0
0
Exposições e desafios de segurança cibernética podem vir a ser caros, de acordo com estatísticas do Departamento de Saúde e Serviços Humanos dos EUA (HHS), 861 violações de informações de saúde protegida foram relatadas nos últimos 24 meses.
Uma nova pesquisa da RiskRecon e do Instituto Cyentia identificou o risco na cadeia de fornecimento de saúde de terceiros e mostrou que a alta taxa de exposição da saúde indica que gerenciar uma pegada comparativamente pequena da Internet é um grande desafio para muitas organizações desse setor.
Mas há um lado positivo: ganhar a visibilidade necessária para identificar e corrigir exposições na superfície de risco de saúde é viável.
Principais descobertas
A pesquisa e o relatório baseiam-se na avaliação da RiskRecon de mais de cinco milhões de sistemas voltados para a internet em aproximadamente 20.000 organizações, com foco exclusivamente no setor de saúde.
Maior taxa
A saúde tem uma das maiores taxas médias de achados graves de segurança em relação a outras indústrias. Além disso, essas taxas variam enormemente entre as instituições, o que significa que as piores taxas de exposição em saúde são piores do que as piores taxas de exposição em outros setores.
Tamanho importa
Os graves achados de segurança diminuem à medida que os funcionários aumentam. Por exemplo, a taxa de graves achados de segurança nos menores prestadores de cuidados de saúde é 3x maior do que a dos maiores prestadores.
Subsetores variam
Subsetores em saúde revelam diferentes tendências de risco. A pesquisa mostra que os hospitais têm uma área de superfície da Internet muito maior (anfitriões, provedores, países), mas mantêm taxas relativamente baixas de achados de segurança. Além disso, o subsetores de enfermagem e cuidados residenciais tem a menor pegada de Internet, mas os mais altos níveis de exposição. Ambulatórios (ambulatoriais) e os serviços sociais caem principalmente entre hospitais e unidades de enfermagem.
Impactos na implantação de nuvem
À medida que a transformação digital se inicia em uma infinidade de mudanças, áreas críticas de exposição ao risco também estão mudando e se expandindo. Embora a maioria das empresas de saúde hospede a maioria de seus sistemas voltados para a Internet on-prem, elas também aproveitam a nuvem. Descobrimos que a taxa de descoberta severa dos ativos de alto valor na nuvem é 10 vezes maior que a do on-prem. Este é o maior desequilíbrio de exposição on-prem versus nuvem de qualquer setor.
Deve-se notar também que nem todos os ambientes de nuvem são iguais. Um relatório anterior do RiskRecon sobre a superfície de risco de nuvem descobriu uma diferença média de 12 vezes a diferença entre os provedores de nuvem com as maiores e menores taxas de exposição. Isso diz mais sobre os usuários e casos de uso de várias plataformas em nuvem do que desigualdades intrínsecas de segurança. Além disso, à medida que as organizações de saúde procuram migrar para a nuvem, elas devem avaliar suas próprias capacidades para lidar com a segurança na nuvem.
A cadeia de fornecimento de cuidados de saúde está em risco
É importante perceber que o ecossistema de saúde mais amplo abrange inúmeras indústrias e essas entidades muitas vezes têm conexões profundas com as instalações, operações e sistemas de informação do provedor de saúde. O que significa que essas organizações podem ter ramificações significativas para a gestão de riscos de terceiros.
Quando você pesquisa isso, embora a big pharma tenha a maior pegada (hosts, provedores de serviços de terceiros e países de operação), eles mantêm-no relativamente higiênico. Fabricantes de vários tipos de aparelhos e instrumentos de saúde mostram um perfil semelhante de ativos extensos, mas menos achados. Infelizmente, as indústrias de seguros médicos, provedores de sistemas EHR e agências de cobrança ocupam três dos quatro primeiros lugares para a maior taxa de resultados de segurança.
“Em 2020, os membros do Centro de Compartilhamento e Análise de Informações em Saúde (H-ISAC) em toda a prestação de cuidados de saúde, grandes farmacêuticas, pagadores e fabricantes de dispositivos médicos viram riscos cibernéticos crescentes em suas cadeias de suprimentos em evolução e às vezes desconhecidas”, disse Errol Weiss, CSO da H-ISAC.
“A adaptação ao novo ambiente operacional apresentado pelo COVID-19 forçou as empresas de saúde a inovar rapidamente e adotar soluções como a tecnologia em nuvem que também adicionou risco com uma pegada digital expandida a novos fornecedores e parceiros com acesso a dados confidenciais de pacientes.”
FONTE: HELPNET SECURITY