¿Por qué los registros de salud son tan valiosos para los ciberdelincuentes?


Proteger los datos en los registros de salud electrónicos no comenzó con el advenimiento de HIPAA - la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 - como mucha gente piensa. Proteger los registros de salud ha sido un requisito crítico en el espacio de la salud desde que las computadoras se convirtieron en un accesorio en los hospitales. Sin embargo, la HIPAA agregó informes públicos de multas emitidas por las entidades cubiertas por no proteger apropiadamente los datos contenidos en los RSE.

Muchas personas asumen que los datos de EHR tienen un valor limitado para usuarios no autorizados. (¿A quién le importan mis resultados de análisis de sangre, o que acabo de visitar a mi dermatólogo?) Entender su valor es bastante sencillo, sin embargo. Además de la información personal de salud, o PHI, los EHRs contienen números de Seguro Social, que nunca caducan - y el uso de SSNs por parte de los ciberdelincuentes no es fácil de detectar.


Sin fecha de vencimiento

Robar EHR es mejor para los ciberdelincuentes que el robo de tarjetas de crédito, que sólo se puede utilizar hasta que expire la tarjeta, se agota o se cancela, según un estudio de Trend Micro publicado el mes pasado.

"... una base de datos de EHR que contiene PII que no caducan -como los números de Seguro Social- puede utilizarse varias veces para fines maliciosos", explica el estudio. "El EHR robado puede utilizarse para adquirir medicamentos recetados, recibir atención médica, falsificar reclamaciones de seguros, presentar declaraciones de impuestos fraudulentas, abrir cuentas de crédito, obtener documentos oficiales emitidos por el gobierno, como pasaportes y licencias de conducir e incluso crear nuevas identidades".

Otra estadística importante que ayuda a explicar por qué los cibercriminales se sienten atraídos por los datos de la EHR es que el 91 por ciento de la población estadounidense tiene seguro de salud. No es de extrañar, entonces, que 113,2 millones de registros relacionados con la atención médica fueron robados en 2015, según Trend Micro.

¿Qué pasa con las leyes federales?

Todo el mundo recuerda firmar docenas de documentos antes de llegar a ver a un médico. Si lee cada documento, encontrará que acordó permitir la protección de su información personal de salud. El Departamento de Salud y Servicios Humanos de los Estados Unidos es responsable de la supervisión de HIPAA.

Bajo HIPAA, todas las entidades cubiertas deben proteger la PHI de maneras muy específicas. Los proveedores de atención médica que son entidades cubiertas incluyen médicos, clínicas, psicólogos, dentistas, quiroprácticos, asilos de ancianos y farmacias, pero sólo si transmiten cualquier información en forma electrónica en relación con una transacción para la cual HHS ha adoptado una norma.

Hay miles de entidades cubiertas por ahí, incluyendo médicos solistas, psicólogos, dentistas y quiroprácticos, todos los cuales tienen el deber de proteger la PHI, pero ¿cómo los pequeños profesionales que no pueden pagar adecuadamente la infraestructura de TI protegen la PHI?

Pequeñas entidades cubiertas contratar a una empresa para ayudar, que HIPAA se refiere a un "socio de negocios". Bajo HIPAA, cada asociado de negocios debe firmar un acuerdo con la entidad cubierta para proteger PHI, apropiadamente denominado un "acuerdo de asociado de negocios", o BAA.

Bajo la Regla de Privacidad de HIPAA, un BAA "permite que los proveedores y planes de salud cubiertos divulguen información de salud protegida a estos" socios comerciales "si los proveedores o planes obtienen garantías satisfactorias de que el asociado de negocios usará la información sólo para los propósitos para los cuales fue Contratado por la entidad cubierta, salvaguardará la información del mal uso y ayudará a la entidad cubierta a cumplir con algunas de las obligaciones de la entidad cubierta bajo la Regla de Privacidad ".

El HHS ofrece una muestra de BAA que explica la responsabilidad potencial del asociado de negocios bajo HIPAA:
"Un asociado de negocios es directamente responsable bajo las Reglas de HIPAA y está sujeto a sanciones civiles y, en algunos casos, criminales por hacer usos y divulgaciones de información de salud protegida que no están autorizadas por su contrato o requeridas por la ley. Responsable y sujeto a sanciones civiles por no proteger la información de salud protegida electrónica de acuerdo con la Regla de Seguridad de HIPAA ".
Dada la responsabilidad potencial, todas las entidades cubiertas y socios de negocios utilizan esfuerzos extraordinarios para proteger PHI y EHRs.
¿Quién protege los DSE?

La Oficina de Derechos Civiles del HHS investiga "los derechos civiles, la privacidad de la información de salud y las quejas de confidencialidad de la seguridad del paciente para identificar la discriminación o violación de la ley y tomar medidas para corregir los problemas".

El OCR frecuentemente informa de entidades cubiertas que no protegen adecuadamente la PHI, y esas entidades son multadas en consecuencia.

Varios estados, incluyendo Texas, Nueva York y Ohio, han creado sus propias leyes para proteger la PHI. Texas en 2011 aprobó la Ley de la Cámara 300, que "impone requisitos más estrictos en la privacidad de la salud de los pacientes que los requeridos por la HIPAA y también amplía la definición de entidades cubiertas para incluir a aquellos que poseen, obtienen, ensamblan, recogen, analizan, , O transmitir información de salud protegida ".

Dado su inmenso valor a largo plazo, los cibercriminales probablemente se enfocarán en las bases de datos de PHI y EHR por años, por lo que es responsabilidad de todas las entidades cubiertas y socios comerciales hacer de la seguridad de esta información una prioridad absoluta y hacer todo lo posible para proteger su PHI y bases de datos de EHR.

Publicar un comentario

Artículo Anterior Artículo Siguiente