La Asociación Americana de Hospitales y Health-ISAC han publicado un Boletín conjunto de amenazas después de que una serie de ataques de ransomware por parte de bandas cibercriminales rusas provocaron escasez de sangre e interrumpieron la atención a los pacientes en los EE. UU. y el Reino Unido.
Las organizaciones instan a las organizaciones de prestación de atención médica, hospitales y sistemas de salud a prepararse para las interrupciones de la cadena de suministro física causadas por ataques cibernéticos a proveedores externos que podrían crear problemas importantes en la prestación de atención a los pacientes.
El boletín destaca tres ataques recientes de ransomware contra proveedores de sangre. En julio, el proveedor de sangre OneBlood, con sede en Florida, fue objeto de un ataque de ransomware que provocó importantes retrasos en el envío de productos sanguíneos a la región, ya que la empresa se vio obligada a etiquetar manualmente las muestras de sangre. El resultado fue una escasez de sangre que afectó a los hospitales de la zona y la atención a los pacientes. En junio, el proveedor de patología OneBlood fue objeto de un ataque de ransomware que provocó importantes retrasos en el envío de productos sanguíneos a la región, ya que la empresa se vio obligada a etiquetar manualmente las muestras de sangre. Sinnovis El Hospital de Londres fue atacado por un grupo de ransomware, lo que provocó retrasos en la atención y las cirugías planificadas en varios hospitales de Londres. Además, no se pudieron utilizar miles de unidades de sangre porque sin acceso al sistema de registros médicos, no se podían investigar los tipos de sangre de los pacientes. Y en abril, el proveedor de plasma sanguíneo Octapharma fue atacado a través de un sistema VMWare vulnerable, lo que cerró las donaciones de plasma sanguíneo en 35 estados. Estos ciberdelincuentes pudieron robar información de donantes e información de salud protegida, además de perturbar la atención a los pacientes en Estados Unidos y la Unión Europea.
Los equipos de TI de atención médica deben considerar el impacto de las interrupciones de la cadena de suministro en las operaciones comerciales y la atención al paciente, e identificar puntos únicos de falla. Los ataques resaltan la necesidad de integrar a los proveedores de misión crítica en los planes de gestión de riesgos empresariales y de gestión de emergencias. Las organizaciones también deben establecer comités multidisciplinarios de gestión de riesgos de terceros y programas de gobernanza para identificar la misión, el negocio y las partes críticas para la vida en sus cadenas de suministro, así como desarrollar procedimientos sobre cómo manejarían la pérdida de uno de estos servicios.
El Boletín Health-ISAC y AHA también recomienda determinar si los proveedores externos son fundamentales para la misión de atención médica, si podrían tener consecuencias catastróficas para la organización en caso de falla del proveedor y si hay alternativas apropiadas disponibles.