El ransomware provoca semanas, meses de inactividad de TI

Los hospitales se han visto afectados por ataques masivos de ransomware en los últimos años, lo que restringe el acceso a los sistemas de datos de los pacientes y obliga al personal a los llamados “procedimientos de tiempo de inactividad”.

Pero muchos hospitales no han planificado adecuadamente el tiempo de inactividad del sistema, utilizando planes de respuesta a incidentes creados para otros desastres que no capturan el alcance del ransomware, dicen los expertos.

El ransomware encripta los archivos de la computadora de la víctima y solo los libera a cambio de un pago. En los hospitales, eso puede significar que los sistemas de tecnología de la información, como los registros de salud electrónicos, la programación e incluso los sistemas telefónicos, dejan de estar disponibles. Los médicos, las enfermeras y otro personal clínico tienen que pasar a las historias clínicas en papel y es posible que no tengan práctica o que no hayan sido capacitados en ese proceso.

“La interrupción es tremenda”, dijo el Dr. Christian Dameff, médico de urgencias y director médico de ciberseguridad en UC San Diego Health.

Los sistemas de salud generalmente crean planes de desastre para el tiempo de inactividad de TI esperando que una cantidad limitada de sistemas afectados vuelvan a estar en línea en horas, según los expertos. Muchos planes se desarrollaron originalmente para abordar problemas como fallas técnicas o tormentas que cortan temporalmente la energía.

Sin embargo, los ataques cibernéticos pueden derribar numerosos sistemas durante semanas o incluso meses.

“No son razonables los plazos que tienen en estos planes”, dijo Heath Renfrow, cofundador de Fenix24, una empresa que brinda servicios de recuperación ante desastres. “24 horas, 12 horas u 8 horas para que estos sistemas vuelvan a estar en línea; eso no se puede lograr cuando todo el entorno está encriptado”.

Un ataque de ransomware el año pasado llevó a una empresa con sede en San Diego Salud de Scripps para desconectar una parte de su red, interrumpiendo el acceso al EHR y otras aplicaciones durante aproximadamente un mes. Los ataques cibernéticos en 2020 derribaron los sistemas de TI durante semanas en Burlington, con sede en Vermont Centro Médico de la Universidad de Vermont y King of Prussia, con sede en Pensilvania Servicios de salud universales.

Más recientemente, con sede en Dallas Principio de la salud informó que un “incidente de ciberseguridad” en abril llevó a suspender el acceso a las aplicaciones informáticas en algunos hospitales.

Una enfermera que trabaja en el Hospital Regional de Fountain Valley (California) de Tenet Healthcare, que solicitó que no se publicara su nombre, dijo que pronto se dio cuenta de que su unidad no tenía suficientes gráficos en papel preimpresos para cubrir el tiempo de inactividad prolongado, por lo que hizo copias para su unidad y otros.

Los gráficos deben ser precisos para que las enfermeras sepan qué medicamentos han recibido los pacientes y otra información.

Pero muchas enfermeras no se habían colegiado en papel antes, especialmente las enfermeras más nuevas y las recién graduadas, dijo.

“Tengo todo este piso de enfermeras nuevas que no saben… cómo hacer un historial en papel”, dijo la enfermera. “Inmediatamente tuve que dictar un curso sobre ‘Bien, chicos, así es como trazan un gráfico en papel'”.

Si bien anteriormente había trabajado con gráficos de papel, había pasado más de una década desde la última vez que los usó.

“Me mostró cuánto la atención médica se ha vuelto dependiente de la tecnología”, dijo.

Tenet Healthcare no respondió a una solicitud de comentarios sobre el incidente.

El tiempo de inactividad le cuesta a los grandes hospitales un estimado de $21,500 por hora, según un encuesta del personal biomédico y de seguridad de la información publicado el año pasado por Philips y la empresa de ciberseguridad CyberMDX. Los encuestados de hospitales medianos informaron que el tiempo de inactividad cuesta $ 45,700 por hora.

University of Vermont Health Network acumuló $ 54 millones en costos de un ataque de ransomware en un centro médico en 2020. La mayoría de esos costos provinieron de la pérdida de ingresos de los pacientes. El Centro Médico de la Universidad de Vermont suspendió el acceso a casi toda la TI, incluso el EHR y otros sistemas que no habían sido infectados, para evitar la propagación del ransomware.

El sistema de salud no pagó el rescate de los hackers.

Los sistemas EHR y de imágenes de la red se restauraron después de aproximadamente tres semanas, y otras aplicaciones se recuperaron durante los meses siguientes, dijo el Dr. Doug Gentile, vicepresidente senior de TI.

Una vez que los sistemas volvieron a estar en línea, el personal tuvo que ingresar manualmente los datos del paciente que se habían registrado en papel en el EHR.

El personal también tuvo que ingresar la información de facturación en los sistemas electrónicos, y tomó meses cobrar por la atención brindada durante el tiempo de inactividad, según Gentile.

“El poste más largo de la carpa, por así decirlo, para este proyecto estaba haciendo todo ese relleno”, dijo.

Los historiales médicos, las imágenes y otra información de los pacientes se guardan en sistemas electrónicos a los que los médicos probablemente no podrán acceder durante el tiempo de inactividad, y muchos flujos de trabajo, como la prescripción electrónica, en la que las recetas de un paciente se envían directamente a la farmacia, también están digitalizados. .

