del seguro de mala praxis
Propiedad empresarial y contratación independiente

Quizás te interese

 

Gracias por leer News Central de AAPA

Tiene 2 artículos dejados este mes. Crea una cuenta gratuita para leer más historias, o convertirse en miembro para obtener más acceso a beneficios exclusivos! ¿Ya tienes una cuenta? Iniciar sesión.

Crea una cuenta gratis