Hay relativamente poca comprensión de cuán fácil es violar los sistemas de salud.
En agosto pasado, CHS obtuvo 4.5 millones de registros. Hoy fue Himno por “decenas de millones”.
La violación de los datos de salud en Anthem es una superproducción que podría afectar a 80 millones
Estas violaciones no ocurren de la noche a la mañana, pero la seguridad del perímetro en el cuidado de la salud específicamente es muy (me refiero a muy) porosa. Si desea una idea de lo poroso que puede leer mi artículo sobre cómo me conecté a la red de un hospital de 380 camas en el Medio Oeste de la oficina de mi casa en Phoenix.
¿Qué tan seguras son las redes de TI en el cuidado de la salud?
¿El sofisticado truco que utilicé? Google Chrome, y una dirección IP maliciosa que me proporcionó Norse. La dirección IP apareció en su red como una IP “maliciosa”, lo que indica que ya se había comprometido. ¿La dirección? Una impresora conectada a la red con credenciales de administrador que eran las originales / predeterminadas (admin / 123456) y que se me mostraron cuando consulté el menú de ayuda del administrador.
El mensaje es claro. Mientras que el cuidado de la salud está ocupado enfocándose en el “Cumplimiento de HIPPA”, los atacantes simplemente están entrando en redes que están desprotegidas. No es que la puerta estuviera abierta o entreabierta, simplemente no hay puerta.
Desde la perspectiva de los atacantes, es mucho más fácil en estos días (y más lucrativo) enfocarse en la atención médica. Los servicios financieros no son inmunes, son simplemente más difíciles. ¿Por qué romper el sudor al romper una puerta, cuando hay una abierta en otro lugar?
Estoy trabajando para resolver este enorme problema de todas las formas posibles, incluida una serie de 5 partes que hice en agosto pasado para coincidir con la conferencia de ciberseguridad Black Hat.
Para responder específicamente a la pregunta, es posible que nunca sepamos cómo entraron los atacantes (hay lógica para mantener esa privacidad para evitar ataques fáciles en otros lugares), pero mi sospecha es que fue muy fácil para cualquier persona con habilidades de piratería incluso rudimentarias.
Más allá del perímetro poroso: en el caso de Anthem (y cientos de otros), los datos en reposo no estaban cifrados.
Hay un cálculo emergente (nuevo para el cuidado de la salud) que se está afianzando. ¿Cuál es el costo de una mega infracción?
Evaluar el impacto financiero de 4.5 millones de registros de salud robados
Es seguro decirlo, la asistencia sanitaria tiene MUCHO que aprender sobre la diferencia entre el cumplimiento HIPAA y la seguridad de red / datos. Los dos están a kilómetros de distancia, y en ninguna parte están cerca.
A diferencia de los hacks de tarjetas de crédito, las violaciones a los datos de salud son mucho más perjudiciales para todos, especialmente para los pacientes. Los errores en los registros médicos son potencialmente mortales y potencialmente de por vida. Además, a diferencia de las tarjetas de crédito, no puede terminar la tarjeta en la red y emitir otras nuevas, y la responsabilidad financiera del consumidor es mucho mayor que $ 50. El robo de identidad médica no es fácil de recuperar.
