You’ve been hacked! Your Worst Nightmare! 1. HIPAA y la Regla de Privacidad Todos los que estamos aquí conocemos que tenemos unos deberes de preservar.

Presentación del tema: "You’ve been hacked! Your Worst Nightmare! 1. HIPAA y la Regla de Privacidad Todos los que estamos aquí conocemos que tenemos unos deberes de preservar."— Transcripción de la presentación:

1 You’ve been hacked! Your Worst Nightmare! 1

2 HIPAA y la Regla de Privacidad Todos los que estamos aquí conocemos que tenemos unos deberes de preservar la privacidad de los expedientes médicos de los pacientes que manejamos en las oficinas e instituciones donde se brindan servicios de Salud. Este deber emana de la Regla de Privacidad establecida en lo que conocemos como el Health Insurance Portability and Accountability Act (HIPAA), codificada bajo 45 CFR Part 160 and Subparts A and E of Part 164. 2

3 HIPAA y la Regla de Privacidad Esta disposición legal establece que existen estándares nacionales de protección de los récords médicos de las personas, así como otra información pertinente que las entidades cubiertas por la ley tengan bajo nuestra custodia. La encuentran en 45 CFR Part 160 and Subparts A and E of Part 164. 3

4 HIPAA y la Regla de Seguridad  Pero HIPAA dispone algo más en torno a la protección de la información del paciente. HIPAA establece unos requisitos para salvaguardar la SEGURIDAD de la información, incluyendo seguridad física y tecnológica de la información que mantenemos. Esta la pueden encontrar en 45 CFR Part 160 and Subparts A and C of Part 164. 4

5 HIPAA: Entidades Cubiertas ¿Y cuáles son las entidades cubiertas? Los planes médicos, clearinghouses, y todo proveedor de servicios médicos, individuales o institucionales. Por tanto, aplica a planes médicos?; a oficinas médicas?; hospitales?; a farmacias?; a los laboratorios?; a procesadores de reclamaciones (“clearing houses”)? 5

6 HIPAA: Asociados de Negocios Y les pregunto: ¿Aplica a los abogados de un hospital que manejan casos de impericia? ¿Y a los facturadores externos de una oficina médica? Si, por virtud de lo que conocemos como Asociados de Negocios o Business Associates Rule, todo contratista que advenga en contacto con información protegida en el curso del desempeño de sus funciones delegadas, debe sujetarse a los mismos requerimientos que tiene la entidad cubierta. Las definiciones de Asociado de Negocio y Entidad Cubierta están en 45 CFR 160.103. 6

7 HIPAA: HITECH & ACA Para un resumen combinado de las disposiciones de HIPAA:  http://www.hhs.gov /hipaa/for-professionals/privacy/laws- regulations/combined-regulation-text/index.html http://www.hhs.gov /hipaa/for-professionals/privacy/laws- regulations/combined-regulation-text/index.html  Pero además existen otras disposiciones que enmiendan HIPAA, como es HITECH, o ACA, que son igualmente complicadas e imponen deberes y obligaciones en el manejo de la información del individuo que manejamos. 7

8 HIPAA y la Regla de Privacidad Basta decir que existe un deber legal de proteger la información de salud de los pacientes. No cumplir con la ley conlleva serias consecuencias. Y usted, como miembro del grupo financiero de la institución, es parte del equipo que viene llamado a velar por el manejo de riesgo institucional, para identificar posibles vulnerabilidades y prevenirlas. Si no, pasa lo que veremos a continuación: 8

9 Hacking Nuevos Retos Tecnológicos 9

10 Hacking: Comercio 2014-Target- Target Corp. Durante el periodo navideño de 2013, hubo acceso no autorizado a los sistemas de información de Target, resultando en divulgación de información de las tarjetas de crédito de la mega tienda, que a su vez resultó en el robo de información personal de más de 110 millones de personas, incluyendo dirección y teléfonos de los afectados. Target estimó el costo en $252 Millones. Descontando el recobro del seguro, la pérdida neta se “redujo” a $162 Millones. 10

11 Hacking: Comercio  Home Depot también fue objeto de un hacking de 53 millones de data sobre tarjetas de crédito de la mega tienda en 2014. Las pérdidas se estimaron en $43 millones, o el 0.1% del total de ventas del año 2014.  Finalmente, Sony Pictures, fue objeto de un hacking alegadamente perpetrado por el gobierno de Corea del Norte. Eso impactó los réditos esperados de la película “The Interview”. Pérdidas netas directas de $35-40 millones, sin considerar lo que dejaron de ganar al decidir distribuir la película a través del dominio público mediante YouTube. 11

12 Hacking: Salud 12

13 Hacking: Salud Anthem  El mayor evento de hacking en el área de Salud hasta la fecha con más de 78 millones de personas afectadas.  Perpetrado por un grupo conocido como “Deep Panda”, reconocido por su habilidad de apropiarse de data ajena en las industria de tecnología, industria aeroespacial y la de energía. Esta vez hicieron un ataque doble, pues poco después hicieron lo mismo con Premera, otro mega asegurador de la costa oeste de Estados Unidos.  La cubierta de seguros de Anthem para este tipo de incidentes de cyber seguridad era de $150-$200 millones pero aún no han terminado de determinar el costo final del evento.  La multa de HHS fue de $1.78 millones por no hacer un análisis de riesgo de su sistema de seguridad cibernética. 13

14 Hacking: Salud Premera  11 millones de personas afectadas.  Ataque similar al de Anthem pero se extendió por casi 7 meses. (Mayo 5, 2014 a Enero 29, 2015  No se ha determinado aún la pérdida, ni se han impuesto multas o penalidades. Se han radicado varios pleitos de clase con la aseguradora. 14

15 Hacking: Salud  Feb. 2016- Hollywood Presbyterian Medical Center:  Sistemas se afectaron por más de una semana.  El personal se vio forzado a realizar sus tareas en papel.  “Ransomware” es un tipo de ataque cibernético que infecta los sistemas tecnológicos de su víctima y restringe el acceso, requiriendo un pago a modo de extorción o rescate para volver a permitir el acceso al sistema. Muchas veces este pago se requiere en “bitcoins” o moneda cibernética, que hace más dificil la identificacion del hacker.  Aunque originalmente se habló de un pago de $3.4 millones, lo cierto que se pagaron 40 bitcoins, equivalentes a $17,000. 15

16 Otras instituciones afectadas por el “hacking” en 2016  Marzo 21, 2016: Methodist Hospital en Henderson, KY., fue atacado por ransomware y declaró un estado interno de emergencia al no poder acceder ninguno de sus sistemas operativos. El ataque aisló toda comunicación basada en el sistema electrónico del hospital así como todo lo que utiliza el web para comunicarse.  Los atacantes utilizaron una herramienta conocida como Locky que infecta el sistema, copia los records y encripta los originales. Se transmite por email. El Hospital pudo utilizar su sistema de resguardo (“backup”) y levantó la data. Eso enfatiza el uso efectivo de los resguardos y sistemas de defensa contra ataques cibernéticos.  Marzo 23, 2016: Otros dos hospitales fueron atacados por ransomware en California, El Chino Valley Medical Center y el Victorville’s Desert Valley Hospital, subsidiarias de Prime Healthcare. Las instituciones también pudieron resolver la situacion utilizando su sistema de resguardo. 16

17 Tendencias Actuales de Hacking *  “ Criminal attacks are the number-one root cause of healthcare data breaches, with a 125% growth in these attacks over the last five years—a huge net change. Employee negligence and lost or stolen devices still result in many data breaches. However, one of the trends we are seeing is a shift of data breaches—from accidental to intentional—as criminals are increasingly targeting and exploiting healthcare data. Cyber criminals recognize two critical facts about the healthcare industry: 1) healthcare organizations manage a treasure trove of financially lucrative personal information and 2) they do not have the resources, processes, and technologies to prevent and detect attacks and adequately protect healthcare data.”  *Criminal Attacks: The New Leading Cause of Data Breach in Healthcare, Ponemon Institute, May 7, 2015, 17

