 |
| image: ©matejmo | iStock |
A finales de febrero de este año, Change Healthcare, una subsidiaria de la compañÃa de salud global UnitedHealth Group (UHG), sufrió un ciberataque tan catastrófico que el CEO de UHG, Andrew Witty, estimó que la violación de datos afectarÃa aproximadamente a un tercio de los estadounidenses.
Testificando ante el Subcomité de Supervisión e Investigaciones en mayo, Witty dijo a los legisladores que UnitedHealth pagó un rescate de 22 millones de dólares en Bitcoin a los cibercriminales para proteger datos sensibles asociados con más de 100 millones de pacientes.
Además del golpe financiero, el cierre del servidor afectado dejó a muchos médicos temporalmente incapaces de llenar recetas o recibir pagos por sus servicios. Incluso ahora, a pesar de haber pagado el rescate, UHG no puede garantizar que más información de pacientes no será filtrada, admitiendo Witty que “no puede afirmar con certeza” que los hackers no hicieron copias de datos protegidos o personales para subirlos a Internet o la dark web en una fecha posterior.
Desafortunadamente, este caso particular no es exclusivo de EE. UU. o del sector de la salud, sino que está afectando a todas las industrias y regiones. Solo este año en el Reino Unido, por ejemplo, un grupo de ransomware puso aproximadamente tres terabytes de datos robados del NHS Dumfries y Galloway en la dark web, mientras que un ataque cibernético más reciente que impactó a los laboratorios de patologÃa del NHS en hospitales de Londres ha dejado a los médicos de cabecera temiendo retrasos en los resultados de las pruebas y el impacto de las citas hospitalarias canceladas.
Mientras que el ataque a Change Healthcare sirve como un recordatorio contundente de los riesgos y costos asociados con la realización de negocios en la era digital en evolución actual, tanto para empresas, organismos reguladores como aseguradoras, hay varias lecciones positivas que podemos extraer del incidente para avanzar:
Lección 1 – Es necesario mejorar las medidas de ciberseguridad
Los cibercriminales accedieron a Change Healthcare a través de un servidor que no estaba protegido por autenticación multifactor (MFA). Una medida de seguridad común que requiere múltiples formas de identificación para acceder a sistemas o datos, la MFA es una forma relativamente fácil de implementar y rentable para mejorar significativamente la seguridad y reducir el riesgo de acceso no autorizado en caso de que se vean comprometidas las contraseñas. Con esto en mente, los aseguradores y reguladores deben alentar a las empresas a:
- Educar a los usuarios sobre la importancia de la MFA y otras medidas de seguridad, asà como cómo reconocer intentos de phishing e ingenierÃa social sofisticados. Para organizaciones con una fuerza laboral menos experta en tecnologÃa, proporcionar instrucciones claras y apoyo aquà es aún más crucial.
- Asegurar que la MFA sea parte de una estrategia de seguridad más amplia y en múltiples capas que incluya cifrado, cortafuegos robustos, actualizaciones regulares de software, monitoreo de red y auditorÃas de seguridad periódicas para identificar y mitigar proactivamente amenazas potenciales.
- Actualizar y auditar continuamente las medidas de ciberseguridad, no solo para asegurar que no se pase por alto nada, sino para adaptarse a nuevas amenazas y garantizar el cumplimiento de los últimos estándares de seguridad.
- Considerar la MFA adaptativa o basada en riesgos que evalúe el contexto del intento de inicio de sesión (por ejemplo, ubicación, dispositivo, comportamiento) y ajuste los requisitos de autenticación en consecuencia.
Lección 2 – Se debe promover la preparación para la respuesta a incidentes
La representante Cathy McMorris Rodgers, presidenta del Comité de EnergÃa y Comercio de la Cámara de Representantes, dijo que el manejo del ciberataque por parte de UnitedHealth probablemente será “un estudio de caso en gestión de crisis durante décadas”. Este comentario resalta la importancia de tener un plan de respuesta a incidentes cibernéticos (IRP) bien definido para que, en caso de un ciberataque, se establezcan pasos claros que incluyan estrategias de comunicación, consideraciones legales y procedimientos de recuperación. Las empresas que desarrollen y mantengan un IRP integral deben considerar:
- Definir los objetivos, el alcance y los tipos de incidentes que cubre el IRP para asegurar claridad y enfoque.
