El cierre de un hospital en Illinois muestra la amenaza existencial del ransomware

La decisión de un hospital de Illinois de cesar sus operaciones a finales de esta semana, al menos en parte debido a un ataque de ransomware en 2021 que paralizó las operaciones durante meses, es un claro recordatorio de la amenaza, a veces existencial, que pueden representar las campañas de extorsión en línea.

Esto es especialmente cierto en el caso de los hospitales pequeños y rurales con escasos recursos.

St. Margaret's Health (SMH) permanentemente cerca sus hospitales, clínicas y otras instalaciones en Spring Valley y Perú, Illinois, este viernes 16 de junio, después de servir a la comunidad durante 120 años. Múltiples factores llevaron a la decisión, incluidos gastos sin precedentes relacionados con la pandemia de COVID-19, el bajo volumen de pacientes vinculado a los mandatos de distanciamiento social y la escasez de personal que obligó al sistema de salud a depender de agencias de personal temporal.

Pero el ataque de ransomware de febrero de 2021 a sus sistemas en Spring Valley tuvo un papel importante que desempeñar; impactaron catastróficamente la capacidad del hospital para cobrar pagos de las aseguradoras por los servicios prestados, y el ataque obligó a cerrar la red de TI del hospital, los sistemas de correo electrónico, su portal de registros médicos electrónicos (EMR) y otras operaciones web.

Un factor contribuyente

Linda Burt, vicepresidenta de calidad y servicios comunitarios de SMH, dice que el ataque duró cuatro meses, durante los cuales los empleados no tuvieron acceso al sistema de TI, incluido el correo electrónico y el sistema EMR. 

“Tuvimos que recurrir al papel para los registros médicos. Nos tomó muchos meses y, en algunas líneas de servicio, casi un año volver a estar en línea y poder ingresar cargos o enviar reclamos”, dice Burt. “Muchos de los planes de seguros tienen cláusulas de presentación oportuna que, de no cumplirse, no pagarán. Por lo tanto, no se enviaban reclamaciones ni se recibían pagos”.

SMH es el último en formar parte de la lista que mantiene el analista e investigador de seguridad Adrián Sanabria de organizaciones que fueron Forzado a cerrar el negocio debido a un ciberataque. durante las últimas dos décadas. La lista actualmente comprende 24 organizaciones, muchas de ellas pequeñas, en múltiples sectores. Entre los nombres de la lista se encuentra la empresa de procesamiento de pagos CardSystems, que cerró en 2005 tras una filtración de datos que expuso datos confidenciales asociados con unos 40 millones de tarjetas de crédito; la empresa de seguridad HBGary, que quebró en 2011 después de que piratas informáticos irrumpieran en sus sistemas y filtraran información sobre la empresa; y Brookside ENT and Hearing Center, que cerró en 2019 tras un ataque de ransomware. Significativamente, 10 de los ciberataques en la lista de Sanabria están relacionados con ransomware y todos ocurrieron después de 2014, cuando el ransomware realmente comenzó a aumentar.

St. Margaret's no será la última víctima del ransomware

Joshua Corman, ex estratega jefe de CISA y actual vicepresidente de estrategia de seguridad cibernética en Claroty, espera que lo que sucedió en SMH le suceda a otros hospitales, especialmente a los más pequeños y a los ubicados en áreas rurales. Corman, que formó parte de un grupo de trabajo de CISA COVID-19 que investigó la posible correlación entre el exceso de muertes hospitalarias y el ransomware, dice que los hospitales que más se espera que cierren son aquellos que están situados más alejados de otros hospitales y opciones de atención alternativas.

“Los hospitales pequeños y rurales ya enfrentan importantes tensiones financieras debido a los últimos años de [la] pandemia y muy pocos tienen muchas reservas de efectivo disponibles para interrupciones no planificadas”, dice Corman. "Los ataques de ransomware pueden interrumpir las operaciones durante semanas y meses y, por lo tanto, pueden representar la gota que colma el vaso".

Un par de factores podrían estar exacerbando la situación. A menudo, muchos hospitales pequeños, medianos y rurales carecen de personal de seguridad a tiempo completo. También les resulta más difícil conseguir un seguro cibernético y, cuando lo hacen, puede costar más por menos cobertura. 

"El Congreso y la Casa Blanca están explorando la posibilidad de obtener ayuda, y ya hace tiempo que se necesitaba", dice Corman. 

Mientras tanto, los formuladores de políticas y las partes interesadas de la industria deben encontrar una manera de elevar el nivel de la ciberhigiene de manera material y brindar asistencia financiera a entidades más pequeñas, ricas en objetivos, pero ciberpobres. “Los ataques de ransomware representan un peligro nuevo, creado por el hombre, pero material que merece atención a nivel de la Junta Directiva”, afirma Corman. "Este peligro podría provocar el cierre de hospitales más pequeños y rurales".

Mike Hamilton, ex CISO de la ciudad de Seattle y actualmente en el mismo puesto en la empresa de ciberseguridad sanitaria Critical Insight, dice que no está claro si el ataque a SMH fue de naturaleza oportunista o dirigido. Sin embargo, incluso entidades sanitarias como SMH, que probablemente no tienen la capacidad de pagar un rescate incluso si quisieran, pueden convertirse en un objetivo si el actor de la amenaza sabe que tiene un seguro cibernético, dice Hamilton. "Saber que las organizaciones tienen un seguro cibernético permite a los actores de amenazas establecer la demanda de extorsión justo por debajo del umbral del costo de reconstrucción y recuperación", señala.

Abogando por la asistencia estatal y federal

Al igual que Corman, Hamilton también considera que un ciberataque que interrumpa las operaciones es existencial para los proveedores de atención médica que ya operan con márgenes reducidos.

Corman aconseja administradores y alta direccion en sistemas de salud más pequeños y rurales para abogar por la asistencia de las autoridades estatales y federales. "Para ayudar a minimizar el riesgo, estos sistemas deberían involucrar a sus recursos regionales CISA y HHS junto con el FBI", señala Corman. También pueden centrarse en priorizar la aplicación de parches de CISA. Vulnerabilidades explotadas conocidas y aprovecha algunas de las herramientas gratuitas de ciberseguridad que ofrece CISA como Escaneo de higiene cibernética (CyHy) y Cyber ​​Essentials.

Hamilton dice que los equipos de TI de atención médica deben limitar al máximo el acceso de los empleados a Internet desde un entorno de atención médica. "Utilice la analogía de una sala de control que opera una presa que genera energía: sin acceso a Internet, punto", dice. "La mayoría de los ataques comienzan con la acción del usuario y limitar ese acceso puede tener un efecto enorme en la prevención".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• EVM Finanzas. Interfaz unificada para finanzas descentralizadas. Accede Aquí.
• Grupo de medios cuánticos. IR/PR amplificado. Accede Aquí.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/illinois-hospital-closure-ransomware-existential-threat