El sector sanitari lidera tots els sectors en cost de bretxes
Per 14e any consecutiu, el sector sanitari te el cost de bretxa mes alt de qualsevol sector. L'informe IBM de 2025 fixa la mitjana en 7,42 milions de dolars per bretxa. Aquesta xifra baixa respecte als 9,77 milions de 2024, pero segueix estant molt per sobre de qualsevol altre camp.
La mitjana mundial per a tots els sectors: 4,44 milions de dolars.
Xifres clau
| Metrica | Valor | Font |
|---|---|---|
| Cost mig de la bretxa | 7,42 M USD | IBM 2025 |
| Cost per registre exposat | 398 USD | IBM 2025 |
| Dies per detectar i contenir | 279 dies | IBM 2025 |
| Bretxes grans (2025) | 710 | HHS OCR |
| Persones afectades (2025) | 62 milions | HHS OCR |
| Atacs de ransomware | 445 | Comparitech 2025 |
Les bretxes sanitaries tarden 279 dies a detectar-se i contenir-se. Aixo son cinc setmanes mes que la mitjana mundial. Quasi 10 mesos de risc obert.
Per que els registres medics es venen car
Els registres medics es venen per 10 a 40 vegades mes que les targetes de credit al mercat negre. Per que? Un sol registre conté molta informacio.
Dades d'identitat completes
Cada registre pot contenir:
- Nom complet, data de naixement, numero de la Seguretat Social
- Adresa, telefon i correu electronic
- Detalls d'asseguranca i d'ocupacio
- Dades de membres de la familia
Multiples tipus de frau
Els registres robats permeten:
- Robatori d'identitat medica
- Frau d'assegurances
- Frau de prescripcions
- Frau fiscal amb el numero de la Seguretat Social
Dades que no es poden canviar
Podeu cancel·lar una targeta de credit. No podeu canviar el vostre historial medic, el numero de la Seguretat Social ni la data de naixement. Per aixo els registres segueixen sent utils per als delinquents durant anys.
L'atac a Change Healthcare
La bretxa sanitaria mes gran de la historia va afectar Change Healthcare al febrer de 2024. El grup de ransomware BlackCat/ALPHV va dur a terme l'atac.
| Metrica | Valor |
|---|---|
| Registres afectats | 192,7 milions |
| Cost total | 3.100 M USD |
| Rescat pagat | 22 M USD |
| Sistemes aturats | Setmanes |
L'atac va tallar el processament de reclamacions i medicaments a tot els EUA. Els proveidors no podien enviar reclamacions. Els pacients no podien obtenir els seus medicaments. Els ingressos es van aturar.
El grup va cobrar el rescat de 22 milions i despres va publicar igualment les dades dels pacients en linia. Pagar no va servir de res.
Com ha canviat el ransomware
El ransomware en el sector sanitari va canviar molt entre 2024 i 2025.
| Metrica | 2024 | 2025 | Canvi |
|---|---|---|---|
| Taxa de bloqueig de fitxers | 74% | 34% | -54% |
| Taxa de robatori de dades | 94% | 96% | +2% |
| Demanda de rescat mitjana | 4 M USD | 343.000 USD | -91% |
| Rescat mig pagat | 1,47 M USD | 150.000 USD | -90% |
Els atacants ara se centren en el robatori de dades, no en el bloqueig de fitxers. Les copies de seguretat han millorat, de manera que el bloqueig de fitxers resulta menys eficac. Les dades robades segueixen tenint valor molt despres de l'atac.
El 96% de taxa de robatori significa que quasi tots els atacs extreuen dades.
Els 18 identificadors HIPAA
L'HIPAA enumera 18 tipus d'informacio de salut protegida (PHI) que requereixen proteccio. Qualsevol dada de salut vinculada a aquests elements es converteix en PHI sota la llei.
| # | Identificador | Exemples |
|---|---|---|
| 1 | Noms | Nom del pacient, noms familiars |
| 2 | Dades geografiques | Adresa, municipi, codi postal |
| 3 | Dates | Naixement, visita, alta |
| 4 | Numeros de telefon | Tots els numeros de telefon |
| 5 | Numeros de fax | Tots els numeros de fax |
| 6 | Adreces de correu electronic | Totes les adreces de correu |
| 7 | NSS | Numeros de la Seguretat Social |
| 8 | Numeros d'historia clinica | NHC, numeros d'expedient |
| 9 | Identificadors del pla de salut | Numeros de prestacio |
| 10 | Numeros de compte | Numeros de compte del pacient |
| 11 | Numeros de llicencia | Permis de conduir, etc. |
| 12 | Identificadors de vehicles | VIN, matricules |
| 13 | Identificadors de dispositius | Serials de dispositius medics |
| 14 | URL web | URL del portal del pacient |
| 15 | Adreces IP | Totes les adreces IP |
| 16 | Biometria | Empremtes digitals, empremtes de veu |
| 17 | Fotos de la cara | I imatges similars |
| 18 | Altres identificadors unics | Codis, trets |
Els proveidors son l'eslabo feble
Aquí hi ha un fet clau per a tots els CISO del sector sanitari:
Mes del 80% de la PHI robada prové de proveidors tercers, no d'hospitals.
Change Healthcare no va vulnerar hospitals concrets. Va atacar un intermediari que processa reclamacions per a milers de proveidors. Un sol error en un proveidor es va propagar a tots ells.
La seguretat de la vostra PHI nomes es tan solida com el proveidor mes feble.
Les multes de l'HIPAA creixen
L'Oficina de Drets Civils (OCR) del HHS esta actuant. El 2025:
| Metrica | Valor |
|---|---|
| Casos amb multes | 21 |
| Total de multes | 8,33 M USD |
| Principal objectiu | Mancances en l'analisi de riscos |
L'OCR s'enfoca en les organitzacions que no fan revisions de riscos adequades. Aixo es un pas fonamental de la Regla de Seguretat, i un buit comu.
Com protegeix anonym.legal la PHI
Els 18 identificadors HIPAA
anonym.legal cobreix els 18 tipus d'identificadors HIPAA amb validacions de suma de comprovacio. Noms, dates, numeros de la Seguretat Social, numeros d'historia clinica, telefon, fax, correu -- tot gestionat. Consulteu la nostra guia de compliment de l'HIPAA per als detalls.
Xifrat reversible
Molts equips necessiten restaurar dades per a estudis, auditories o revisions legals. anonym.legal utilitza xifrat AES-256-GCM que es pot desfer amb les claus d'acces adequades.
Compliment del metode Safe Harbor
El metode Safe Harbor de l'HIPAA exigeix eliminar els 18 tipus d'identificadors. El preset HIPAA d'anonym.legal ho fa per vosaltres:
- Noms -> [PERSON]
- Dates -> Nomes l'any
- Codis postals -> Primers 3 digits (si la poblacio >20.000)
- Identificadors directes -> Tokens xifrats
Processament local
Amb 7,42 M USD per bretxa, no podeu enviar PHI a servidors externs. L'App d'Escriptori d'anonym.legal s'executa a la vostra propia maquina. Les dades de salut protegides mai surten de la vostra xarxa.
El cost de no fer res
| Escenari | Cost |
|---|---|
| Bretxa sanitaria mitjana | 7,42 M USD |
| Pla Business d'anonym.legal | 29 EUR/mes |
| Cost anual | 348 EUR |
| Punt d'equilibri | 0,005% de prevencio de bretxes |
Si anonym.legal evita nomes el 0,005% del cost d'una bretxa, ja s'amortitza sol. L'atac a Change Healthcare va costar 3.100 milions de dolars. Uns millors controls de PHI a tota la cadena de proveidors podrien haver-lo aturat.
Conclusio
El sector sanitari seguira sent un objectiu prioritari. La PHI es valuosa. Els sistemes son complexos. Les cadenes de proveidors afegeixen risc. I la bretxa mitjana tarda 279 dies a detectar-se.
Quan teniu noticies d'una bretxa, el dany ja esta fet. El millor moviment es la prevencio, abans que es produeixi l'incident.
Com comecar
- Descarregueu l'App d'Escriptori -- Els fitxers romanen a la vostra maquina
- Instal·leu el complement per a Office -- Protegiu documents clinics
- Inicieu la prova gratuita -- 200 tokens per provar