- Asignar roles y responsabilidades especÃficas dentro del equipo de respuesta a incidentes y mantener información de contacto actualizada para todos los miembros.
- Implementar herramientas para detectar incidentes, establecer canales de reporte y delinear acciones de respuesta inmediata para contener y mitigar impactos.
- Definir estrategias para aislar amenazas, eliminarlas del entorno y restaurar los sistemas a las operaciones normales, incluyendo pruebas exhaustivas.
- Documentar incidentes y lecciones aprendidas, actualizar polÃticas en consecuencia y asegurar entrenamiento y simulaciones regulares para el equipo de respuesta a incidentes para mejorar la preparación.
Lección 3 – Utilizar apoyo y orientación experta
Tras el ataque de ransomware a Change Healthcare, UnitedHealth comenzó a trabajar en estrecha colaboración con las fuerzas del orden y terceros como Palo Alto Networks y Mandiant de Google para evaluar el daño. Pero también vale la pena señalar que hay más recursos disponibles para ayudar a las empresas. Las asociaciones de la industria, las agencias de prevención del crimen y los proveedores de seguros cibernéticos pueden proporcionar a las empresas acceso a orientación experta. Los proveedores de seguros cibernéticos, por ejemplo, pueden ofrecer, además de una red de seguridad financiera, la experiencia de analistas y consultores de ciberseguridad capacitados en el manejo de ciberataques y el proceso de reclamaciones. Estos expertos también pueden ayudar a las vÃctimas a navegar la respuesta a incidentes y la recuperación. La mayorÃa de los proveedores de seguros cibernéticos ofrecen servicios gratuitos de prevención de riesgos, incluyendo evaluaciones de vulnerabilidades, inteligencia sobre amenazas y capacitación en ciberseguridad.
Si bien las exposiciones y pérdidas en el ámbito del riesgo cibernético pueden no cambiar fundamentalmente, los suscriptores, transportistas y, en última instancia, el mercado en general deberán evolucionar para enfrentar esta nueva evolución del riesgo cibernético. Por ejemplo, utilizando un enfoque más holÃstico para la gestión del riesgo cibernético, que incorpore monitoreo continuo y datos en tiempo real para refinar dinámicamente las evaluaciones de riesgo y las ofertas de seguros.
Además, la anticipada introducción de regulaciones más estrictas sobre la recopilación, uso y divulgación de datos personales probablemente dará forma a la elaboración y fijación de precios de las pólizas de seguros cibernéticos, ya que los aseguradores buscarán integrar protecciones para abordar los riesgos y responsabilidades aumentadas. La esencia misma de la suscripción siempre ha sido la adaptación y la capacidad de respuesta a las nuevas dinámicas del mercado (especialmente en el mercado cibernético); por eso el seguro es fundamental para un sistema económico saludable.
Los organismos reguladores también pueden desempeñar un papel crucial en la actualización regular de regulaciones y directrices para mantener el ritmo con las amenazas cibernéticas en evolución y establecer mecanismos para que las empresas proporcionen retroalimentación sobre las medidas regulatorias, asegurando que sean prácticas y efectivas.
Debemos estar mejorando constantemente nuestra ciberseguridad
Para las empresas, es importante recordar que no deben quedarse quietas. El panorama cibernético está evolucionando, no emergiendo, y por lo tanto, el enfoque de las empresas para prepararse, protegerse y recuperarse de un ciberataque también debe evolucionar al mismo ritmo.
Al mantenerse vigilantes y revisando y evaluando continuamente las exposiciones y el lenguaje de las pólizas, juntos, los responsables de polÃticas, aseguradores y empresas pueden comprender, anticipar y mitigar mejor los riesgos en evolución.
Fuente: Open Access Government