18 Costo del Hacking Estudio de IBM/Ponemon reflejó los siguientes datos respecto a data breaches (accesos no autorizados) durante el 2015 en Estados Unidos* :  El costo promedio por récord accesado ilegalmente es de $217, pero en la industria de salud es de $398/por record  El costo promedio de cada incidente es de $6.5 millones, pero casi el doble en la industria de salud  Aumento de 11% en el costo por incidente y de 8% por cada récord accesado ilegalmente. *2015 Cost of Data Breach Study: United States, Ponemon Institute, May 2015 18

19 Costos del Hacking Directos:  Investigaciones, informes y notificaciones sobre el incidente  Acciones de contingencia y remediales  Aumento en personal  Llamadas y visitas de personas afectadas  Informes de Crédito a personas afectadas  Gastos legales generales relacionados  Investigación o imposición de multas o penalidades  Litigios individuales o de clase  Cancelaciones de Contratos  Renegociación de contratos de confidencialidad o de Asociados de Negocio 19

20 Costos del Hacking  Indirectos:  Perdida de Negocio y de ingresos  Perdida de Ventaja Competitiva y de Confiabilidad en el mercado  Daños a la reputación e imagen institucional  Readiestramiento del Personal  Revisión de Políticas y Procedimientos 20

21 Costo del Hacking  El Office of Civil Rights (OCR) de HHS, que es quien reglamenta el cumplimiento con HIPAA y HITECH, tiene autoridad para imponer penalidades hasta la suma de $1,500,000 por tipo de violación, por año en que la violación permaneció al descubierto.  A modo de ejemplo, OCR impuso las siguientes penalidades:  CVS pagó penalidades por $2,250,000 (2009)  New York-Presbyterian Hospital y Columbia University recibieron una multa solidaria de $4.8 millones (2014)  Anthem pagó $1,78 millones (2015).  Major HIPAA Data Breaches Make 2014 a Landmark Year, Dec 30, 2014 | HIPAA JournalDec 30, 2014HIPAA Journal 21

22 Pandemia del Hacking  " The growing sophistication and collaboration of cybercriminals ties directly with the historic costs we're seeing for data breaches. The industry needs to organize at the same level as hackers to help defend themselves from these continuing attacks. The use of advanced analytics, sharing threat intelligence data and collaborating across the industry will help to even the playing field against attackers while helping mitigate the cost to commerce and society.“  Marc van Zadelhoff, Vice President of Strategy, IBM Security 22

23 You’ve been Hacked! Tecnologías de Cyber Seguridad y Hacking 23

24 Medidas de Seguridad  “Double entry” o “double check of data”  Controles de acceso  Contraseñas  “pin numbers”  “Encrypting”  Auditorías periódicas  Adiestramientos relacionados a la privacidad y su importancia  Establecer y comunicar las sanciones por este tipo de violación 24

25 Ransom-ware Nueva modalidad de ataques. Comprometen el Sistema a cambio de pago de dinero. 25

26 “Phishing”  Suplantación de identidad  Abuso informático que se que comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta.  Tipos de información:  Contraseñas  Detalles de Tarjetas de Crédito  Dinero  Método:  El cibercriminal “phisher” se hace pasar por una persona o empresa de confianza en una aparente comunicación electrónica oficial, a través de  su correo electrónico;  sistema de mensajería instantánea; o  Llamadas telefónicas 26

27 “Phishing” (Cont.)  Ejemplos:  Transacción no Autorizada:  “We suspect an unauthorized transaction on your account. To ensure that your account is not compromised, please click the link below and confirm your identity.“  Verificación de Información:  “During our regular verification of accounts, we couldn't verify your information. Please click here to update and verify your information.“  Sobrecargo a su cuenta:  “Our records indicate that your account was overcharged. You must call us within 7 days to receive your refund.” 27

