Ransomware, violaciones de datos en hospitales vinculados a Uptick

Los hospitales que han sido afectados por una violación de datos o un ataque de ransomware pueden esperar ver un aumento en la tasa de mortalidad entre los pacientes cardíacos en los siguientes meses o años debido a los esfuerzos de remediación de seguridad cibernética, postula un nuevo estudio. Los expertos de la industria de la salud dicen que los hallazgos deberían impulsar una revisión más amplia de cómo la seguridad, o la falta de ella, puede estar afectando los resultados de los pacientes.

Investigadores en Universidad VanderbiltOwen Graduate Faculty of Management tomó el Departamento de Salud y Servicios Humanos (HHS) de infracciones de datos de atención médica y la usó para profundizar en datos sobre tasas de mortalidad de pacientes en más de 3,000 hospitales certificados por Medicare, de los cuales alrededor del 10 por ciento había experimentado una violación de datos.

Como PBS señaló en su cobertura del estudio de Vanderbilt, luego de que se produjeran violaciones de datos de hasta 36 muertes adicionales por cada 10,000 ataques al corazón ocurridos anualmente en los cientos de hospitales examinados.

Los investigadores encontraron que para los centros de atención que experimentaron una violación, les tomó 2.7 minutos adicionales a los pacientes sospechosos de ataque cardíaco recibir un electrocardiograma.

«Los esfuerzos de remediación de incumplimiento se asociaron con un deterioro en la puntualidad de la atención y los resultados de los pacientes», encontraron los autores. «La actividad de remediación puede introducir cambios que retrasan, complican o interrumpen los procesos de atención médica y de atención médica del paciente».

Leo Scanlon, ex subdirector de seguridad de la información en el HHS, dijo que los hallazgos en este informe prácticamente piden que se realice un estudio related en el Reino Unido, cuyo sistema de salud fue particularmente interrumpido por el virus Wannacry, un contagio world en mayo de 2017 que se extendió a través de una vulnerabilidad de Microsoft Windows prevalente en los sistemas de salud más antiguos.

«La explotación de las vulnerabilidades de ciberseguridad está matando gente», dijo Scanlon a KrebsOnSecurity. “Hay muchas investigaciones posibles que podrían ser desencadenadas por este estudio. Creo que nada menos que una investigación del Congreso le dará al sujeto la atención que merece «.

UNA put up-mortem sobre el impacto de WannaCry descubrió que el brote le costó a los hospitales del Reino Unido casi $ 100 millones de libras y causó una interrupción significativa en la atención al paciente, como la cancelación de unas 19,000 citas, incluidas las operaciones, y la interrupción de los sistemas de TI por al menos un tercio de todos Servicio Nacional de Salud del Reino Unido (NHS) hospitales y el ocho por ciento de los médicos generales. En varios casos, los hospitales en el Reino Unido se vieron obligados a desviar a los visitantes de la sala de emergencias a otros hospitales.

Pero lo que aún no se sabe es cómo Wannacry afectó las tasas de mortalidad entre los pacientes con ataque cardíaco y accidente cerebrovascular cuyas ambulancias fueron desviadas a otros hospitales debido a interrupciones del sistema de TI relacionadas con el malware. O cuántos hospitales y prácticas experimentaron demoras en la recuperación de los resultados de las pruebas necesarias para tomar decisiones críticas de atención médica.

Scanlon dijo que a lo largo de los años ha preguntado un poco para ver si algún investigador ha asumido el desafío de averiguarlo, y que hasta ahora no ha encontrado a nadie haciendo ese análisis.

«Un colega que está familiarizado con los conjuntos de datos de atención médica a gran escala me dijo que a menos que esté asociado con una institución de investigación, sería casi imposible extraer ese tipo de datos de las instituciones que lo tienen», dijo Scanlon. «El problema es que estos datos son difíciles de encontrar, a nadie le gusta admitir que la muerte puede ser atribuible a una causa no normal como esta, y por lo demás las instituciones que tienen los hechos lo consideran sensible a un nivel muy alto y privado». »

Un estudio publicado en la edición de abril de 2017 de El diario Nueva Inglaterra de medicina Parece que valdría la pena llevar a cabo la aplicación del enfoque utilizado por los investigadores de Vanderbilt para medir los resultados de los pacientes en los hospitales del Reino Unido a raíz de Wannacry.

En el estudio NEJM, los datos de morbilidad y mortalidad se usaron para mostrar que hay un impacto medible cuando las ambulancias y los equipos de respuesta a emergencias son retirados del servicio usual y redirigidos al modo de espera durante eventos públicos como maratones y otros objetivos potenciales de terrorismo.

El estudio encontró que «los beneficiarios de Medicare que ingresaron en hospitales afectados por el maratón con infarto agudo de miocardio o paro cardíaco en fechas de maratón tuvieron tiempos de transporte en ambulancia más largos antes del mediodía (4,4 minutos más) y una mortalidad mayor de 30 días que los beneficiarios que fueron hospitalizados sin maratón fechas.»

«Varios colegas y yo estamos convencidos de que se puede mostrar lo mismo sobre WannaCry, a gran escala y también a pequeña escala cuando los ataques de ransomware impactan en un hospital regional», dijo Scanlon.

En noviembre de 2018, tuve el honor de dar la nota clave en una conferencia celebrada por el Centro de análisis e intercambio de información de salud (H-ISAC), una organización sin fines de lucro que promueve el intercambio de información sobre amenazas cibernéticas y las mejores prácticas en el sector de la salud.

En las semanas previas a ese discurso, entrevisté a más de una docena de expertos en seguridad de la salud para averiguar qué era lo más importante para estas personas. Increíblemente, una respuesta que escuché de múltiples expertos de la industria de la salud fue que actualmente no hay datos disponibles para respaldar el hallazgo de un resultado negativo para el paciente como resultado de un ataque o vulnerabilidad de ciberseguridad.

Mientras seguía hablando con expertos, se me ocurrió que si las personas inteligentes en esta industria podían decir algo así con una cara seria, probablemente era porque no mucha gente buscaba demasiado evidencia para lo contrario.

Con este estudio de Vanderbilt, eso ya no es cierto.

Una copia del nuevo estudio está disponible. aquí (PDF)


Etiquetas: Departamento de Salud y Servicios Humanos, HHS, Leo Scanlon, Owen Graduate Faculty of Management, PBS, The New England Journal of Drugs, Vanderbilt University, WannaCry

Esta entrada se publicó el jueves 7 de noviembre de 2019 a las 2:48 p.m. y se archiva bajo A Very little Sunshine, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.

Resource connection