Relajación de normas médicas en Ontario genera preocupaciones de ciberseguridad en salud

El reciente cambio de política del gobierno de Ontario que permite a los médicos tratar a familiares directos, implementado para abordar la crítica escasez de personal sanitario, ha generado importantes preocupaciones de ciberseguridad entre los profesionales de TI en salud. Aunque la medida busca mejorar la accesibilidad a la atención médica, expertos en seguridad advierten que crea nuevas vulnerabilidades en sistemas de información médica ya bajo presión.

Esta relajación regulatoria altera fundamentalmente los patrones de acceso tradicionales en sistemas de historiales médicos electrónicos (HME). La mayoría de las infraestructuras de TI en salud fueron diseñadas asumiendo que los clínicos no necesitarían acceder a registros de familiares cercanos, por lo que los controles de seguridad existentes pueden resultar inadecuados para estos nuevos casos de uso.

Los principales riesgos de ciberseguridad que emergen de este cambio incluyen:

1. Abuso de accesos privilegiados: Las relaciones familiares podrían motivar accesos inapropiados a historiales médicos más allá de las necesidades inmediatas de tratamiento, violando principios de privacidad del paciente. Incluso con buenas intenciones, estos accesos normalmente no serían marcados por sistemas de monitoreo convencionales.

1. Trazas de auditoría debilitadas: Muchos sistemas registran accesos por ID de empleado pero no correlacionan automáticamente esto con relaciones familiares, creando puntos ciegos en la detección de accesos inapropiados entre familiares.

1. Riesgos de compartimiento de credenciales: La naturaleza personal del tratamiento a familiares aumenta la probabilidad de que clínicos compartan credenciales con familiares o accedan sistemas desde dispositivos personales no seguros.

1. Desafíos a la integridad de datos: El tratamiento de familiares frecuentemente ocurre en entornos informales, pudiendo llevar a documentación incompleta o uso de canales de comunicación no aprobados para compartir información sensible.

Las organizaciones de salud deben responder con mejoras de seguridad específicas:

• Implementar controles de acceso conscientes de relaciones que ajusten dinámicamente permisos cuando se acceden registros familiares
• Mejorar el monitoreo de accesos privilegiados con análisis conductuales para detectar patrones inusuales
• Realizar capacitaciones obligatorias enfocadas en protocolos adecuados al tratar familiares
• Reforzar requisitos de autenticación para accesos a registros familiares, potencialmente requiriendo aprobaciones adicionales
• Actualizar sistemas de auditoría para marcar específicamente y revisar todos los accesos a historiales familiares

El caso de Ontario sirve como advertencia para sistemas de salud globales que enfrentan desafíos similares de personal. Abordar proactivamente estas implicaciones de ciberseguridad será crucial para prevenir la erosión de la confianza del paciente mientras se mantiene la accesibilidad a la atención durante escaseces de personal.