El edificio situado en el 1.600 de Pennsylvania Avenue pone la mira en nuevos estándares de ciberseguridad para el sector de la salud
Anne Neuberger, una alta funcionaria en ciberseguridad que trabaja para la agencia nacional de seguridad tecnológica cibernética y emergente, como asesora adjunta, dijo el pasado mes de octubre, durante un evento reciente en el Washington Post, que la creación de estándares y guías adicionales de seguridad cibernética en el cuidado de la salud sería un área de enfoque próxima para la Casa presidida por el demócrata Joe Biden.
Específicamente, Neuberger señaló a los sectores de salud, agua y comunicaciones como las próximas tres áreas de enfoque de seguridad cibernética para la Casa Blanca, aumentando el énfasis de la administración en la seguridad de la infraestructura crítica.
Estados Unidos es «prácticamente el último en la carrera» cuando se trata de establecer estándares mínimos de seguridad para infraestructura crítica en comparación con países de similares características, explicó Neuberger.
Como mínimo, esto coloca a EE. UU. en una buena posición para aprender de otros países y establecer marcos regulatorios cibernéticos mínimos para infraestructura crítica.
El HHS (Departamento de Salud y Servicios Humanos de los Estados Unidos) está “comenzando a trabajar con socios en los hospitales para establecer pautas mínimas de seguridad cibernética”, explicó Neuberger. Se está trabajando más para asegurar «dispositivos y atención médica más amplia».
Estas acciones se alinean con la orden ejecutiva de la administración Biden ( EO 14028 ) de mayo de 2021, que se centró en mejorar la seguridad cibernética de la nación a través de asociaciones público-privadas y un énfasis en mejorar la seguridad dentro de los sistemas de información federales.
ANÁLISIS DE LA INDUSTRIA
Para el cuidado de la salud, una mayor orientación de seguridad federal podría ayudar al sector a administrar el riesgo en medio de un panorama de ciberamenazas cada vez más complejo y activo. En 2021, el sector de la salud fue víctima del ransomware más que cualquier otro sector de infraestructura crítica, descubrió la Oficina Federal de Investigaciones .
«Desafortunadamente, seguimos viendo ataques de ransomware contra hospitales, que podrían disminuir si los hospitales tuvieran una línea de base para establecer, mantener y medir su nivel de seguridad cibernética y su nivel de preparación», Stacy O’Mara, directora sénior de asuntos gubernamentales en Mandiant, le dijo a HealthITSecurity .
O’Mara también reconoció que el sector de la salud ya es una industria altamente regulada con una variedad de requisitos de cumplimiento de seguridad y privacidad. Regulaciones como HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico), HITECH (Ley de Tecnología de la Información de la Salud Económica y Clínica), la Ley de la Comisión Federal de Comercio y otras regulaciones y marcos sirven para proteger los datos de salud y salvaguardar la ciberseguridad de la atención médica.
Además, la Ley de Informes de Incidentes Cibernéticos para Infraestructura Crítica (CIRCIA) recientemente promulgada requerirá que el sector de la salud informe los incidentes cibernéticos y los pagos de ransomware a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), señaló O’Mara.
Un enfoque simplificado podría ayudar a aliviar la carga de las entidades individuales.
“Si bien todas estas regulaciones existentes son útiles para el sector de la salud, y deberían evolucionar para tener en cuenta las amenazas en evolución a los registros médicos de los pacientes, los dispositivos médicos y las redes y sistemas de los hospitales, el gobierno federal debe continuar con sus esfuerzos para armonizar y optimizar requisitos reglamentarios”, sugirió O’Mara.
ÉNFASIS EN LAS ASOCIACIONES PÚBLICO-PRIVADAS
Un enfoque principal de EO (Orden Ejecutiva) 14028 fue establecer asociaciones público-privadas para mejorar la comunicación y la coordinación entre las entidades federales y las empresas del sector privado.
El sector privado posee y opera gran parte de la infraestructura crítica de EE. UU., señaló Neuberger durante el evento. Como resultado, colaborar para compartir amenazas y establecer estándares es crucial para el éxito mutuo.
Los beneficios de las asociaciones público-privadas decididas y orientadas a objetivos quedaron demostrados en parte por los eventos que siguieron al ciberataque al Oleoducto Colonial, que interrumpió kilómetros de la cadena de suministro de combustible de EE. UU. en mayo de 2021.
Después del ataque, explicó Neuberger durante el evento del Washington Post , el Administrador de Seguridad del Transporte (TSA) emitió una directiva de seguridad para los oleoductos y gasoductos, y los funcionarios realizaron sesiones informativas clasificadas sobre amenazas para ejecutivos del sector privado. Las reuniones dieron como resultado pautas de seguridad actualizadas de la TSA que también podrían usarse como modelo para otros sectores.
Para O’Mara, la idea de las asociaciones público-privadas es «más que un eslogan».
“Ninguna entidad individual, incluido el gobierno federal, tiene la imagen completa del panorama de amenazas o una comprensión completa de los efectos primero, secundario, terciario, etc. de un nuevo estatuto o regulación en lo que respecta a la seguridad cibernética”, razonó O’Mara. .
Todas las partes interesadas relevantes, desde operadores de infraestructura crítica, gobiernos estatales y locales, agencias de aplicación de la ley y grupos de derechos civiles y de privacidad, «tienen información que es relevante para el proceso de elaboración de normas».
“Si bien tener tantos jugadores podría crear un proceso arduo para hacer esto bien, estos interesados deben ser incluidos en las discusiones”, continuó O’Mara. “Nunca será perfecto, pero la representación aquí es importante”.
O’Mara dijo que estaba «complacida» de ver un enfoque continuo en mejorar la seguridad de la infraestructura crítica y reconoció que hay un largo camino por recorrer.
“El gobierno federal continúa poniendo su casa en orden con respecto a la seguridad cibernética y ahora estamos viendo un énfasis en el resto del país. Esto es difícil de hacer: lograr un equilibrio entre exigir que estas entidades asuman más y al mismo tiempo garantizar que contribuyan a la seguridad nacional de la nación al adherirse a los estándares mínimos para mantenernos a todos ‘ciberseguros’”, señaló O’Mara.
“El enfoque de toda la comunidad es increíblemente importante para hacer esto bien”.
