Dos ataques cibernéticos han puesto de relieve la vulnerabilidad de los sistemas de salud digitales de Nueva Zelanda y las grandes cantidades de datos de pacientes de los que dependemos para protegerlos.
Después del hackeo de Manage My Health que comprometió los datos de aproximadamente 127.000 pacientes, y una violación anterior en Canopy Health, un público preocupado se pregunta cómo sucedió y quién es el responsable.
Sin embargo, la pregunta más apremiante es si esto puede volver a suceder.
Lo que sabemos hasta ahora
Manage My Health (MMH), un portal para pacientes utilizado por muchos consultorios generales para compartir resultados de pruebas, recetas y mensajes, publicó su primer aviso público sobre un incidente de ciberseguridad el día de Año Nuevo.
Según sus propios datos, la empresa tuvo conocimiento del acceso no autorizado el 30 de diciembre tras una advertencia de un socio. Afirma que se llamó inmediatamente a especialistas independientes en ciberseguridad y que el compromiso se limitó al módulo “Documentos de salud/Mis documentos de salud”.
La Oficina del Comisionado de Privacidad confirmó la notificación el 1 de enero y luego publicó una guía para los afectados. El Centro Nacional de Ciberseguridad también emitió un aviso de incidente.
Desde entonces, MMH ha obtenido medidas cautelares urgentes de la Corte Suprema que prohíben el uso o la publicación de los datos recopilados. En su decisión, el tribunal describió patrones de actividad consistentes con la automatización, incluido un comportamiento inusualmente alto e intentos repetidos de acceso.
Si bien esto proporciona una idea de cómo procedió el hacker, no revela qué control técnico específico falló ni quién es la responsabilidad final.
Ahora también nos hemos enterado de que un segundo proveedor, Canopy Health, experimentó acceso no autorizado a partes de sus sistemas administrativos hace seis meses y algunos pacientes fueron notificados tan recientemente como esta semana.
Por qué es importante el encuadre
Cuando se roban datos sanitarios a gran escala, puede resultar tentador llamarlo “ciberterrorismo”. Sin embargo, este término tiene un significado específico y controvertido.
La definición frecuentemente citada de la experta en seguridad Dorothy Denning limita el ciberterrorismo a ataques diseñados para coaccionar o intimidar objetivos políticos y que causan daños graves, no sólo incursiones con motivación financiera o robos de datos a gran escala. Según este estándar, el incidente de MMH no califica claramente.
¿Por qué es importante la etiqueta? Porque la forma en que se presentan las violaciones moldea la reacción.
Calificar un incidente de “ciberterror” puede priorizar la velocidad sobre la evidencia y la tranquilidad dramática sobre el diagnóstico cuidadoso. También puede fomentar lo que los críticos llaman “teatro de seguridad”: medidas visibles pero mal orientadas que parecen cruciales sin necesariamente reducir el riesgo.
La investigación de políticas sobre amenazas cibernéticas muestra que las narrativas de amenazas influyen en qué problemas se promueven, qué soluciones se priorizan y qué cuestiones se ignoran en última instancia.
Hasta ahora la respuesta del gobierno se ha centrado en encargar una revisión. Al hacer el anuncio, el Ministro de Salud, Simeon Brown, describió a MMH como un portal privado utilizado por algunos médicos de cabecera y pidió al Ministerio de Salud que revise la respuesta de MMH y Health New Zealand.
Este enfoque tiene sentido desde una perspectiva administrativa. Pero también crea un problema inmediato de transparencia.
Cuando las agencias gubernamentales son parte de la respuesta del sistema, una revisión dirigida por un ministerio puede parecer como “marcarnos nuestra propia tarea”, a menos que se establezcan explícitamente la orientación y la independencia.
La revisión requiere, como mínimo, una metodología transparente, un límite claro entre hechos y supuestos, y una declaración pública sobre qué pruebas se están examinando.
Un punto de partida obvio es aclarar quién tiene los datos y quién es el responsable de ellos. La Política de Privacidad y los Términos de Uso de MMH describen cómo se proporciona la información a través del Portal y las responsabilidades de los usuarios.
Sin embargo, las fuentes públicas no revelan completamente los acuerdos de hospedaje subyacentes, el papel de los subcontratistas o la división de responsabilidad entre las diferentes partes. Sin una “cadena de custodia de datos” clara, la responsabilidad se vuelve difusa.
Cómo se ven las correcciones reales
Puede ser importante dar consejos a los usuarios, como contraseñas únicas, autenticación multifactor y phishing, pero eso es sólo lo básico.
La prevención de una infracción repetida de MMH realmente depende de los controles que operan a nivel del sistema y pueden verificarse de forma independiente.
En primer lugar, los operadores de portales deben mantener un programa creíble de divulgación de vulnerabilidades que describa públicamente cómo informar, responder y realizar un seguimiento de los problemas de seguridad.
En segundo lugar, las pruebas independientes deben basarse en estándares explícitos en lugar de garantías generales de que un sistema ha sido verificado externamente.
En tercer lugar, la gobernanza necesita dientes. Los contratos de adquisición deben exigir evidencia de que existen controles básicos, así como cronogramas claros para la respuesta a incidentes y la preservación de evidencia.
Un marco nacional puede ayudar aquí, y las autoridades sanitarias de Nueva Zelanda ya están publicando sus propios marcos de seguridad.
Por último, la comunicación debe tratarse como parte de la seguridad. Las notificaciones claras y coherentes reducen la confusión y la oportunidad de que los estafadores se hagan pasar por personal de seguridad.
Dadas las consecuencias de esta debacle, lo más importante ahora es ver señales de mejora en todo el sistema.
Esto significa que puede ver qué se solucionó y cómo se revisó, qué se probará a continuación, quién y qué cambiará en todo el sector de la salud, no solo en un único portal.
La prioridad inmediata para los afectados es seguir las directrices oficiales y tener cuidado con los intentos de phishing o robo de identidad. El consejo del Gobierno sobre “Own Your Online” es un punto de partida útil.
Este artículo se volvió a publicar en The Conversation. Fue escrito por: Dylan A Mordaunt, Te Herenga Waka – Universidad Victoria de Wellington; Universidad de Flinders; La Universidad de Melbourne
Leer más:
Anteriormente, trabajé para Orion Health hasta 2017, trabajando en atención médica digital en Australia y Nueva Zelanda, aunque esto era más en roles de proveedor (por ejemplo, hospitales y gobierno) que de proveedor/comercial.
About The Author
