La Asociación Americana de Hospitales y Health-ISAC han publicado un Boletín conjunto de amenazas después de una serie de ataques de ransomware por parte de bandas cibercriminales rusas, escasez de sangre e interrupciones en la atención a los pacientes en EE. UU. y el Reino Unido
Las organizaciones instaron a las organizaciones de prestación de atención médica, hospitales y sistemas de salud a prepararse para las interrupciones de la cadena de suministro física causadas por ataques cibernéticos contra proveedores externos que podrían crear problemas importantes para la prestación de atención médica a los pacientes. El boletín destacó tres ataques recientes de ransomware contra proveedores de sangre.
En julio, el proveedor de sangre OneBlood, con sede en Florida, fue objeto de un ataque de ransomware que provocó importantes retrasos en el envío de productos sanguíneos a la región, lo que obligó a la empresa a etiquetar manualmente las muestras de sangre. El resultado fue una escasez de sangre que afectó a los hospitales de la zona y la atención a los pacientes. En junio, el proveedor de patología Synnovis fue atacado por una banda de ransomware, lo que provocó retrasos en la atención y las cirugías programadas en varios hospitales de Londres, y dejó miles de unidades de sangre inutilizables, ya que los tipos de sangre de los pacientes no podían investigarse sin acceso al sistema de registros médicos. . Y en abril, el proveedor de plasma sanguíneo Octapharma fue atacado a través de un sistema VMWare vulnerable, lo que cerró las donaciones de plasma sanguíneo en 35 estados. Estos ciberdelincuentes pudieron robar información de los donantes e información sanitaria protegida, además de perturbar la atención a los pacientes en EE. UU. y la UE.
Los equipos de TI de atención médica deben considerar el impacto de las interrupciones de la cadena de suministro en las operaciones comerciales y la atención al paciente, e identificar puntos únicos de falla. Los ataques resaltan la necesidad de integrar a los proveedores de misión crítica en los planes de gestión de riesgos empresariales y de gestión de emergencias. Las organizaciones también deben establecer comités y programas multidisciplinarios de gestión de riesgos de terceros (TRPM) para identificar las partes críticas para la misión, el negocio y la vida en su cadena de suministro, y desarrollar procedimientos sobre cómo manejarían la pérdida de cualquiera de estos servicios.
El Boletín Health-ISAC y AHA también recomienda determinar si los proveedores externos son: esenciales para la misión de atención médica, podrían tener consecuencias catastróficas para la organización en caso de falla del proveedor y si existen alternativas apropiadas.