meetup_imgcentral1

La semana pasada se realizó una nueva sesión de charlas y discusiones organizado por Santiago Health 2.0.  En ocasiones anteriores se ha hablado de Big Data y otros temas adicionales, en esta ocasión el tema central fue la Seguridad y Protección de los Datos Clínicos.
La finalidad de esta reunión fue buscar respuestas a preguntas como ¿Qué tan seguros son los datos clínicos en Chile? ¿Cuáles son los riesgos a los que está expuesta nuestra información de salud? ¿Cómo se puede proteger?

Para encontrar la respuesta a estas interrogantes uno de los invitados a exponer fue Jaime de los Hoyos, médico, se ha desempeñado desde el año 2008 en el entorno de la informática en salud, participando como docente y jefe de la carrera de Informática Biomédica en DuocUC, como jefe de Informática Clínica en la Clínica Universidad de los Andes, y actualmente como Subdirector de Informática Clínica en la Red de Salud UC-Christus. Presidente de ACHISA en el período 2013-2015.

jdeloshoyos_meetup1

Jaime habló sobre el Registro Clínico Electrónico (RCE) en Chile, planteando la pregunta ¿Cómo protegemos la información de nuestros pacientes?

Para explicar desde le punto vista legal, Jaime repasó la Ley 20.584 que regula los derechos y deberes que tienen las personas en relación con acciones vinculadas a su atención en salud. Basicamente, dio a conocer las debilidades de esta ley y los problemas sin resolver que giran en torno a las fichas clínicas.
Si bien esta Ley regula la privacidad y confidencialidad de esa información, hay puntos claves que quedan fuera como por ejemplo ¿A quien le pertenece la ficha clínica? ¿Si pertenece a las personas, entonces podemos pedir que se destruya?.

Tambien cuestionó el cómo se protege este tipo de información, entregando ejemplos de otros paises en los cuales hospitales o centros de salud han sufrido distintos tipos de ataques (por ej ransomware) provocando incluso un problema operacional de la institución. Lamentablemente no habían antecedentes de caso similares en Chile (al menos que hayan salido a la luz). Link “Hospital de Estados Unidos fue víctima de un ransomware al azar

Además dio un par de ejemplos relacionados a vulnerabilidades en algunos dispositivos clínicos, mencionando el caso de la bomba de insulina controlada vía bluetooth que podía ser intervenida remotamente modificando los niveles de insulina.

 

Por mi parte, estuve hablando sobre la Privacidad y Seguridad de Datos Clínicos en un nivel un poco más técnico. Abordé mi presentación planteando tres preguntas clave: ¿Cómo ve el gobierno la seguridad de datos clínicos? ¿Cómo lo ven las instituciones de salud? ¿Cómo lo veo yo?

meetup_zerial1

Para mostrar cómo ve el gobierno la protección de este tipo de información, al igual que Jaime me referí a la Ley de Derechos y Deberes, además mencioné la política de privacidad y seguridad que aparece en el sitio web de la superintendencia de salud:

La información que surja de la ficha clínica, de los estudios y demás documentos donde se registren procedimientos y tratamientos a los que fueron sometidas las personas, es considerada como dato sensible y por tanto tiene la calidad de reservada. Quienes no estén relacionados Directamente con la atención no tendrán acceso a la información, salvo las excepciones legales.

Linkhttp://www.supersalud.gob.cl/consultas/570/w3-article-7973.html

Además, hice un recorrido por las distintas políticas de seguridad y de privacidad de instituciones de salud como FONASA (gobierno) y algunos centros médicos privados.

Para contrastar las dos primeras interrogantes, expuse la privacidad y seguridad de datos desde mi punto de vista; es decir a nivel técnico como se expone la información de los pacientes y qué tipo de debilidades o fallas de seguridad son recurrentes en este tipo de instituciones.

Principalmente hablé sobre una investigación que publiqué en este mismo blog hace más de un año (https://blog.zerial.org/seguridad/atacando-sistemas-legacy-fonasa-y-sag/) y que aun sigue teniendo el mismo problema de seguridad. Además, mostré ejemplos de sistemas de clínicas que han sido “hackeados” en reiteradas ocasiones y no existe ningun tipo de comunicado ni noticia en la cual algun responsable de algun tipo de explicaciones. Estos sitios intervenidos corresponden a direcciones como “examen.clinica.cl” o “examenes.clinica.cl” por lo que, desde mi punto de vista, no es un tema menor ya que si un atacante logró tomar control remoto del servidor donde se alojan los examenes ¿qué tipo de información se pudo haber robado? Tal como comentó Jaime, este tipo de información es muy cotizada en la “web oscura”.

Finalmente, expliqué brevemente las principales vulnerabilidades a las que estan expuestos los sistemas web de las instituciones de salud y que tienen directa repercución en los pacientes.

  • Anulación masiva de horas (reserva de horas).
  • Acceso a resultados médicos (examenes online) de terceros.
  • Exposición de datos sensibles: archivos con información sensibles expuestos en internet sin ningún tipo de protección.

 

Pueden descargar mi presentación desde aqui: https://blog.zerial.org/files/Seguridad%20Datos%20Clinicos%20Meetup%20Nov2016.pdf

 

 

Aqui pueden ver los futuros eventos que se realizaran en torno a Health 2.0.