As organizações de saúde são alvos fáceis para ataques e violações

Views: 443
0 0
Read Time:7 Minute, 38 Second

Setenta e três por cento das organizações de saúde, hospitais e médicos relatam que suas infraestruturas não estão preparadas para responder a ataques. Os resultados da pesquisa estimaram que 1500 prestadores de cuidados de saúde estão vulneráveis a violações de dados de 500 ou mais registros, representando um aumento de 300% em relação a este ano.

A Black Book Market Research entrevistou 2.464 profissionais de segurança de 705 organizações de provedores para identificar lacunas, vulnerabilidades e deficiências que persistem em manter hospitais e médicos alvos fáceis proverbial para violações de dados e ataques cibernéticos.

Noventa e seis por cento dos profissionais de TI concordaram com os sentimentos de que os invasores de dados estão superando suas empresas médicas, mantendo os provedores em desvantagem em responder às vulnerabilidades.

Com a estimativa de que o setor de saúde gaste US$ 134 bilhões em segurança cibernética de 2021 a 2026, US$ 18 bilhões em 2021, aumentando 20% a cada ano para quase US$ 37 bilhões em 2026, 82% dos CIOs e CISOs em sistemas de saúde no terceiro trimestre de 2020 concordam que os dólares gastos atualmente não foram alocados antes de seu mandato efetivamente, muitas vezes gastos apenas após violações, e sem uma avaliação completa das capacidades lideradas pela alta administração fora de TI.

Escassez de talentos para profissionais de cibersegurança continua

Além disso, 291 executivos de recursos humanos do setor de saúde foram pesquisados para determinar a oferta organizacional e a demanda de candidatos experientes em segurança cibernética. Em média, as funções de cibersegurança nos sistemas de saúde levam 70% mais tempo para serem preenchidas do que outros empregos de TI.

Os sistemas de saúde estão lutando para encontrar trabalhadores que solicitem habilidades relacionadas à segurança cibernética como duração de vacância relatadas pelos entrevistados de RH da pesquisa, em média, cerca de 118 dias para preencher vagas, quase três vezes mais altas que a média nacional para outras indústrias.

“A escassez de talentos para especialistas em cibersegurança com experiência em saúde está se aproximando de uma posição muito perigosa”, disse Brian Locastro, pesquisador-chefe do estudo State of the Healthcare Cybersecurity Industry de 2020 da Black Book Research.

Setenta e cinco por cento dos ICSOs de 66 sistemas de saúde que responderam concordaram que profissionais experientes em segurança cibernética dificilmente escolherão uma carreira no setor de saúde por uma das principais razões.

Mais do que em outros setores, os CISOs de saúde são, em última análise, responsáveis por uma violação de dados e os impactos financeiros e de reputação para a organização do provedor, apesar de terem tecnologia de tomada de decisão extremamente limitada ou autoridade de formulação de políticas.

COVID-19 aumentou consideravelmente o risco de violações de dados

A segurança cibernética em saúde tornou-se mais complicada à medida que os provedores são forçados a lidar com a pandemia COVID-19. Departamentos de segurança de TI com falta de pessoal e subfinanciados estão lutando para acomodar o aumento da demanda de serviços remotos de pacientes e médicos, ao mesmo tempo em que respondem ao aumento dos riscos de segurança.

A pesquisa constatou que 90% dos funcionários dos sistemas de saúde e do hospital que se deslocaram para trabalhar em casa devido à pandemia, não receberam nenhuma orientação atualizada ou treinamento sobre o risco crescente de acesso a sistemas sensíveis de comprometimento de dados de pacientes

“Apesar da ameaça crescente, a grande maioria dos hospitais e médicos não está preparada para lidar com ameaças à segurança cibernética, embora representem um grande problema de saúde pública”, disse Locastro.

Quarenta por cento de todos os funcionários do hospital clínico recebem pouco ou nenhum treinamento de conscientização sobre segurança cibernética ainda em 2020, além da educação inicial sobre acesso ao login.

Cinquenta e nove por cento dos CIOs do sistema de saúde pesquisados estão mudando as estratégias de segurança para abordar a autenticação e o acesso dos usuários, pois incidentes maliciosos e hackers são o ponto de entrada do atacante de 2020 para os sistemas de saúde.

Credenciais roubadas e comprometidas eram problemas contínuos para 53% dos sistemas de saúde pesquisados, pois os hackers estão cada vez mais usando configurações erradas em nuvem para violar redes.

Serviços de consultoria e consultoria em segurança cibernética estão em alta demanda

Sessenta e nove por cento dos 219 entrevistados do C-Suite afirmam que o orçamento do seu sistema de saúde para consultoria em segurança cibernética está aumentando em 2021 para avaliar lacunas, operações seguras de rede e segurança do usuário no local e na nuvem.