28 “ Social Hacking”  Ingeniería Social  El acto o intento de manipular el comportamiento social resultante a través de acciones pre planificadas con el fin de conseguir acceso a información restringida sin el debido permiso.  Métodos:  Hacerse pasar por un individuo o grupo que sea directa o indirectamente conocido para las victimas; o  Hacerse pasar por alguien con un puesto de autoridad o un superior. 28

29 “ Social Hacking” (Cont.)  Técnicas:  “Dumpster Diving”:  Buscar documentos en la basura que puedan señalar hábitos, actividades, interacción de organizaciones e individuos.  “Role Playing”  Haciéndose pasar por alguien para lograr confianza con victima  Personal de mantenimiento  Doctor o practicante de la salud en un hospital  “Spear Phishing” 29

30 Contraseñas Alfanuméricas  Alfanuméricas:  Contraseñas que incluyen ambos letras y números.  Tiempo de procesamiento  Longitud de la contraseña  Problemas:  Es habitual poner las palabras mas fáciles para poder recordar su acceso a sus datos 30

31 Contraseñas Alfanuméricas (Cont.)  Métodos para descifrar:  Ingeniería social  Phishing  “Pin Pushing”  Ej. Robots y Programas: Combinación de 4 dígitos: 10,000 posibles combinaciones  Importancia:  La facilidad de programas computadorizados en descifrar contraseñas basadas en letras o números  Juego de probabilidad: aumentan las posibilidades si hay mas elementos para combinar y por lo tanto dificulta el acceso automatizado. 31

32 Contraseñas Alfanuméricas (Cont.)  Recomendaciones:  Nunca debería utilizar únicamente letras o sólo números en una contraseña.  No utilice palabras reconocibles  No utilice palabras en idiomas extranjeros  No utilice terminología de hackers  No utilice información personal  No invierta palabras reconocibles  No escriba su contraseña  No utilice la misma contraseña para todas las máquinas 32

33 Las peores contraseñas  Ej.  12345  Password  Welcome  Login  Abc123  000000  starwars  (Su nombre)  (Su número de teléfono)  (Sus gustos evidentes)  (Su fecha de cumpleaños) 33

34 Las mejores contraseñas  Mezcla de números, letras y símbolos  Mientras más caracteres mejor  Mayúsculas y minúsculas  Cambio constante  Combinación de palabras  Hogar, Perro, Luis  [ho][Pe][lu]  [gar][rro][is]  De la que te acuerdes… 34

35 Medidas adicionales de seguridad  Security tokens  Two-Step Authentication  Se le requiere al usuario confirmar acceso a través de otro dispositivo o computadora independiente. 35

36 Tecnologías de Cyber seguridad y Hacking  Cada dólar que se invierta en medidas preventivas de seguridad representa cientos o miles de dólares que una empresa se ahorrará en caso de que sea objeto de un hacking. Qué, cuándo, y cuánto?, son preguntas que sólo la empresa debe contestar. 36

37 La curiosidad mató al gato… 37

38 Los empleado y el manejo de la Información de Salud  De acuerdo a un informe de Caliptixk de Diciembre 2015: “Top Three Causes of Health Data Breaches”, estas son las causas internas más frecuentes de acceso no autorizado a PHI:  A. Pérdida o robo de equipo (laptops, smartphones, y otras)  B. Acceso indebido aunque autorizado: Averiguando  C. Errores en el manejo de la información. 38

39 HIPAA- Regla de Privacidad  La regla de privacidad restringe a cualquier entidad cubierta de revelar información de salud protegida a terceros a menos que exista una autorización válida firmada por el paciente o la liberación de información se enmarque dentro de una de las excepciones.  Un empleado que viole la política de confidencialidad será sujeto a sanciones que puede incluir el despido inmediato.  Una violación puede dar lugar a la terminación inmediata de todos los contratos. 39

