haga que las visitas virtuales del doctor sean seguras y privadas

"Telesalud" se refiere a una amplia gama de tecnologías para conectar a los pacientes con los servicios de atención médica a través de videoconferencias, monitoreo remoto, consultas electrónicas y comunicaciones inalámbricas. Al igual que esperaría que su conversación virtual con su médico sea privada y segura, también querrá asegurarse de que toda su otra información médica que se transmite a través de Internet o redes celulares también esté protegida.

En octubre de 2018, el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del Instituto Nacional de Estándares y Tecnología (NIST) lanzó un proyecto que se centra en los desafíos de seguridad cibernética y privacidad que rodean el monitoreo de la salud de los pacientes de forma remota a través de telesalud. Cuando comenzamos el proyecto, la telesalud estaba en su mayor parte solo disponible para pacientes en áreas rurales o en un entorno de atención médica, pero desde entonces se ha disparado para volverse más accesible.

¿Quién sabía entonces que en 18 meses incluso más pacientes, con órdenes de quedarse en casa y ansiosos por evitar la exposición al coronavirus, elegirían la telesalud en lugar de las visitas tradicionales al médico? Además de ser una opción más segura durante una pandemia al permitir que el paciente y el médico mantengan una distancia segura entre sí, la telesalud permite que el paciente permanezca en la comodidad de su hogar durante la recuperación o el monitoreo. También puede brindar un mejor acceso a la atención médica para los pacientes, facilitar el acceso a los datos del paciente y permitir que el médico brinde atención de mayor calidad a más pacientes.

Para este proyecto, mi equipo y yo estamos enfocados en la monitorización remota de pacientes (RPM). RPM es un servicio conveniente y rentable para los pacientes que tienen problemas de salud que requieren un control médico regular y, por lo general, cuando las visitas en persona no son prácticas. Los médicos usan sensores conectados a tecnologías basadas en Internet para rastrear los signos vitales del paciente (por ejemplo, presión arterial, frecuencia cardíaca, peso, niveles de glucosa, etc.) mientras el paciente permanece en su hogar.

A medida que aumenta el crecimiento y la popularidad de la telesalud, es fundamental evaluar los riesgos de seguridad y privacidad. Trabajamos en estrecha colaboración con el equipo de privacidad del NIST para asegurarnos de capturar una imagen completa de los riesgos. Una vez identificados, implementamos controles de seguridad como el cifrado para minimizar los riesgos de seguridad y privacidad para los pacientes y otros participantes.

Aumentamos nuestro equipo de NCCoE con colaboradores de la industria privada que representan a proveedores de tecnología, expertos en ciberseguridad de la atención médica y representantes de sistemas de salud. Nuestros colaboradores respondieron a una llamada en el Registro Federal . Se invitó a empresas con productos y experiencia relevantes a participar en un consorcio para crear una solución de ejemplo que mejore la seguridad y la privacidad de la amplia gama de dispositivos y sistemas utilizados para facilitar la comunicación entre el paciente y el proveedor de atención médica.

Con nuestro equipo finalizado a principios de marzo, tuvimos un gran comienzo.

Sin embargo, eso duró poco, ya que todo cambió pronto debido a la pandemia de COVID-19. Ya no teníamos acceso físico a nuestro laboratorio y se acabaron los días en los que podíamos juntarnos en torno a una computadora portátil para solucionar problemas de manera colaborativa. También desaparecieron las discusiones improvisadas durante el café. En cambio, solo podríamos tener reuniones en línea. Al aceptar nuestra nueva situación, rápidamente pasamos a utilizar una variedad de herramientas de colaboración para trabajar con los miembros de nuestro equipo de la industria para instalar, configurar e integrar de forma remota sus tecnologías para crear una solución de ejemplo. Actualmente lo estamos finalizando y lo probaremos para asegurarnos de que aborde los desafíos de ciberseguridad y privacidad.

Afortunadamente, esta nueva realidad no ha frenado realmente el trabajo de nuestro equipo.

Al evaluar el ecosistema de RPM, identificamos tres dominios principales: la organización de prestación de servicios de salud (HDO), el proveedor de telesalud y el hogar del paciente. Dado que cada dominio es administrado y utilizado por diferentes personas u organizaciones con diferentes niveles de habilidad, los riesgos de configuraciones incorrectas de seguridad accidentales y otras amenazas pueden manifestarse de manera diferente. El paciente, sin embargo, es el actor principal en el escenario de RPM, ya que son ellos los que se conectan a los diversos dispositivos de monitoreo y utilizan los sistemas que se comunican con los proveedores de atención.

El dominio doméstico del paciente incluye los dispositivos de monitoreo de diagnóstico, la red doméstica y los dispositivos propiedad del paciente, como teléfonos inteligentes, tabletas, computadoras portátiles y computadoras domésticas. En nuestro escenario, el equipo RPM está configurado en el hogar del paciente y está emparejado con una aplicación de software adjunta descargada en un dispositivo administrado por un proveedor de HDO / telesalud. Los pacientes también pueden usar la aplicación para comunicarse con su proveedor de atención médica a través de videoconferencias, correo electrónico, mensajes de texto, mensajería instantánea o voz. Los datos se pueden transmitir a través de la red doméstica del paciente y a Internet oa través de la red celular. Esas transmisiones se transmiten a un proveedor de plataforma de telesalud que, a su vez, enruta las comunicaciones al HDO.

Estamos documentando nuestro trabajo en una Guía de práctica de NIST, que publicaremos a mediados de noviembre. Estará abierto a comentarios públicos durante 30 días. El documento incluirá una solución práctica para asegurar el ecosistema RPM de telesalud utilizando las tecnologías proporcionadas por nuestros colaboradores. Si bien es importante tener en cuenta que no estamos analizando los productos de los proveedores en busca de vulnerabilidades, la publicación proporcionará una evaluación de riesgos en un ecosistema RPM representativo en un entorno de laboratorio, aplicará el Marco de Ciberseguridad del NIST y una guía basada en los estándares de dispositivos médicos, incluido el Seguro de Salud. Regla de seguridad de la Ley de Portabilidad y Responsabilidad (HIPAA)y brindar una descripción detallada de los pasos prácticos necesarios para implementar una solución segura basada en estándares y mejores prácticas. El documento también incluirá una tabla de mapeo del Marco de Ciberseguridad del NIST, que mapea las características de seguridad de los productos de los colaboradores con el Marco de Ciberseguridad del NIST para facilitar a los usuarios la aplicación a su entorno.

Cuando comenzamos este proyecto, la telesalud estaba creciendo, pero aún tenía que lograr una adopción generalizada. Ahora, en medio de una pandemia mundial y un rápido cambio hacia el uso de telesalud, este proyecto ha cobrado más importancia. Un legado de esta pandemia probablemente sea el uso continuo y creciente de la telesalud. La guía práctica de este proyecto NCCoE garantizará que los pacientes y los HDO estén mejor protegidos de los riesgos de ciberseguridad y privacidad en el futuro.