0
0
Quando as empresas são atingidas por um ataque cibernético, isso pode significar uma interrupção nas operações, perda de receita e insatisfação do cliente porque suas informações pessoais estão expostas. Mas para o setor de saúde, o impacto é muito maior; ataques cibernéticos podem ser uma questão de vida ou morte.
No ano passado, um ataque de ransomware em Düsseldorf, Alemanha, interrompeu a capacidade de um hospital de coordenar médicos, leitos e tratamentos; interrompeu cirurgias e outros procedimentos; limitou a capacidade hospitalar e os forçou a parar temporariamente de admitir novos pacientes. Com a sala de emergência fechada, uma paciente com aneurisma da aorta foi desviada para outro hospital a 20 milhas de distância, atrasando seu tratamento, o que possivelmente contribuiu para sua morte.
Embora os ataques cibernéticos não tenham contribuído diretamente para a morte de pacientes em hospitais dos EUA, eles afetaram o atendimento ao paciente e, em alguns casos, aumentaram as taxas de mortalidade de pacientes após o seguinte. Hospitais dispensaram centenas de trabalhadores, foram trancados fora dos computadores usados para administrar tratamentos contra o câncer e sofreram interrupções no acesso aos registros dos pacientes. Embora desvios de pacientes como o exemplo acima sejam frequentemente necessários para manter a segurança e a integridade do atendimento ao paciente, tais ações podem ter sérias consequências adversas.
Ameaças crescentes à segurança cibernética na área da saúde
A pandemia de COVID-19 abriu as comportas para cibercriminosos. Desde março de 2020, o FBI relata que houve um aumento de 400% nas reclamações de ataques cibernéticos em geral. Talvez o mais proeminente tenha sido o ciberataque aos Serviços Universais de Saúde de setembro de 2020. Um número desproporcional desses recentes ataques cibernéticos foi direcionado ao setor de saúde.
Nos primeiros meses da pandemia, os ataques cibernéticos foram responsáveis por 79% das violações de dados de saúde relatadas. Em setembro de 2020, houve um ataque de ransomware aos Serviços Universais de Saúde. Somente em novembro e dezembro de 2020, os ataques cibernéticos às metas de saúde aumentaram 45%, em comparação com apenas um aumento de 22% em outros setores. Espera-se que esse ritmo continue, já que a pesquisa do Mercado do Livro Negro prevê que as violações de dados no setor de saúde triplicarão de volume este ano.
Os cibercriminosos veem uma grande oportunidade na área da saúde. Eles podem obter até US$ 1.000 por registro médico roubado, tornando as informações de saúde protegidas (PHI) mais lucrativas do que os dados do cartão de crédito. Eles acharam fácil explorar hospitais e sistemas de saúde. O crescimento das ofertas de telessaúde, registros eletrônicos de saúde e outras plataformas, e a interconexão entre uma variedade de dispositivos médicos e outras aplicações deixaram uma ampla superfície de ataque para os cibercriminosos. Agora existem até 15 dispositivos em rede por cama de hospital, e ferramentas de monitoramento remoto estão aumentando os milhões de dispositivos IoT médicos, laptops e computadores que devem ser protegidos.
Mas ao investir nessas tecnologias de transformação digital, o setor de saúde ainda não colocou os recursos correspondentes em segurança cibernética para protegê-los. Uma pesquisa da HIMSS revelou que os orçamentos de segurança cibernética dos profissionais de saúde são apenas 6% ou menos do gasto total de TI.
Em vez de investir em soluções de segurança mais fortes, muitos sistemas de saúde confiaram no seguro de segurança cibernética como apoio. No entanto, com o aumento dos ataques, vêm os preços dos seguros disparados. Durante o último ano, as reivindicações de ransomware aumentaram mais de 300%, resultando em prêmios de apólices de seguro crescendo até 30% em alguns casos. E dados recentes mostram que o aumento do seguro cibernético não conseguiu promover melhores práticas de segurança cibernética ou mitigar riscos.
Uma defesa em três frentes: ação urgente necessária
Na sequência do ataque do Oleoduto Colonial, a Administração de Segurança de Transporte do Departamento de Segurança Interna (DHS) emitiu uma diretiva exigindo que violações de segurança cibernética sejam relatadas às autoridades federais. Eles estão indo além das diretrizes voluntárias, preparando regras obrigatórias para proteger os sistemas de gasodutos contra ataques cibernéticos e estabelecendo as ações que devem ser tomadas quando ocorrer.
Dada a crescente escala e escopo das ameaças contra o setor de saúde – uma infraestrutura crítica com graves implicações relacionadas à segurança cibernética – são necessárias fortes medidas preventivas.
Uma abordagem em três frentes é necessária para mitigar os riscos para o setor de saúde:
- Maiores esforços das indústrias de saúde e segurança cibernética
- Ação mais formal dos reguladores federais
- Melhor colaboração entre todos eles
Os provedores que ainda não o fizeram devem adotar uma arquitetura de segurança de confiança zero, que pressupõe que todos os usuários podem ser maliciosos e operar de acordo. A segurança de confiança zero autentica qualquer acesso entre dois componentes dentro de uma rede e, após a conclusão da autenticação, os usuários, aplicativos e dispositivos recebem apenas o número mínimo de privilégios de que precisam para funcionar para proteger a rede.
Outras práticas recomendadas também devem ser implementadas, como atualizar regularmente o software; identificar, monitorar e segmentar dispositivos médicos conectados; desenvolver um plano de resposta a incidentes; e aumentar a educação em segurança em todas as partes interessadas.
Embora um foco concertado da indústria e dentro de organizações individuais fortaleça a postura de segurança dos hospitais e sistemas de saúde, também precisa haver uma nova abordagem coordenada do governo federal. Simplificando, se os protocolos de segurança cibernética não forem obrigatórios, eles não serão priorizados.
Até o momento, os padrões de privacidade e segurança estabelecidos pelos EUA O Departamento de Saúde e Serviços Humanos (HHS) está focado principalmente na conformidade e penaliza os provedores quando ocorrem violações. Mais recursos e incentivos são necessários para ajudar as organizações de saúde a se protegerem de ataques cibernéticos.
“É vital que o Congresso e o HHS identifiquem um caminho para garantir que os provedores não assumam indevidamente o fardo de proteger as informações de saúde protegidas em situações fora de seu controle”, escreveram líderes da Faculdade de Gerenciamento de Informações em Saúde (CHIME) e da Associação de Executivos em Segurança da Informação em Saúde (AEHIS) em uma carta ao senador. Mark Warner, D-Va.
Para esse fim, legisladores e formuladores de políticas devem dedicar financiamento para apoiar o planejamento baseado em risco, estratégias e atualizações de segurança cibernética para cuidados de saúde. Igualmente importante é o desenvolvimento de padrões coesos que fortaleçam o ambiente regulatório. Mas estes devem ser facilmente navegados pelas organizações de saúde.
Planejamento e colaboração tanto do governo federal quanto da indústria também são necessários, para que catástrofes como o ataque do Oleoduto Colonial possam ser evitadas se uma organização de saúde for atingida por um grave incidente cibernético.
FONTE: HELPNET SECURITY