40 Despidos por filtración de información médica  Ley de Despido Injustificado - Ley Núm. 80 de 30 de mayo de 1976, según enmendada  Despido puede ser con o sin causa  Despido significa: terminación del empleo o cesantía, suspensión indefinida de empleo, despido tácito o constructivo o suspensión que exceda tres meses.  En Puerto Rico para que un patrono pueda despedir a un empleado sin tener responsabilidad legal y económica tiene que mediar justa causa  El propósito de la Ley 80 es proteger a empleados de actuaciones arbitrarias del patrono  Ni el que se hace sin razón relacionada con el buen y normal funcionamiento del establecimiento  No se considera despido por justa causa el que se hace por el mero capricho del patrono 40

41 Ley de Despido Injustificado Regla general - “Justa causa” atribuible al empleado:  Patrón de conducta impropia o desordenada;  Actitud del empleado de no rendir su trabajo en forma eficiente o de hacerlo tardía y negligentemente, o en violación de las normas de calidad del producto que se produce o maneja en el establecimiento;  Violación reiterada del empleado de las reglas y reglamentos razonables establecidos por la empresa, siempre que copia escrita de los mismos se le haya dado al empleado.  Siempre debe existir justa causa para tomar acción disciplinaria o correctiva  La medida debe estar basada en razones legítimas  No discriminatorias (por razones protegidas)  No por represalias  No difamatorias ni falsas 41

42 Ley de Despido Injustificado  Excepción - despido por primera ofensa -Como regla general, no se favorece  La Ley Núm. 80 no excluye despido en primera ofensa o única ofensa  Falta cuya intensidad de agravio requiere despido en protección de la buena marcha de la empresa y la seguridad de las personas que allí laboran.  Acción u omisión que pone en riesgo el orden o la eficiencia para el funcionamiento del negocio.  Ofensa de tal seriedad que revele una actitud tan lesiva a la paz y al buen orden de la empresa que constituiría una imprudencia esperar que se repita.  Consulte siempre antes de actuar  Departamento de Recursos Humanos; Personas con conocimiento o necesidad de saber, División Legal 42

43 Casos recientes de Hacking: Farrah Fawcett  UCLA Medical Center  Tratamientos para el cáncer  Información vendida a revistas  Información fue “hacked” por segunda ocasión 43

44 Casos recientes de Hacking: Dr. Richard Sacra  Nebraska Medical Center  Paciente de ébola  Curiosidad de dos empleados  Acceso no autorizado descubierto por auditorías realizadas 44

45 Casos recientes de Hacking: Britney Spears  UCLA Medical Center  Hospitalización en la unidad psiquiátrica  13 empleados despedidos  No fue la primera vez 45

46 Casos recientes de Hacking: Kim Kardashian-West  Cedars-Sinai Medical Center  Parto de su hija North  6 empleados despedidos  Violación de política del hospital 46

47 Consecuencias  Imposición de multas por el HHS  1.7 millones (centro de terapia física en Missouri)  $865,500 (caso de Kim Kardashian)  Terminación inmediata de contratos con hospitales y/o proveedores  Pérdida de confianza en el hospital 47

48 Contratación de Empleados: Verificación de Antecedentes  56% de los candidatos proveen información falsa  En Puerto Rico aplica la doctrina de contratación negligente.  Relación de empleo  Empleado no estaba cualificado  Patrono lo sabía o debió saberlo  Empleado causó daño a tercero  Pre-empleo  Récords Judiciales  Cláusulas que se deben incluir en contratos con empleados  Protección de información confidencial, propiedad intelectual, etc. 48

49 Pandemia del Hacking  Como vemos, esta tendencia se ha convertido en una pandemia que nos amenaza a todos por igual. Un estudio reciente demostró que el 48% de las organizaciones de cuidado de la salud han sido objeto de ataques cibernéticos durante el 2015.* Sus consecuencias, incalculables. Por ello debemos conocerla, y prevenirla, mejor que remediarla. *http://www.hipaajournal.com/ponemon-48-healthcare-organizations- suffered-phi-breach-past-year-3349/ 49

50 50

51 CONTACT INFORMATION: Robert F. Nater Lebrón, Esq. Jean Vidal-Font, Esq. Luis O. Rodriguez-López, Esq. 221 Plaza, 5th Floor Ponce de León Avenue San Juan, PR 00918 (787) 766-7000 ferraiuoli.com 51