El ataque informático a centros sanitarios y aseguradoras médicas y el acceso a datos médicos y personales

Todas las personas que navegamos habitualmente por Internet hemos oído hablar sobre la palabra «hacking» o «phishing» como términos relacionados con el «pirateo informático«. Aunque mucha gente piensa que todos los hackers son malos, en verdad no es así y cabría hacer la diferenciación entre el término ciberdelincuente y hacker; pero esto se podrá tratar en otro artículo. A todo aquel que esté interesado en las diferencias y las definiciones de estos términos, el siguiente video puede dar una explicación detallada mediante el debate de una serie de expertos:

La intención de este autor con la presente publicación es recoger una serie de noticias y ejemplos, para dar paso en una segunda fase en la que publique artículos relacionados con la seguridad informática en los sistemas sanitarios.

La mayoría de las noticias recogidas no lo son en la prensa española, pero no por ello dejan de ser reveladoras de la evolución y la incidencia de la informática en el sector sanitario, en la que cada día intervienen más elementos relacionados con la informática (hardware, software) tanto para la gestión de datos, como en el tratamiento de los pacientes.

 1.-  La primera noticia que recojo fue publicada en la edición digital del mes de febrero de 2015 por la revista mensual estadounidense WIRED  bajo el título «The Root of the Problem: How to Prevent Security Breaches«, cuyo autor es Tim Cannon, vicepresidente de gestión de productos y marketing de HealthITJobs.com

•  Síntesis de la noticia:

 Anthem, una de las mayores compañías de seguros de EE.UU sufrió un ciberataque por el cual le robaron datos a más de 80 millones de sus clientes de seguros privados de sanidad (http://www.wsj.com/articles/health-insurer-anthem-hit-by-hackers-1423103720). La empresa, en su defensa, manifestó que no tenía constancia de que se hayan obtenido datos médicos o financieros de esos clientes.

 2.-  La segunda noticia, y relacionada con la anterior, también fue publicada en la edición digital del mes de febrero de 2015 por la revista mensual estadounidense WIRED  bajo el título «Health Insurer Anthem Is Hacked, Exposing Millions of Patients’ Data«, la cual amplia la anterior profundizando al facilitar más datos de la acción de intromisión en las bases de datos de Anthem, y así el hecho de que tanto los datos de la seguridad social como la fecha de nacimiento de sus clientes no estaban encriptados.  Este caso se podría contabilizar como cualquier otro caso de ciberataque a una gran empresa en EEUU, pero es noticia porque indica que estas empresas también son objeto de ataques por parte de ciberdelicuentes.

Esta tendencia se debe posiblemente a dos factores:

• La gran cantidad de información privada (y por tanto valiosa por parte de terceros), que estas compañías guardan en sus bases de datos.
• El hecho de que no apliquen los últimos sistemas de seguridad, tanto en software como en hardware, para poder evitar, dentro de lo posible, estos ataques.

Estos hechos no sólo han afectado a Anthem, sino también a otras compañías tanto aseguradoras como relacionadas con el sector sanitario, y así Premera Blue Cross, hecho que fue recogido igualmente en la revista WIRED en su edición digital del 17 de marzo de 2015, y cuyo autor es Kim Zetter, bajo el título: «Hackers May Have Taken Medical Records From Insurer Premera»

Si en el anterior caso el ataque se limitó básicamente a recabar los datos de la seguridad social y cuentas de correo electrónico; en el caso que afectó a Premera Blue Cross los ciberdelincuentes accedieron a:

• Fechas de nacimiento.
• Cuentas bancarias.
• Números de la seguridad social.
• Registros de reclamaciones.

Pero lo más grave es que tuvieron acceso a la información sanitaria privada de sus clientes, hecho que comporta la posibilidad de extorsionar a los clientes de la entidad aseguradora.

 

En la web de Premera Blue Cross  está publicado a día de hoy (24/08/2015) un comunicado de la empresa, en el cual el CEO (managing director) de la compañía en el que explica lo sucedido («Attackers gained unauthorized access to our IT systems and may have accessed the personal information of our members, employees and other people we do business with.)

Por último cabe decir que el inicio de robo de información no sólo se concreta a un solo día, sino que los ciberdelincuentes accedieron a los sistemas de la compañía desde el 5 de mayo del 2014 hasta el 29 de enero del 2015, fecha en la que Anthem tuvo conocimiento de que estaba sufriendo un ciberataque, por lo que al hecho concreto del acceso a los datos se une el hecho de la falta de control puesto que eras desconocedores e ignoraban que estaban sufriendo un ciberataque durante tan largo período de tiempo.

Espero que estas dos noticias ayuden a entender que a veces las compañías de seguros pueden sufrir robos de sus bases de datos, y ello puede llegar a tener consecuencias tanto para su empresa, pero sobretodo para sus clientes.

