Ciberataque al departamento salud de Los Angeles

Enorme ciberataque condado de Los Ángeles afecta a 756K individuos 

El condado de Los Ángeles en los últimos días ha comenzado a notificar a aproximadamente 756.000 personas información sobre un ciberataque masivo que ocurrió en mayo de 2016 a través de múltiples departamentos del condado, incluyendo la salud, la salud mental y servicios de salud pública.

La mayoría de los individuos afectados tenían contacto con el Departamento de Servicios de Salud, según Los Angeles Times informa.

El atacante envió correos electrónicos phishing a 1.000 empleados del condado, y fueron 108 de ellos hicieron clic en el mensaje proporcionando así los nombres de usuario y contraseñas, de unos 756 mil usuarios según un aviso. Como se ha vuelto común en la era de los ataques cibernéticos, la notificación a las personas afectadas por el ataque se retrasó mucho más allá de la exigencia de HIPAA de 60 días desde el descubrimiento de una violación, a petición de las fuerzas del orden. Las agencias a menudo aumentan el tiempo de notificiación para investigar múltiples infracciones realizadas por el mismo atacante.

Esta no es la primera fuga de información de salud importante del condado de Los Ángeles. El robo de un ordenador portátil en una oficina regional en 2013 afectó a 18.162 personas. El condado también fue víctima de una violación importante en 2014, cuando sus asociados de negocios Sutherland Healthcare Solutions tenían ocho ordenadores robados , que afectó a más de 300.000 personas. Tras la última infracción, el condado ha mejorado su formación de conciencia de seguridad cibernética. El condado está ofreciendo servicios de monitoreo de identidad a las personas afectadas durante un año; los servicios incluyen el monitoreo de crédito, consulta la identidad y la restauración de identidad. Sin embargo, los atacantes comúnmente esperan hasta después de que los servicios de protección terminan la investigación antes de utilizar la información robada.

La Administración de Alimentos y Medicamentos de los Estados Unidos publicó sus recomendaciones sobre cómo los fabricantes de dispositivos médicos deben mantener la seguridad de los dispositivos conectados a Internet, incluso después de que hayan entrado en hospitales, en los hogares de los pacientes, o los órganos del paciente. Dispositivos no garantizados en ciberseguridad pueden permitir a los hackers modificar la cantidad de medicamento que se entrega por el dispositivo - con resultados potencialmente mortales.

El enero pasado se publico una guía. El documento de 30 páginas anima a los fabricantes para controlar sus dispositivos médicos y software asociado, y parchear cualquier problema que ocurra. Pero las recomendaciones no tienen fuerza legal - por lo que en gran parte no suelen tomarse al pie de la letra.

La FDA ha estado advirtiendo a la industria de la salud desde hace años que los dispositivos médicos son vulnerables a ataques cibernéticos. Es una preocupación legítima: los investigadores han logrado alterar de forma remota con dispositivos como desfibriladores, marcapasos y bombas de insulina . En 2015, la FDA advirtió a los hospitales que la bomba de infusión de Hospira , que lentamente libera nutrientes y medicamentos en el cuerpo de un paciente, se podría acceder y controlar a través de la red del hospital. Eso es peligroso para los pacientes que podrían ser perjudicados directamente por dispositivos alterados para dar mayor dosis de la medicación o demasiado poca. También significa que los dispositivos mal protegidos podrían dar a los hackers el acceso a redes de hospitales que almacenan la información del paciente - una situación que está utlizandose para el robo de identidad .

"De hecho, las redes hospitalarias experimentan constantes intentos de intrusión y ataque, que pueden suponer una amenaza para la seguridad del paciente", dice Suzanne Schwartz, directora asociada de la FDA para la ciencia y las asociaciones estratégicas, en un blog acerca de las nuevas directrices. "Y a medida que los piratas informáticos se vuelven más sofisticados, estos riesgos de seguridad cibernética van a evolucionar."

La FDA emitió una serie de recomendaciones a principios de octubre de 2014 , que recomendó maneras en que los fabricantes debían construir protecciones de seguridad cibernética en dispositivos médicos que están siendo diseñados y desarrollados.la orientación de hoy se centra en cómo mantener la seguridad cibernética del producto sanitario después de que los dispositivos han salido de fábrica. Las directrices establecen medidas para reconocer y abordar las vulnerabilidades en curso. Y recomiendan que los fabricantes se unan en un Intercambio de Información y Organización Análisis (ISAO) para compartir información acerca de los riesgos de seguridad y las respuestas tomadas a medida que ocurren.

La mayoría de los parches y actualizaciones destinadas a hacer frente a las vulnerabilidades de seguridad se tendrán en cuenta como mejoras de rutina, lo que significa que los fabricantes no tienen que alertar a la FDA cada vez que emiten una. Es decir, a menos que alguien muere o sea seriamente afectada debido a un error - entonces, el fabricante tiene que informar de ello. Errores peligroso identificadas antes de que dañen o maten a cualquiera no tendrán que ser reportados a la FDA, siempre que el fabricante les diga a los clientes y usuarios de sus dispositivos sobre el fallo dentro de los 30 días próximos a ser descubierto, se fija un plazo de 60 días, y debe compartir información sobre la vulnerabilidad con una ISAO.

Este intento de asegurar los dispositivos médicos es sólo el comienzo, dice Eric Johnson , un investigador de seguridad cibernética y decano de la escuela de negocios de la Universidad de Vanderbilt, en un correo electrónico a The Verge . Schwartz de la FDA está de acuerdo, escribiendo en un blog: "Esto claramente no es el final de lo que va a hacer la FDA para tratar la seguridad cibernética."