El Departamento de Salud y Servicios Humanos (HHS) de EE. UU. se enfrenta a importantes problemas para garantizar la ciberseguridad en el sector sanitario. Como revela un informe reciente de la Oficina de Responsabilidad Gubernamental (GAO), existen graves lagunas en la supervisión y coordinación de las medidas de ciberseguridad[1].
El informe adquiere especial relevancia en el contexto de un grave ciberataque a Change Healthcare en febrero de 2024, en el que se robaron datos y se produjeron daños estimados en 874 millones de dólares[1].
La GAO considera especialmente crítico que el HHS no supervise adecuadamente la aplicación de medidas de protección contra ataques de ransomware. Aunque los hospitales participantes afirman haber implementado aproximadamente el 70,7 por ciento de las medidas de ciberseguridad recomendadas por el Instituto Nacional de Estándares y Tecnología, no se realiza una verificación de medidas específicas de protección contra ransomware[1].
Otras debilidades se manifiestan en la falta de evaluación de las medidas de apoyo al sector sanitario y en la insuficiente evaluación de riesgos de las tecnologías de Internet de las Cosas (IoT) y las tecnologías operativas. La coordinación entre los distintos organismos también presenta importantes deficiencias, por ejemplo, en la armonización de los requisitos de ciberseguridad entre las agencias federales[1].
La GAO advierte enérgicamente: Mientras el HHS no implemente las mejoras recomendadas, el departamento corre el riesgo de no poder desempeñar eficazmente su función de liderazgo, con posibles consecuencias graves para los proveedores de atención sanitaria y la atención al paciente[1].
Fuentes:
[1] gao-25-107755.pdf https://ppl-ai-file-upload.s3.amazonaws.com/web/direct-files/21436693/63575558-711c-45d4-b62b-ac498adcb3e3/gao-25-107755.pdf