Las empresas de seguros de EEUU, mediante un aviso por parte de FBI, ya han estado aplicando nuevas técnicas de seguridad para mejorar la privacidad de sus bases de datos. Pero parece que en un futuro este tipo de noticias pueden llegar a ser cada vez más frecuentes, y por tanto las aseguradoras tendrán que mejorar su infraestructura en seguridad informática para afrontar los retos del futuro.

El ataque informático a centros sanitarios y aseguradoras médicas y el acceso a datos médicos y personales by Rafael Camero Gómez, José Enrique Pérez Palaci is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.

Instrumentos de Gestión Clínica

María Vidal Palomer, colaboradora e integrante de eDAGS, y experta en gestión clínica aporta al blog el documento que en formato Prezi y bajo el título: Instrumentos de Gestión Clínica intenta clarificar y dar una primera impresión sobre cuáles son las razones que justifican el uso de recomendaciones y planes de gestión en el ámbito clínico, con la finalidad de no sólo obtener beneficios que redundan en la salud del paciente, sino también en la mejora de la información, y por ende de las decisiones clínicas y el resultado global del centro sanitario.

Pd.: para la consulta y lectura del documento aportado clíque en la imagen

La ética de las organizaciones sanitarias

La evolución de la tecnología médica y la creciente complejidad de las instituciones conllevan a prestaciones cada vez más complejas y de elevado coste, que nos dirigen hacia la medicina gestionada  (managed care), es decir, el “condicionamiento explícito de las decisiones clínicas por factores económicos”según Ibern y Meneu [1].

El papel de la ética confuciana en el gran progreso industrial y económico repercute en la aceptación de la importancia de los valores en la actuación de empresas y administración. Los valores capitalistas que incluyen la moralidad en el negocio, la credibilidad y la satisfacción por la calidad, se hacen imprescindibles para el buen funcionamiento del sistema y evitar así que la aplicación coactiva de las leyes se haga perentoria.

La actividad empresarial está dirigida a satisfacer las necesidades de un potencial cliente dentro de un consumo y buen uso de los recursos disponibles, con lo cual existe una dimensión económica y otra ética que han de tener en cuenta las responsabilidades morales y sociales, el análisis de los intereses, derechos y valores de los afectados (stakeholders), y ser visionarias en la  persecución de la excelencia como comentan los autores Collins y Porras [2].

En el año 1995, la Joint Commission for Acceditation of Healthcare Organizations (JCAHO), entidad acredidatora más importante de sistemas sanitarios de EEUU, incluyó en su manual de acreditación un capítulo sobre los “Derechos de los pacientes y ética de la organización.” [3] Hecho que dio lugar a una eclosión de la reflexión sobre lo que debe ser la ética de las organizaciones sanitarias.

Conceptos fundamentales de la ética de las organizaciones sanitarias

Según el paradigma del corte sistémico, el ser humano forma parte de un entramado natural y social progresivamente complejo e integrador: un sistema de sistemas ideado por Potter [4]

Teniendo en cuenta el contexto holístico del paciente en el sistema de sistemas, los contenidos fundamentales de la ética de las organizaciones sanitarias deberían ser según Pablo Simón [5]:

• Bioética clínica: repercusiones éticas de la tecnología médica en las relaciones sanitarias entre pacientes y profesionales ( Consentimiento informado, terapias de soporte vital, incapacidades, discapacidades, testamento vital, confidencialidad, privacidad, secreto profesional, creencias religiosas, medidas de contención, malos tratos, relaciones con farmacéuticas…)
• Ética empresarial: fuentes de financiación, acceso a prestaciones, recursos, stakeholders.
• Valor, misión y visión de la institución: la definición de la ética organizacional y de las líneas de trabajo hacia la máxima calidad.
• Construcción de una dimensión educativa de todos los empleados hacia un clima ético adecuado.

Los distintos comités de ética que pueden existir en el seno del hospital son la primera herramienta a utilizar para mejorar la calidad de la asistencia prestada: Comités Éticos de Investigación Clínica (constituidos por exigencia legal y su funcionamiento está regulado en la Ley 25/1990, de 20 de diciembre del Medicamento (derogada), Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios y el Real Decreto 561/1993, de 16 de abril por el que se establecen los requisitos para la realización de ensayos clínicos con medicamentos) y los Comités Éticos Asistenciales (regidos en el Insalud según la Circular núm. 3/95 y en Cataluña según Orden del Departament de Sanitat i Seguretat Social de la Generalitat de Catalunya, DOGC N. 1836, del 14 de diciembre de 1993, de acreditación de comités de ética asistencial) cuya constitución no es obligatoria.

La viabilidad de una organización sanitaria ha de centrarse en la práctica de una medicina excelente abordable desde la ética de los negocios (business ethics) junto a los códigos deontológicos de sus profesionales para no distorsionar el mercado de servicios médicos, provisión y financiación de atención médica y evaluación de costes empresariales apoyado por el GDR (Grupos Relacionados por Diagnóstico), conservando la perspectiva clínica, profesional y empresarial para promover la no maleficencia, la beneficencia y la autonomía del paciente.

---

[1] Ibern Regás P, Meneu de Guillerna R. Managed care y gestión de la utilización. En: Del Llano Señarís J, Ortún Rubio V, Martín Moreno JM, Millán Núñez-Cortés J, Gené Badia J, editores. Gestión sanitaria: innovaciones y desafíos. Barcelona: Masson, 1998; p. 219-39

[2] Collins JC, Porras JI. Built to last: succesful habits of visionary companies. New York: Harper Collins Publishers, 1994.

[3] Joint Commission for Accreditation of Healthcare Organizations. Manual de Acreditación para Hospitales 1996. Barcelona: SG Editores-Fundación Avedis Donabedian, 1995; p. 48.

[4] 0. Potter RL. From clinical ethics to organizational ethics: the second stage of the evolution of bioethics. Bioethics Forum 1996;12:3-12.

[5] Pablo Simón, La ética de las organizaciones sanitarias: el segundo estadio de desarrollo de la bioética

La ética de las organizaciones sanitarias por Mª José Vidal Palomer se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.

Evaluación de confianza en e-Health: Análisis y comentario del artículo Trust assessment of security for e-health systems

La presente publicación resume y analiza los elementos recogidos en el artículo Trust assessment of security for e-health systems de Bahtiyar, Ş. and M. U. Çağlayan publicado en Electronic Commerce Research and Applications 13(3): 164-177.

Los sistemas actuales de telemedicina (también llamados e-Health) son una fuente enorme de datos personales; de los cuales, además, se incluyen datos tan privados como nuestra historia clínica (en la que se recoge nuestras visitas, enfermedades, etc.). Por tanto, no es de extrañar que actualmente sea uno de los sistemas con el punto de mira de los ciberdelincuentes con la finalidad de traficar con los datos que se recaban. Los autores Serif Bahtiyar y Mehmet Ufuk Çaglayan en el artículo que se comenta analizan un modelo para poder evaluar su confianza y seguridad.

1. Definiciones

Según los autores, la seguridad en la información sí que ha sido definida y tratada con el siguiente número de procesos: autentificación, confidencialidad, integridad y disponibilidad [1]. En cambio la definición de confianza, tal y como se indica en el artículo, puede llegar a ser estudiada por diversos campos de la ciencia, aunque sin llegarse a un acuerdo.

Bahtiyar y Çağlayan definen el sistema de seguridad como un conjunto de mecanismos que se encuentran implementados dentro de una política de seguridad. Ésta a su vez la definen como una colección de reglas que permiten o prohíben la realización de ciertas acciones, procesos o cualquier otro elemento relacionado con la seguridad.

Tras haber definido estos dos 2 términos, vamos a centrarnos en «entidad», el cual  se entiende como cualquier persona, entidad e incluso plataforma IT que el usuario final utiliza para poder acceder a la información dentro de un sistema informático. Aunque ésta última definición abarque una gran variedad de elementos, cuanto mayor sea la confianza que tal entidad tenga en la infraestructura, mayor será su uso, y por tanto si estamos hablando de sistemas de telemedicina, ese aumento puede ayudar a disminuir los recursos y el coste de ciertas intervenciones médicas (por ejemplo: gestión de historial clínico, realización de teleconsultas a pacientes crónicos en su propio domicilio, etc.).

Existen 3 tipos de información de confianza: En el artículo se comentan modelos computacionales utilizados en entornes de e-commerce [2,3,4]; pero según los autores no dan la confianza necesaria para poder ser utilizados en entornos abiertos de telemedicina, desde el punto de vista de la entidad que los utiliza. Para ello han desarrollado su propio modelo más flexible y que utilizando unas métricas propias permite tener un mayor control del entorno; y, por tanto, hacen más confiable su uso pudiendo ser más o menos restrictivo en función de las propias necesidades de la entidad.

2. Modelos computacionales sobre confianza

– Directa: se obtiene a través de la experiencia.
– Indirecta: se obtiene a través de información de confianza.
– Existente: se obtiene tras la evaluación de información de confianza que proviene de una entidad.

Estos tres tipos de información se usan en los modelos computacionales, ya sea de forma particular, o relacionando los tipos entre ellos.

En tanto que los sistemas de comercio electrónico (e-commerce) y los sistemas de telemedicina requieren diferentes requisitos de confianza sobre los servicios de seguridad, ésta se determina a partir de las métricas de confianza en los modelos computacionales. Pero estas métricas han de poder abarcar todo el conjunto de elementos que conforman un sistema, una entidad o varios sistemas/entidades. A partir de ello Bahtiyar y Çağlayan han han agrupado los elementos en 6 métricas para medir la confianza de un sistema de seguridad basado en las necesidades de una entidad.