“No mercado de cibersegurança altamente competitivo de hoje, não há talento suficiente para os hospitais e sistemas de saúde dos funcionários”, disse Locastro.

“À medida que as organizações de provedores lutam com recrutas, contratação e retenção de funcionários da casa, a escolha plausível é manter uma empresa de consultoria experiente capaz de identificar e remediar vulnerabilidades ocultas de segurança, o que atrai o senso estratégico e econômico de conselhos e CEOs.”

Desafios de segurança cibernética em saúde encontram resoluções de serviços terceirizados

“O dilema com o orçamento e a previsão de segurança cibernética é a falta de dados históricos confiáveis”, disse Locastro. “A segurança cibernética é um item de linha mais novo para hospitais e empresas médicas e os orçamentos ainda não evoluíram para cobrir o verdadeiro escopo dos requisitos de capital humano e tecnologia.”

Essa escassez de profissionais de cibersegurança em saúde e a falta de soluções tecnológicas adequadas implementadas está forçando uma corrida para adquirir serviços e terceirização em um ritmo cinco vezes maior do que a aquisição de produtos de cibersegurança e soluções de software.

As empresas de cibersegurança estão respondendo à crise trabalhista oferecendo aos prestadores de cuidados de saúde e hospitais um portfólio crescente de serviços gerenciados.

“O principal lugar para começar ao escolher um fornecedor de serviços de segurança cibernética é entender seu cenário de ameaças, entender o tipo de serviços que os fornecedores oferecem e comparar isso com a estrutura de risco da sua organização para selecionar seu fornecedor mais adequado”, disse Locastro.

“As organizações de saúde também são mais propensas a ataques do que outras indústrias porque persistem em gerenciar através de violações reativamente.”

Cinquenta e um por cento dos entrevistados internos de gerenciamento de TI com autoridade de compra relatam que seu grupo não está ciente da variedade completa de conjuntos de soluções de segurança cibernética que existem, particularmente ambientes de segurança móvel, detecção de intrusões, prevenção de ataques, forenses e testes em vários ambientes de saúde.

A segurança cibernética nas organizações de provedores de saúde permanece subfinanciada

A quantidade de dólares que são realmente gastos em produtos e serviços de cibersegurança da indústria da saúde está aumentando, em média 21% em relação ao ano anterior desde 2017. Estimativas estendidas estimam que cerca de US$ 140 bilhões serão gastos por sistemas de saúde e seguradoras de saúde até 2026.

No entanto, 82% dos CIOs hospitalares em instalações de internação sob 150 leitos de pessoal e 90% dos administradores de práticas coletivamente afirmam que não estão nem perto de gastar uma quantidade adequada na proteção dos registros dos pacientes contra uma violação de dados.

Sistemas de TI desatualizados,menos protocolos de segurança cibernética, equipe de TI destreinada em habilidades de segurança em evolução e arquivos de pacientes ricos em dados estão tornando os cuidados de saúde o alvo atual de ataques de hackers”, disse Locastro. “E a disposição dos hospitais e das práticas médicas de pagar altos resgates para recuperar seus dados rapidamente motiva os hackers a se concentrarem nos registros dos pacientes.”

“As ameaças são agora quatro vezes mais propensas a serem centradas em cuidados de saúde do que qualquer outra indústria, e os ataques de ransomware estão aumentando em popularidade devido à quantidade de informações privilegiadas que o hacker pode obter”, disse Locastro.

“Os provedores no ponto de atendimento não acompanharam o progresso da segurança cibernética e as ferramentas que os fabricantes, os fornecedores de software de TI e a FDA também fizeram.”

Consumidores de saúde dispostos a mudar de provedor se a privacidade do paciente fosse composta

Oitenta por cento das organizações de saúde não tiveram uma simulação de segurança cibernética com um processo de resposta a incidentes, apesar dos casos crescentes de violações de dados no setor de saúde em 2020.

Apenas 14% dos hospitais e 6% das organizações médicas acreditam que uma avaliação de 2021 de sua segurança cibernética mostrará melhora a partir de 2020. Vinte e seis por cento das organizações de provedores acreditam que sua posição de segurança cibernética piorou, em comparação com 3% em outros setores, ano a ano.

“Os líderes médicos e financeiros têm exercido mais influência sobre os orçamentos organizacionais e dificultado a implementação de práticas necessárias de segurança cibernética, apesar do ambiente existente, mas agora os consumidores estão começando a reagir negativamente à falta de soluções de proteção do provedor.”

Uma pesquisa com 3.500 consumidores de saúde que usaram serviços médicos ou hospitalares nos últimos dezoito meses revelou que 93% deixariam seu provedor se a privacidade de seus pacientes fosse composta por um ataque que poderia ter sido evitado.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS