Seguridad en salud: un desafío insalvable
La compraventa de datos sanitarios en el mercado negro, según apuntan distintas informaciones especializadas, se disputa el primer lugar del volumen de negocio con los datos bancarios y los personales o de identidad en redes sociales.
La compraventa de datos sanitarios en el mercado negro, según apuntan distintas informaciones especializadas, se disputa el primer lugar del volumen de negocio con los datos bancarios y los personales o de identidad en redes sociales. IBM asegura que en 2015 se produjo el robo de más de 112 millones de registros sanitarios, siendo la esta industria la que más ataques sufrió ese año.
A la vez, otro informe titulado “El Estado de la Ciberseguridad” publicado en febrero de 2016 por el Instituto Ponemon de Michigan asegura que, en promedio, todas las organizaciones que participan en la investigación han sufrido casi un ataque al mes en los últimos 12 meses. Casi la mitad (48%) de los encuestados reconoce que su organización experimentó un incidente que supuso la pérdida o exposición de información de sus pacientes durante ese año y el 26% de los encuestados no supo qué responder.
Al parecer, el gran interés lucrativo de estos datos, sumado a las deficiencias del sector sanitario en materia de Ciberseguridad, constituyen para los rateros 4.0 un atractivo botín al que echar el guante. Dado que la información es un bien estratégico, se entiende que su protección lo será de igual forma para las organizaciones y las personas que confían en ellas presuponiéndoles un nivel de garantía óptima en su utilización y custodia. De tal manera, no resultaría extraño esperar que la Ciberseguridad se asuma entre las responsabilidades de los altos ejecutivos. No obstante, como revela el informe “Haciendo frente al Desafío del Ciber Riesgo” realizado por la aseguradora Lloyd’s, si bien el 59% de los CEOs de las compañías sanitarias la asumen, un número importante subestima el impacto potencial de un ciberataque, mostrando preocupación por ello únicamente un 32%., es decir, un 68% no muestran preocupación por el mismo.
Resulta cuanto menos llamativo, teniendo en cuenta que, como apunta el mismo estudio, el 96% de las empresas del sector sanitario ha sufrido algún tipo de ciberataque en los últimos cinco años. No es ninguna revelación, que este tipo de delincuencia aumenta tanto en sofisticación, como en número de incidentes y el sector sanitario no es ajeno a esta realidad. Ello lo constata el último informe publicado por Intel Security y el Consejo Atlántico sobre los riesgos de ciberataques, señalando que alrededor del 44% de todas las violaciones de datos registrados en 2013 tuvieron lugar en las empresas médicas, aumentando entre 2013 y 2014 en un 60%.
Por su parte, tal y como han manifestado en declaraciones públicas proveedores del sector de la Ciberseguridad, en su opinión, el sector sanitario (tanto centros sanitarios como empresas: laboratorios o aseguradoras) no está invirtiendo lo suficiente para proteger su información (entre ella, la de sus pacientes).
Un matiz muy importante, además, es que los propietarios de los datos de salud somos los propios ciudadanos y cuando se produce un “robo” de esta información, se está produciendo un “robo”, no solo a las instituciones, organizaciones o empresas que custodian estos datos, sino a las propias personas.
Foto de situación
Siendo los datos sanitarios especialmente sensibles, hay pocos estudios que detallen el alcance y características de los robos de información en este sector, según constata el informe “Infracciones de información médica protegida en los Estados Unidos”, realizado por los doctores Vincent Liu, de la división de Investigación de Kaiser; Mark Musen y Timothy Chou, del Centro de Investigación de Informática Biomédica de Stanford y la Universidad de Informática de Stanford respectivamente.
Publicado en abril de 2015, el documento ofrece datos en los que se evidencia el aumento, de manera sostenida, de las denuncias de los médicos y aseguradoras por el robo de los datos de salud de sus pacientes. Entre el 2010 y 2013, más de veintinueve millones de historias clínicas sufrieron algún robo en sus datos. Algo más de la mitad de ellos se produjeron por la sustracción o la pérdida de ordenadores personales, memorias y documentos impresos.
La fuente con la que se trabajó para llegar a estas conclusiones fue una base de datos on line mantenida por el Departamento de Salud y Servicios Humanos de los Estados Unidos. Ésta describe las infracciones de datos de información de salud protegida sin cifrar (información identificable individualmente) reportadas por entidades (aseguradoras y clínicas) cubiertas por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
Los investigadores pudieron trabajar con este material de libre acceso gracias a la Ley de Tecnologías de la Información de la Salud para la Salud Económica y Clínica de 2009, que obliga la notificación de las infracciones que impliquen la adquisición, el acceso, el uso o la divulgación de información médica protegida, y que supongan por tanto un riesgo significativo para las personas afectadas.
Legislación de aplicación
Si bien los hospitales y las mutuas de salud no deberían por qué ser más vulnerables que los bancos y entidades gubernamentales, a la vista de todo lo expuesto, parece que no todas las empresas del sector sanitario son conscientes de la magnitud de los problemas que acarrean la sustracción de sus datos. Cuando los ciberataques contra las organizaciones sanitarias cada vez son más frecuentes y complejos, no debería discutirse la necesidad del “blindaje” de sus datos, a la vez que la inclusión del desarrollo de su estrategia de Ciberseguridad en sus Consejos de Gobierno. El mal uso de la información de salud y la ausencia de estrategia para protegerla, no sólo pone en riesgo esta información confidencial y sensible, si no también podría arriesgar la vida de los pacientes.
Con la entrada en vigor del nuevo marco europeo de protección de datos, y más concretamente con el Reglamento Europeo de Protección de Datos, los ciudadanos europeos tendrán un mejor control de sus datos personales. Así, “los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento”. Ello incluye “el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas”.
Hasta el 25 de mayo de 2018 las organizaciones que gestionen datos de los ciudadanos europeos podrán “poner a punto” sus sistemas de seguridad de la información, porque de ser víctimas de ataques de ciberladrones, tendrán que informar en el plazo de 72 horas, pudiéndose enfrentar a multas de hasta veinte millones de euros. Aún con todo, hay informaciones que aseguran que, el 53% de los líderes de empresas del sector sanitario, admiten no comprender por completo las potenciales implicaciones del RGPD para sus compañías.
Mis datos de salud
Si lo deseable sería no llegar al extremo de que alguna organización sufra una multa importante para que el sector “se ponga las pilas”, una vez entrada la primavera de 2018, se podrá ir viendo la respuesta. Con una política de transparencia sobre ciberrobos, como la que permite al Departamento de Salud y Servicios Humanos de los Estados Unidos ofrecer detalles de las infracciones cometidas sobre datos de información de salud, es posible realizar informes y estudios que denuncien actuaciones negligentes por parte de las organizaciones y obliguen a preservar la información de aquello que es lo más valioso para las personas, su salud.
La política de transparencia que se ha impulsado recientemente en España ha cubierto un primer estadio en cuanto a brindar información al ciudadano del destino de sus impuestos. Parecería un buen momento para ser más ambicioso y poner a su disposición datos tales como el coste el coste de una intervención quirúrgica, el precio “total” de un tratamiento, la inversión que se realiza en custodiar sus datos de salud o los robos de información de salud de los que han sido objeto, entre otras cosas. Con ello, además de poner en valor el sistema sanitario del que disfrutamos, esta medida de transparencia serviría para crear estado de opinión sobre los potenciales riesgos en los que pueden incurrir las organizaciones sanitarias de no custodiar debidamente su información.
El “empoderamiento” de los pacientes no tiene por qué circunscribirse a facilitar información sobre su salud, sino también y entre otras cosas, a permitirle conocer cómo se custodia y cuáles son las organizaciones con mejores políticas de seguridad para protegerla, ya que como hemos comentado anteriormente, los datos de salud, son propiedad de los ciudadanos. Si al comprar un vehículo contemplamos como una de las principales prestaciones la seguridad, ¿no deberíamos hacer lo mismo al contratar un seguro médico o elegir un hospital de referencia? Si apartaran nuestro CV al montón de los desestimados porque la empresa conociera mis bajas de los últimos dos años; si al solicitar un préstamos bancario la entidad lo denegara por considerarme débil de salud para poder afrontar los pagos; o si mi seguro de salud me subiera la prima por conocer que llevo el gen B27+ por el que se me podría desencadenar una artritis reumatoide ¿no me preocuparía por la seguridad de mis datos de salud?
Este artículo ha sido escrito por Carlos Royo, director de salud de GMV Secure e-Solutions y Maole Cerezo, asesora de comunicación y márketing de GMV Secure e-Solutions.