3. Arquitectura de evaluación de confianza

Los componentes principales de este modelo son tres:
– Entidad.
– Servicio.
– Sistema de evaluación de la confianza (TAS).

4. Sistema de evaluación de la confianza (TAS)

El TAS puede ser un sistema independiente de los otros 2 componentes, pero es el que se encarga de realizar la unión entre ambos y de intercambiar la información los elementos: entidad y servicio.

En este modelo cada entidad tiene su propio TAS, y por tanto gestiona la confianza en el sistema de seguridad a sus propias necesidades, además (según los autores) la privacidad de una entidad se preservará mejor y los problemas de comunicación disminuirán considerablemente. Es por ello que Bahtiyar y Çağlayan han introducido en el análisis de cada una de las entidades de su arquitectura del modelo computacional el TAS.

5. Entorno de trabajo

El entorno en el que se desarrollará es un campo donde hay diversas entidades y servicios de telemedicina trabajando en diferentes plataformas (PDAs, smartphones, PCs, etc.)
6. Entidad

Se refiere a cualquier elemento o software que represente a un paciente. Por ejemplo una aplicación con interfaz web usada por el usuario para conocer su historia clínica.

Se requiere realizar un sistema de evaluación de confianza de cada entidad; esto se obtiene auditando la seguridad y observando los diversos servicios con los que se comunica dicha entidad. Cada uno de estos servicios debería de enviar los informes o registros de actividad a la entidad para que pudieran ser evaluados a posteriori. Por tanto la entidad, y su sistema de evaluación de confianza, se encargan en todo momento de recibir la información de todos los servicios asociados a la misma; dependiendo de sus propios requisitos de seguridad.
7. Servicio

Se entiende por servicio aquellos sistemas de telemedicina que se conectan con las entidades. Estos sistemas a su vez contienen los siguientes elementos:

•  Política de seguridad: incluye el comportamiento de un sistema de seguridad en diversos entornos.

Por ejemplo: La longitud de la contraseña para poder acceder a un servicio. Si es inferior a un número mínimo de caracteres no dejará continuar con el proceso de login.

• Mecanismos de Seguridad: cualquier elemento que aumente la seguridad del servicio.

Por ejemplo: los algoritmos de encriptación de la información residente en el servicio.

• Registros de actividad: es toda la información originada, almacenada y registrada durante el uso del servicio, que posteriormente puede ser revisado por un técnico.

Por ejemplo: el archivo log .txt donde se almacena el nombre de los ficheros encriptados, para posteriormente evaluarlos si fuera necesario.
8. BIBLIOGRAFÍA

[1] Sun, Y.L., Han, Z., Liu, K.J.R., 2008. Defense of trust management vulnerabilities in
distributed networks. IEEE Communications Magazine 46, 112–119.
[2] Jøsang, A., Ismail, R., Boyd, C., 2007. A survey of trust and reputation systems for
online service provision. Decision Support Systems 43, 618–644.
[3] Massa, P. Trust in E-services: Technologies, Practices and Challenges. Idea Group
Inc., Ch. A Survey of Trust Use and Modeling in Real Online Systems, 2007,
51–83.
[4] Yan, Z. Trust management for mobile computing platforms. Ph.D. thesis,
Department of Electrical and Communication Engineering, Helsinki University
of Technology, Network Laboratory, 2007.

Evaluación de confianza en e-Health: Análisis y comentario del artículo Trust assessment of security for e-health systems por Rafael Camero Gómez se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.

41.675995 2.790229

¿Para qué un sistema de Telemedicina?

La Telemedicina es aquel conjunto de recursos técnicos y humanos que están dirigidos para facilitar un objetivo, a saber, la atención médica a distancia. Dichos sistemas engloban equipos físicos (hardware), programas (software), datos, procedimientos, usuarios (pacientes, facultativos, enfermería, administrativos, entre otros) y técnicos, y todos ellos presentan, a su vez, diferentes y variadas modalidades y niveles de complejidad, yendo de lo más simple a lo más completo, como sería el caso de un sistema implementado para el control y seguimiento de un número elevado de pacientes, en una amplia zona geográfica que carece de sistemas de mobilidad, y con el objetivo de que interoperen con otros sistemas TIC (Historia clínica electrónica, receta electrónica, sistemas de identificación, etc. ).

La Telemedicina da una respuesta a esos objetivos y a esas dificultades, ofreciendo al paciente un nuevo estilo de vida, dándole independencia, al mismo tiempo que – dependiendo del sistema de Telemedicina implantado – un servicio eficaz, eficiente e integral. 

Autor: José Enrique Pérez Palaci

<span xmlns:dct=»http://purl.org/dc/terms/»