Es posible que los médicos y enfermeras más nuevos no tengan experiencia en la documentación de las notas de los pacientes o en la prescripción en papel, y pueden ser acusados ​​de utilizar el apoyo a la toma de decisiones clínicas y otras indicaciones dentro de los sistemas electrónicos.

“Esa dependencia está creciendo a medida que digitalizamos más y más sistemas”, dijo Dameff.

Aunque los hospitales planifican protocolos de tiempo de inactividad para ataques cibernéticos, los procedimientos son raramente practicado.

Muchos hospitales utilizan el tiempo de inactividad planificado, como cuando una organización está actualizando su EHR, como práctica, dijo Ethan Larsen, ingeniero de factores humanos en el departamento de radiología del Children’s Hospital of Philadelphia que ha estudiado el tiempo de inactividad de EHR. Pero ese tiempo de inactividad programado tiende a ocurrir cuando un hospital espera un bajo volumen de pacientes, a menudo durante un par de horas los fines de semana.

El personal también tiene la oportunidad de completar las tareas por adelantado o esperar hasta que sepan que el tiempo de inactividad planificado habrá terminado.

“(No) afecta lo suficiente al personal para que esté listo para manejar esos eventos”, dijo Larsen. Larsen agregó que no ha visto ejemplos de daños al paciente atribuidos al tiempo de inactividad de EHR en las situaciones que ha estudiado, pero que la preparación y la capacitación podrían mejorarse, especialmente a medida que los ataques cibernéticos masivos continúan afectando a los hospitales.

ECRI nombrada los ataques cibernéticos son el peligro tecnológico principal para la seguridad del paciente este año, y se señala que los ataques que derriban los sistemas de TI pueden conducir a retrasos en la atención y desviar los vehículos de emergencia a instalaciones más lejanas.

Los hospitales deben establecer un plan de desastres que sea específico para los ataques cibernéticos, teniendo en cuenta los comentarios de los médicos de primera línea que entienden mejor el flujo de trabajo, dijo Larsen. Describió esto como un enfoque “de abajo hacia arriba” para la planificación de contingencias, que prioriza la participación de los trabajadores de primera línea, mientras que la mayoría de los planes actuales se desarrollan utilizando un enfoque “de arriba hacia abajo”.

Involucrar a los médicos también puede ayudar a garantizar que los planes para responder a los ataques cibernéticos se mantengan actualizados, dijo Juuso Leinonen, ingeniero principal de proyectos en el grupo de evaluación de dispositivos de ECRI.

“Ese es uno de los desafíos que hemos escuchado de algunos de nuestros hospitales miembros: ‘Técnicamente teníamos un plan de respuesta a incidentes, pero no reflejaba exactamente cómo se brinda la atención en nuestra organización hoy'”, dijo Leinonen. “Es posible que hayan construido uno hace un tiempo, y no necesariamente se ha desempolvado hasta que ocurre el incidente”.

Los hospitales agregan constantemente nuevas tecnologías y herramientas digitales, por lo que es fundamental asegurarse de que esos sistemas se reconozcan en un plan de respuesta a incidentes.

Una cosa es tener un plan, pero otra cosa es realmente probarlo con el personal, dijo Dameff. Las pruebas van más allá de los ejercicios teóricos, en los que los miembros del personal analizan y analizan sus responsabilidades en caso de emergencia, e incluyen practicar el plan volviendo al tiempo de inactividad y asegurando que el plan capte cómo un ataque cibernético afectaría el trabajo de los médicos.

También es necesario un plan de comunicación. para alertar al personal sobre un cambio en los protocolos de tiempo de inactividad, incluso si no afecta directamente a su departamento. Eso es particularmente cierto si se ven afectados servicios como laboratorio, radiología y farmacia, donde los médicos podrían continuar enviando órdenes, sin comprender que el servicio se ha trasladado a papel y es trabajando más despaciodijo Larsen.

Es difícil encontrar tiempo para practicar protocolos de tiempo de inactividad, dijo Renfrow de Fenix24, quien anteriormente se desempeñó como director de seguridad de la información en US Army Healthcare. Los médicos y las enfermeras ya están lo suficientemente ocupados y volver a los gráficos en papel agrega otra tarea que probablemente reducirá la cantidad de pacientes que pueden ver en un día.

En Army Healthcare, ocasionalmente los médicos veían a pacientes con historiales en papel y sin sistemas de TI para practicar, incluso si eso significaba que verían a menos pacientes.

Al personal clínico no le gustaba hacer esos ejercicios, reconoció Renfrow, pero aún cree que es útil.

No hay suficiente investigación sobre las mejores prácticas para la preparación para ataques cibernéticos, dijo Dameff, pero sugirió adoptar un enfoque mesurado para probar los procedimientos de tiempo de inactividad. Es importante practicar, pero una organización no quiere causar inadvertidamente problemas de seguridad del paciente quitando sistemas de TI útiles innecesariamente y preparándose “con demasiada frecuencia o de manera demasiado agresiva”.

“Puede ser disruptivo, pero es una preparación importante”, dijo Dameff. “Puedes tener los mejores planes del mundo, pero si nunca los pruebas, no sabes si realmente funcionarán”.

Leave a Comment

Your email address will not be published.