Brechas de seguridad, ahora en ensayos clínicos
Garantizar la privacidad de los pacientes es una de los preceptos éticos en los que se fundamenta la Sanidad. Los pacientes que se prestan voluntarios para participar en ensayos clínicos esperan por tanto que sus datos personales sean confidenciales, pero las brechas de seguridad encontradas en la transferencia de archivos sensibles en ensayos pediátricos podría revelar que la seguridad de estos datos no está garantizada en absoluto.
Una vez más en el trasfondo de estos agujeros de seguridad subyace la ignorancia humana. En concreto, tal y como destacaba el análisis de HITRUST sobre fallos de seguridad en eSalud la ausencia de encriptación y el uso de contraseñas poco seguras. Conviene recordar los cuatro pilares básicos para prevenir este tipo de sucesos: encriptar los datos usando contraseñas seguras, controlar los equipos mediante un registro, evitar la copia de datos no autorizada, controlar el acceso de forma individual.
El estudio ha analizado la seguridad de los archivos que son transmitidos y la forma en que se transmiten entre los investigadores. Los resultados son escalofriantes, 14 de los 15 que se transmitieron por e-mail pudieron ser abiertos utilizando programas sencillos para averiguar la contraseña, y de estos 13 contenían datos sobre los estudios y los pacientes. Además los métodos para compartir archivos incluían situaciones de riesgo elevado como el envío no codificado por correo electrónico o el almacenamiento en discos duros compartidos con contraseñas débiles.
Crackear las contraseñas fue algo trivial según el Dr. El-Elman que dirigió el estudio "había contraseñas tan simples como fabricantes de coches (p.ej. nissan) y secuencias numéricas sencillas (p.ej. 123). Fue fácil adivinarlas para los programas de recuperación de contraseñas". El estudio, publicado en JMIR y de acceso libre, vuelve a incidir sobre las recomendaciones clásicas: encriptado y uso de contraseñas fuertes, minimizar la difusión de la contraseña maestra, planificar y controlar los accesos a los datos, confirmar que se cumplen los mínimos en cuanto a los sistemas de encriptado y fortalecer el reporte de brechas de seguridad.
En algunos estados americanos los agujeros de seguridad en el entorno sanitario son considerados como actos negligentes con las consecuencias penales que pueden derivarse de esto. Y es que al igual que debemos garantizar la confidencialidad de nuestros pacientes manteniendo el secreto profesional, estamos obligados a conocer y cumplir las bases de la seguridad informática antes de poner en riesgo la privacidad.
Deja un comentario