Violación de datos de MediSecure: ¿Por qué los datos de salud son tan lucrativos para los piratas informáticos?

Lo último ataque de ransomware a gran escala La semana pasada se reveló un informe sobre un proveedor de tecnología sanitaria, la empresa de recetas electrónicas MediSecure.

MediSecure Anunciado había sufrido un «incidente de ciberseguridad» que afectó a la información personal y de salud de las personas. Los detalles del ataque son escasos. Nos han dicho que provino de un «proveedor externo», lo que significa una empresa que brinda servicios a otra empresa.

En sentido general, los ataques de ransomware ocurren cuando un pirata informático obtiene acceso a un sistema, infecta y bloquea archivosy luego exige un rescate, generalmente en criptomonedas, por su liberación.

Agencias gubernamentales incluyendo el Coordinador Nacional de Seguridad Cibernética y policía federal australiana están investigando el incidente.

El cibercrimen es un gran negocio, generando enormes ganancias. Este último incidente arroja luz sobre la vulnerabilidad de los datos de salud específicamente.

¿Qué son las recetas electrónicas?

La receta electrónica funciona enviando recetas a un intercambio digital, esencialmente una base de datos segura de información sobre recetas. Desde allí, los pacientes controlan qué farmacia puede acceder a élmostrando al personal de la farmacia un token, como un código QR o un código de barras.

Recetas electrónicas contener información personal como el nombre de las personas, la dirección, la fecha de nacimiento y el número de Medicare. Incluyen detalles sobre los medicamentos recetados, así como el nombre, la dirección y otra información del prescriptor.

La Agencia de Salud Digital (una agencia del gobierno australiano) informes que en los últimos cuatro años, más de 80.000 médicos han emitido más de 189 millones de recetas electrónicas.

Hasta finales de 2023, MediSecure era uno de los dos servicios nacionales de prescripción electrónica, que entregaba recetas de proveedores de atención médica a farmacias.

El año pasado, MediSecure fue pasado por alto en un proceso de licitación gubernamental para designar un único proveedor nacional de recetas electrónicas. En aquel momento, MediSecure celebró más de 28 millones de guiones.

MediSecure ha notado que el incidente se relaciona con los datos almacenados en sus sistemas. hasta noviembre de 2023.

Si bien no está claro quién se ha visto afectado por esta infracción, el grupo potencial de pacientes y prescriptores involucrados es grande.

Una tendencia preocupante

Este incidente, que se produce menos de dos años después de la ampliamente publicitada Hackear Medibankes alarmante pero lamentablemente no sorprendente.

La atención médica se está digitalizando rápidamente, con innovaciones como registros médicos electrónicos accesibles para los pacientes, monitoreo remoto y dispositivos portátiles. Estos avances pueden hacer que la atención sanitaria sea más eficiente y eficaz. Mejoran el acceso de las personas a la atención y significan que la información (como las recetas) está disponible donde y cuando se necesita.

En parte debido a la escala de los datos de salud digitales, las violaciones son muy comunes. La Oficina del Comisionado de Información de Australia informa habitualmente que servicios de salud sufren la mayor cantidad de infracciones que cualquier sector, principalmente a través de ataques maliciosos o criminales.

¿Por qué los datos de salud son tan lucrativos?

Los datos de salud son muy atractivos para los piratas informáticos debido a su volumen y a la facilidad de acceso a través de vulnerabilidades del sistema. La histórica falta de inversión en seguridad de TI en el sector, la falta de personal y el personal sobrecargado (lo que lleva a errores humanos) y una alta conectividad, todos contribuyen a este riesgo.

Los datos de salud también son fáciles de rescatar debido al valor que los pacientes, los médicos y las organizaciones de salud otorgan a mantenerlos privados. Nadie quiere que se repita lo Ataque de ransomware Medibankdonde se publicó en línea la información de salud más sensible de los australianos, como el tratamiento farmacológico o los detalles de la interrupción del embarazo.

Más allá de descubrir cómo ocurrió el ataque a MediSecure, los pacientes quieren saber cómo protegerse de cualquier daño. En la actualidad parece demasiado pronto para decir. El consejo inicial del gobierno es que no se requiere ninguna acción.

Desafortunadamente, las medidas habituales que utilizamos para protegernos contra ataques de datos financieros y de identidad no funcionan para los datos de salud. No podemos cambiar nuestra receta u otro historial médico como podríamos cambiar nuestras contraseñas, obtener una nueva licencia de conducir o examinar nuestros extractos bancarios en busca de fraude.

Si se divulga el historial de medicación de alguien, puede indicar cosas sobre su estado de salud, como enfermedades mentales, transición de género, tratamiento de fertilidad o atención para la adicción a las drogas y al alcohol. No se puede hacer mucho para detener la angustia personal y la estigmatización que pueden seguir. La gente puede ser chantajeado a través de esta información, o sufrir daños como la discriminación.

Notificación de violación de datos es un requisito legal para que las organizaciones informen a las personas sobre violaciones que afecten a sus datos. Se promocionó como una solución al problema de la piratería cuando se introdujeron leyes en Australia en 2018, pero no ayuda mucho a las personas afectadas en esta situación. Ser informado de que su receta para un medicamento para la ansiedad o un tratamiento para la obesidad ahora es de conocimiento público podría simplemente causar mayor angustia.

¿Dónde reside la responsabilidad?

La piratería es una gran amenaza para las organizaciones que poseen datos de salud, y la responsabilidad de protegerse contra ella debe recaer en gran medida en ellas. Todos deben contar con protecciones rigurosas de ciberseguridad, la capacidad de responder rápidamente cuando se producen ataques y medidas de resiliencia, como copias de seguridad para restaurar los sistemas rápidamente.

Los pacientes ahora están tomando medidas contra las empresas que no protegen sus datos. En el caso de Medibank, los clientes afectados han iniciado varias demandas colectivas ante el regulador nacional de privacidad y bajo australiano derecho corporativo y del consumidor.

La introducción de un derecho a demandar por violaciones graves de la privacidad en virtud de una Ley de privacidad modificada Es un cambio importante e inminente. Significaría que las personas cuyas recetas y otra información de salud sensible fueron pirateadas podrían demandar a las empresas violadas por daños y perjuicios.

Las empresas que enfrentan mayores amenazas cibernéticas, un mayor escrutinio regulatorio y reclamos legales por parte de aquellos cuyos datos han sido violados se encuentran en una situación difícil. Pero también lo hacen los pacientes, que observan las noticias sobre el ataque a MediSecure, esperando saber qué información sobre su salud pronto estará disponible para el público.

Este artículo se republica desde La conversación bajo una licencia Creative Commons. Leer el artículo original.