El coste total medio por ciberataque al sector sanitario en Estados Unidos roza los 5 millones de dólares
- Actualidad
Compromiso cloud, ransomware, cadena de suministro y correo electrónico empresarial o BEC son las principales tendencias de ataques a la sanidad. Un 66% de los ataques exitosos afectó directamente a la atención al paciente, provocando retrasos en procedimientos y pruebas, y aumentando las complicaciones de procedimientos médicos y las tasas de mortalidad.
La encuesta “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023”, realizada por Proofpoint y el Instituto Ponemon, estudia el efecto de la ciberseguridad específicamente en la atención sanitaria en Estados Unidos. En línea con lo que vimos la semana pasada con el informe de Atlas, que reveló que 87 millones de pacientes vieron sus datos expuestos, el nuevo estudio señala que el 88% de las organizaciones sufrió una media de 40 ataques en los últimos meses. Y su coste medio total en un ciberataque se incrementó un 13% respecto al año anterior, alcanzando los 4,99 millones de dólares.
Una media del 66% de las instituciones encuestadas vio alterada la atención al paciente. En un 57% de los casos hubo retrasos en procedimientos y pruebas, el 50% incrementaron las complicaciones de los procedimientos médicos y en un 23% subieron las tasas de mortalidad de los pacientes. Los ataques a la cadena de suministro son el tipo de amenaza con más probabilidades de afectar la atención al paciente. De hecho, el 64% de las organizaciones sufrió un ataque a la cadena de suministro en los últimos dos años, de las cuales el 77% sufrió interrupciones de la atención al paciente.
Los ataques BEC (Business Email Compromise) son la amenaza con mayor probabilidad de provocar retraso en los procedimientos (71%) y también pueden provocar complicaciones de procedimientos médicos (56%) y estancias más largas en centros hospitalarios (55%). El 54% de las organizaciones tuvo una media de 5 incidentes de este tipo. La preocupación por estas amenazas ha subido hasta el 62%, por el 46% que hubo en 2022.
El ransomware ocupa el segundo lugar en capacidad para retrasar los procedimientos (59%), un tipo de ataque que afectó al 54% de las organizaciones, por el 41% del año anterior. Pese a ello, la preocupación por esta amenaza ha bajado hasta el 48%, por el 60% de 2022, como ha bajado el número de organizaciones que ha pagado el rescate (40%, respecto al 51% del año anterior). Lo que ha subido es el coste medio por recate (29%) hasta llegar a los 995.450 dólares. En todo caso, el 68% de los ataques ransomware afectó a la atención al paciente.
Todas las organizaciones encuestadas experimentaron al menos un incidente de pérdida o filtración de datos confidenciales en los últimos dos años, con un 43% que impactó directamente en la atención al paciente. El 46% de ellos reportó un aumento de las tasas de mortalidad y el 38%, de las complicaciones derivadas de los procedimientos médicos. Además, ha crecido la preocupación por las amenazas de la nube (63% respecto al 57% de 2022), llegando al primer puesto en la lista de preocupaciones de ciberseguridad.
Proofpoint considera que el sector no está bien preparado para afrontar ataques BEC, spoofing y a la cadena de suministro: solo el 43% toma medidas para prevenir y reaccionar antes estos ataques. Como los principales retos en este sentido, señala la falta de experiencia interna (58%) y la escasez de personal (46%).
Pese a ello, Ryan Witt, presidente de la junta asesora de clientes del sector sanitario de Proofpoint, se muestra positivo: “Si bien el sector de la atención médica sigue siendo altamente vulnerable a los ataques de ciberseguridad, nos alienta saber que los ejecutivos de esta industria comprenden el impacto que puede tener un evento de ciberseguridad en estos servicios. Asimismo, somos optimistas en cuanto a los avances que se pueden lograr para proteger a los pacientes del daño que causarían dichos ataques”.