El consultorio de su médico es vulnerable a los piratas informáticos, pero el Congreso podría cambiar eso

Las pequeñas instalaciones de atención médica, como los consultorios médicos, son especialmente vulnerables a los ataques cibernéticos debido a la información confidencial en sus redes y porque muchos carecen de los recursos para defenderse. El Congreso podría ayudar a cambiar eso ajustando dos leyes diseñadas para evitar arreglos comerciales inadecuados entre médicos y hospitales.





Eso es según un nuevo reporte por el Grupo de Trabajo sobre Seguridad Cibernética de la Industria del Cuidado de la Salud, un grupo de 21 expertos y administradores de seguridad cibernética del sector privado y del gobierno convocados por el Congreso como parte de la histórica Ley de Seguridad Cibernética de 2015.

Entre otras cosas, el informe recomienda que el Congreso explore cambios a la llamada Ley de Referencia Médica y el estatuto Antisoborno, que impiden que los médicos reciban cualquier tipo de pago de un hospital o clínica a cambio de referencias de pacientes u otros negocios, como trabajo de laboratorio, que es reembolsado por programas federales de atención médica, incluidos Medicare y Medicaid. Según el grupo de trabajo, a muchos hospitales les gustaría ayudar a los socios comerciales más pequeños a comprar herramientas de ciberseguridad para que no se conviertan en una responsabilidad, pero temen que violen estas leyes.

Los piratas informáticos suelen tener como objetivo los centros de atención de la salud, gracias a la valiosa información de sus redes, así como a sus prácticas de seguridad históricamente laxas. Las instalaciones de todo el mundo son vulnerables a ataques como el ransomware WannaCry que ocurrió el mes pasado. El año pasado, un ataque de ransomware inhabilitó el sistema de registros médicos de un hospital de Los Ángeles y lo obligó a trasladar a los pacientes a otro lugar (consulte Con infecciones de ransomware en hospitales, los pacientes están en riesgo).



Una de las razones del problema, según el grupo de trabajo, es que muchas instalaciones más pequeñas simplemente no pueden permitirse el lujo de retener la experiencia interna en seguridad cibernética y mantener la infraestructura tecnológica necesaria. El grupo recomienda encarecidamente que el Congreso modifique la Ley de autorreferencia médica y el Estatuto antisobornos para tener en cuenta esto al permitir un mayor intercambio de tecnología de ciberseguridad entre los hospitales y sus socios más pequeños.

Si el Congreso no actúa, el departamento de Salud y Servicios Humanos podría aplicar nuevas regulaciones que harían excepciones a estas leyes. De hecho, ya existe un modelo para ello. Las excepciones reglamentarias y las disposiciones de puerto seguro hacen que sea legal que hospitales y clínicas donen tecnología de registros médicos electrónicos a consultorios médicos y otros socios comerciales.

Estas excepciones existen porque cuando los hospitales comenzaron a adoptar registros electrónicos a mediados de la década de 2000, muchos médicos que enviaban pacientes a esos hospitales no podían permitirse comprar tecnología interoperable para sus consultorios. Al igual que hoy con la ciberseguridad, los hospitales querían poder comprarles esta tecnología, dice Bernardette Brócoli , un abogado de atención médica en el bufete de abogados McDermott Will & Emery.



Despejar el camino para que los hospitales compren tecnología de ciberseguridad para los consultorios médicos sin la amenaza de problemas legales ayudaría a reducir el riesgo general, pero es solo una pieza de un rompecabezas complicado que los legisladores deben resolver para solucionar realmente los problemas de ciberseguridad de la atención médica. Si bien muchas de las reglas que rigen la seguridad cibernética en el cuidado de la salud tienen buenas intenciones y son efectivas individualmente, escriben los autores del informe, En conjunto, pueden imponer una carga legal y técnica sustancial a las organizaciones de atención de la salud.

esconder