lunes, 18 de noviembre de 2013

Cibercrimen y sanidad.

HIMSS CIO Summit, presentación de Rick Cnossen, Intel.
De todos es conocido -o debiera serlo- toda la caterva de riesgos que tiene la vida online.

Ahora bien, lo que tal vez no sea tan evidente es que muchos de estos riesgos están asociados a grupos delictivos que funcionan como mafias y que existe un auténtico mercado negro para traficar con datos personales, tarjetas de crédito... ¿y nuestros datos de salud? ¿También?

La semana pasada asistí al CIOSummit de HIMSS Europe, y tuve el privilegio de escuchar el speech de Rick Cnossen, el Director de Worldwide Health Information Technology de Intel, en el contexto de la mesa "Mobility: Next steps in innovative services for patient and professionals."

Una de las slides me impactó profundamente. Es la de la imagen del post. Como no se ve demasiado bien, la transcribo y traduzco a continuación.

El cibercrimen es un gran negocio en sanidad. Unos datos:
  • McAfee analiza 100.000 nuevos tipos de malware cada día.
  • Los datos de una historia clínica tienen un valor de 50$ en el mercado negro.
  • El coste medio por cada historia clínica expuesta a problemas de seguridad es de 240$, un 24% más alto que la media.
  • En 2013, el 48% de los problemas de seguridad reportados en USA han correspondido al sector médico / sanitario.
  • Cerca de 608.087.870 historias clínicas han estado expuestas a problemas de seguridad desde 2005 en USA.
¿Da para pensar, no?

Pues si a esto le añadimos que los medical devices implantables no disponen de una seguridad digna de ese nombre, como ya comentaba en este post, y que dichos implantes constan en la historia clínica del paciente, no puede extrañar que todo un ex-vicepresidente de los Estados Unidos, Dick Cheney, haya tomado medidas para impedir que puedan accionar el desfibrilador a distancia.

¿Ciencia-Ficción? No. Obra en mi poder un paper -que por razones obvias no voy a hacer público- en el que se demuestra más allá de toda duda que es posible manipular a distancia un marcapasos, un desfibrilador o una bomba de insulina, entre otros. 

Es real. Es aterrador.

Pensemos. ¿Realmente estamos protegiendo de una manera satisfactoria la información que reside en nuestros carísimos sistemas de información clínicos?

5 comentarios:

  1. Realmente da micho que pensar tu post. Todas las medidas de protección a las que nos obliga la LOPD, no parece que esté haciendo ningún efecto, excepto darnos más trabajo "administrativo" a los profesionales sanitarios.

    ResponderEliminar
    Respuestas
    1. Mmmm... no confundamos la LOPD con lo que digo. Una cosa es que la ley proteja los datos de los usuarios en el que se asegure la confidencialidad de los mismos, y otra, que desde el punto de vista de sistemas de información exista la protección suficiente contra amenazas exteriores. Ahí fuera hay mafias organizadas que se lucran vendiendo información obtenida de manera ilícita, ya sea por malware, intrusiones en los sistemas de información, u otros.

      Eliminar
    2. Apreciado compañero y amigo:
      No estoy de acuerdo sobre este punto la LOPD debe velar por la seguridad de nuestros datos clínicos considerados como de nivel máximo de sensibilidad de la información, para ello los organismos tanto públicos como privados pueden verse sometidos tanto de forma reactiva (en base a una denuncia) como proactiva por auditorias informáticas muy rigurosas que obligan a los sistemas de información de dichas empresas a contemplar todos los mecanismos de seguridad necesarios para implementar la seguridad de dicha información, quizás hay una cierta (mucha) relajación en este aspecto y tanto tu como yo conocemos estamentos (públicos Y/o privados) que digamos aplican dichas normas con preocupante laxitud, básicamente por los elevados costes evolutivos que supone implementar dicha seguridad en sistemas de información legacy, por tanto ciertamente queda mucho por hacer a este respecto y en eso si que coincidimos.

      Un fuerte abrazo: Llorenç Chiner

      Eliminar
  2. Buenas tardes, un post magnífico, nos ha encantado tu punto de vista. Somos el equipo organizador del Congreso Brand Care y nos gustaría hablar contigo para debatir sobre tu enfoque y enviarte el Call for Papers para una posible ponencia Puedes ver el documento en brandcare.es en el apartado Call for papers, Un saludo y gracias.

    ResponderEliminar
    Respuestas
    1. ¡Muchas gracias! Para contactar conmigo puedes usar Google + (lo encontrarás en el frame de la izquierda del blog).

      Eliminar