Trabalhando juntos para garantir nosso futuro em expansão da saúde conectada

Views: 351
0 0
Read Time:5 Minute, 36 Second

Proteger dispositivos médicos não é um desafio novo. O ex-vice-presidente Cheney, por exemplo, teve as capacidades sem fio de um desfibrilador desativado quando implantado perto de seu coração em 2007, e departamentos de TI hospitalares e provedores de saúde há anos garantiram dispositivos médicos para proteger os dados dos pacientes e atender aos requisitos da HIPAA.

Com a expansão dos perímetros de segurança, o aumento do uso de telessaúde (particularmente durante o COVID-19), e a proliferação no número e tipos de tecnologias conectadas, a segurança cibernética em saúde evoluiu para um esforço mais complexo e urgente.

Hoje, sistemas hospitalares maiores têm aproximadamente 350.000 dispositivos médicos funcionando simultaneamente. Além disso, milhões de dispositivos conectados adicionais são mantidos pelos próprios pacientes. Nos próximos 10 anos, estima-se que o número de dispositivos médicos conectados possa aumentar para cerca de 50 bilhões, impulsionados por inovações como 5G, edge computing e muito mais. Esse aumento da conectividade aumentou a ameaça de ataques cibernéticos não apenas aos dados dos pacientes, mas também à segurança do paciente. Vulnerabilidades na tecnologia de saúde (por exemplo, uma máquina de ressonância magnética ou marca-passo) podem levar a danos ao paciente se os diagnósticos estiverem atrasados ou os tratamentos certos não chegarem às pessoas certas.

O que a indústria da saúde pode fazer para fortalecer suas defesas hoje? Como eles podem estabelecer as bases para dispositivos e redes mais seguros amanhã?

Os desafios estão interligados. As soluções não podem ser siloed, e a colaboração entre fabricantes, médicos, organizações de assistência médica e reguladores está mais crítica agora do que nunca.

Fabricantes de dispositivos: Integrando segurança no design do produto

Muitas organizações veem a segurança cibernética de dispositivos médicos como uma tecnologia de proteção enquanto ela é implantada como parte de uma rede local. No entanto, os dispositivos médicos também precisam ser projetados e desenvolvidos com a segurança móvel e na nuvem em mente, com consideração pensativa sobre a experiência do paciente. É especialmente importante que dêmos esse passo à medida que a tecnologia médica ultrapassa as quatro paredes do hospital e entra nas casas dos pacientes. O dispositivo conectado em si precisa ser seguro, ao contrário da rede ao redor do dispositivo.

Também precisamos de maior visibilidade e transparência em toda a cadeia de fornecimento de dispositivos médicos — uma “conta de software de materiais”. A natureza multicomponente de muitos produtos médicos, como bombas de insulina ou marcapassos, fazem com que o produto final se sinta como uma caixa preta: hospitais e usuários sabem o que se pretende fazer, mas não têm muito entendimento sobre os componentes individuais que fazem tudo funcionar. Isso dificulta a resolução de problemas de segurança cibernética à medida que eles surgem.

De acordo com a Pesquisa himss de cibersegurança 2019, pouco mais de 15% dos problemas significativos de segurança foram iniciados inicialmente por problemas de dispositivos médicos em hospitais ou dispositivos médicos de fornecedores. Como resultado, alguns desses problemas levaram a ataques de ransomware expondo vulnerabilidades, à medida que provedores de saúde e fabricantes de dispositivos se esforçavam para descobrir exatamente quais dos produtos estavam em risco, enquanto seus sistemas estavam sob ameaça. Uma nota de software de materiais teria ajudado a responder rapidamente aos riscos de segurança, licença e operacional.

Organizações de assistência à saúde: Priorizando a preparação e a formação do paciente

Os prestadores de cuidados de saúde, por sua vez, precisam fortalecer sua consciência e preparação de ameaças, pensando na segurança desde a aquisição de dispositivos até o pôr do sol de dispositivos legados, que podem se estender ao longo de anos e décadas.

Atualmente, não é incomum que as unidades de saúde usem tecnologia herdadas de 15 a 20 anos. Muitos desses dispositivos não são mais suportados e sua segurança não atende à linha de base das ameaças em evolução atuais. No entanto, como não há tecnologia de substituição que atenda às mesmas funções, precisamos fornecer um monitoramento intensificado desses dispositivos.

A modelagem de ameaças pode ajudar hospitais e provedores a entender seus riscos e aumentar a resiliência. Exercícios de treinamento e preparação são imprescindíveis em outra área crítica da cibersegurança: os humanos que operam os dispositivos. Tais exercícios podem colocar os médicos, por exemplo, em um cenário de tratamento de emergência com um dispositivo defeituoso, e as discussões que se seguem fornecem oportunidades valiosas para educar, conscientizar e se preparar proativamente para ameaças cibernéticas.

Os provedores podem considerar “consentimento informado de cibersegurança” para educar os pacientes. Quando um paciente assina um formulário antes de um procedimento que reconhece riscos potenciais como infecção ou efeitos colaterais, o consentimento cibernético pode incluir riscos relacionados a violações de dados, ataques de negação de serviço, ransomware e muito mais. É uma oportunidade para gerenciar riscos e envolver os pacientes em conversas sobre cibersegurança, aumentando a confiança na tecnologia que é essencial para sua saúde.

Reguladores: Conectando um mercado complexo

A indústria da saúde nos EUA é tremendamente complexa, composta por centenas de grandes sistemas de saúde, milhares de grupos de práticas médicas, pagadores públicos e privados, fabricantes de dispositivos médicos, empresas de software, e assim por diante.

Esse ecossistema de saúde em expansão pode dificultar a coordenação. Grupos como a Food & Drug Administration (FDA) e o Conselho Coordenador do Setor de Saúde têm se esforçado para o desafio.

Eles reuniram subgrupos e forças-tarefa em áreas como desenvolvimento de dispositivos e tratamento de tecnologias legadas. Eles têm procurado hospitais, pacientes, fabricantes de dispositivos médicos e outros para fortalecer o compartilhamento de informações e a preparação, para avançar em direção a um ambiente de cibersegurança mais aberto e colaborativo.

No ano passado, a FDA emitiu uma comunicação de segurança para alertar os profissionais de saúde e pacientes sobre vulnerabilidades de segurança cibernética identificadas em uma tecnologia de telemetria sem fio usada para comunicação que impactou mais de 20 tipos de dispositivos cardíacos implantáveis, programadores e monitores domésticos. No final de 2019, o mesmo fabricante de dispositivos lembrou milhares de bombas de insulina devido a vulnerabilidades cibernéticas inreparáveis.

Estes são apenas dois exemplos de muitos que demonstram não apenas o impacto da segurança cibernética na saúde do paciente, mas também aos fabricantes de dispositivos e ao sistema de saúde em geral. A saúde conectada deve dar aos pacientes acesso a tecnologias aprovadas que podem salvar vidas sem introduzir riscos à segurança do paciente.

À medida que o mundo continua a realizar a promessa de tecnologias conectadas, devemos monitorar ameaças, gerenciar riscos e aumentar nossa resiliência à rede. Trabalhar juntos para incorporar a segurança cibernética no design de dispositivos, regulamentos do setor, resiliência do provedor e educação do paciente é onde devemos começar.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS