0
0
Mesmo antes do COVID-19 interromper as operações, as organizações aceleraram suas iniciativas de transformação digital para atender às expectativas dos clientes em constante mudança. Um setor que abraçou particularmente essa mudança é o setor de saúde, pois as organizações desenvolveram e adotaram rapidamente uma variedade de soluções digitais de saúde, como registros eletrônicos de saúde e uso de inteligência artificial (IA) para auxiliar na descoberta de medicamentos.
A saúde é “uma indústria que avançava com a digitalização sob vários nomes e abordagens diferentes bem antes do início do COVID”, diz Guy Becker, diretor de gerenciamento de produtos de saúde da empresa de segurança cibernética Sasa Software. No entanto, essa rápida digitalização também resultou em um aumento acentuado nos ataques cibernéticos criminosos no setor de saúde.
A Check Point relatou um aumento global de ataques a organizações entre novembro e dezembro de 2020. O relatório mostrou um aumento de 137% no leste da Ásia, um aumento de 112% na América Latina, 67% na Europa e 37% nas organizações de saúde norte-americanas. Nos últimos anos, houve um aumento dramático nos incidentes de segurança cibernética no setor de saúde, como infecções por vírus de computador, ransomware e roubo e publicação de dados de pacientes.
A realidade é mais sombria hoje, especialmente quando você considera que documentos médicos digitalizados e outras imagens de assistência médica geralmente contêm dados confidenciais. A NTT Research realizou recentemente um hackathon para encontrar maneiras de usar a criptografia baseada em atributos (ABE)para resolver essa situação e outras.
“Os metadados armazenados em imagens médicas, incluindo raios-X e tomografias computadorizadas, podem revelar informações confidenciais, como nomes de pacientes, partes do corpo fotografadas e os centros médicos ou médicos envolvidos, levando à identificação do paciente”, explica Jean-Philippe Cabay, cientista de dados na NTT Global na Bélgica, cuja equipe venceu o hackathon. “A criptografia baseada em atributos garante que apenas usuários autorizados com os atributos apropriados possam acessar imagens médicas, mantendo-as seguras e privadas.”
Dados de imagens de saúde são a mina de ouro de um hacker
Hospitais e organizações de saúde estão trabalhando para proteger imagens digitais e arquivos de comunicação em medicina (DICOM), de acordo com Becker. Esse desenvolvimento é resultado da convergência de vários fatores, aumento de ataques à saúde devido ao seu alto valor (vale pelo menos 10 vezes mais que dados de cartão de crédito na Dark Web) e postura de segurança tradicionalmente fraca, demanda por maior segurança da saúde por parte dos governos e a UE, maior necessidade de serviços de saúde remotos devido ao COVID e uma tendência geral de transformação digital para simplificar e digitalizar serviços.
Além disso, a vulnerabilidade apresentada por arquivos de imagem potencialmente maliciosos é aprimorada pelo risco crescente de violação de dispositivos médicos. Por exemplo, máquinas de imagem operando dentro da rede hospitalar podem ser comprometidas sem o conhecimento dos técnicos e engenheiros que cuidam delas. Tal comprometimento pode levar à injeção de código malicioso em dados clínicos e à sua disseminação pela rede de um hospital. Como clínicas de imagem e centros médicos geralmente precisam transferir dados de imagem, uma violação dessas transações pode expor dados confidenciais de pacientes, com consequências devastadoras.
Becker diz que a proteção de redes de imagens sensíveis começa com as medidas padrão recomendadas: segmentação de rede, backups oportunos, atualização frequente de sistemas e aplicativos, uso de sistemas avançados de detecção e prevenção de intrusão e educação e treinamento regular de funcionários.
Algumas dessas medidas representam desafios específicos para as organizações de saúde. Os sistemas de saúde precisam estar online 24 horas por dia, 7 dias por semana, o que torna a atualização frequente – e a reinicialização, ou colocar as máquinas offline – um requisito impossível de atender. A falta crônica de pessoal, que frequentemente reduz a adesão da equipe ao requisito clínico mínimo, significa que demandas não relacionadas à saúde, como segurança cibernética, são empurradas para uma distante segunda posição, diz Becker.
Mas em seu hackathon recentemente concluído, a NTT Research disse que sua equipe belga demonstrou com sucesso “uma aplicação inovadora” de ABE para proteger imagens. O ABE foi introduzido em 2005 em um artigo de Brent Waters, diretor do Laboratório de Criptografia e Segurança da Informação (CIS) da NTT, e Amit Sahai, professor de ciência da computação na UCLA. É um tipo de criptografia de chave pública que permite o compartilhamento de dados com base em políticas e atributos dos usuários — quem é o usuário, e não o que ele possui.
Protegendo imagens DICOM com ABE
Essencialmente, a ABE determina quem pode acessar os dados com base em características específicas. O ABE combina criptografia baseada em função com acesso baseado em conteúdo e acesso multiautoritário. Para acesso baseado em conteúdo, a ABE não apenas determina quem obtém acesso aos dados, mas também quais dados específicos eles têm permissão para acessar. Assim, um radiologista pode acessar uma tomografia computadorizada, mas não a identidade do paciente, enquanto um funcionário de registros pode acessar a identidade, mas não a imagem. O acesso multiautoritário pode entrar em jogo quando um paciente consulta um especialista – o médico de cuidados primários pode emitir as credenciais do especialista para visualizar o histórico médico do paciente, enquanto um conselho de licenciamento estabelece credenciais que permitem que eles façam anotações nesse histórico; o especialista precisaria de ambos os conjuntos de credenciais para acessar o registro completo do paciente.
A demonstração de três partes da equipe vencedora envolvia detectar e rotular um objeto gráfico, criptografar as imagens e mapear entre rótulos e políticas ABE e armazenar os objetos, os metadados e as imagens borradas em um banco de dados. O co-autor de Cabay, o engenheiro de software sênior da NTT Pascal Mathis, disse que seu projeto usa um pipeline de extração e transferência de carga (ETL) para transferir as imagens.
Mathis explicou ainda que o componente AI e o mecanismo de criptografia residem em um dispositivo de ponta, que envia apenas dados criptografados para o banco de dados. Cabay diz que seu projeto demonstra como o ABE pode ajudar a criptografar imagens na área da saúde, de forma que “o acesso é tão bloqueado que até mesmo o administrador do banco de dados vê apenas imagens com pontos borrados e informações criptografadas”.
Outros grandes fornecedores de sistemas de comunicação e arquivamento de imagens (PACS), como Philips, GE e Sectra, estão avançando em soluções para digitalização e maior automação do fluxo de trabalho de imagem, como parte de uma migração geral para sistemas baseados em nuvem e uma segurança aprimorada postura. Esses sistemas apresentam criptografia nativa de ponta a ponta e recursos robustos de backup e prevenção de violação inerentes aos ambientes de nuvem. No entanto, os próprios dados DICOM não são examinados e podem conter conteúdo malicioso, observa Becker.
“Ferramentas de segurança de rede baseadas em detecção padrão, como EDRs , XDRse MDRs, atualmente não têm a capacidade de digitalizar e desinfetar dados de imagem DICOM”, diz ele. “Foi essa lacuna na segurança que nos levou a desenvolver, junto com nossos parceiros de saúde, um gateway de imagem que purifica o próprio fluxo de dados DICOM.”
À medida que a saúde se torna cada vez mais dependente da tecnologia para obter mais eficiência, os líderes do setor de saúde devem priorizar o uso de ferramentas que permitem a transmissão remota segura de estudos de imagem para o PACS dos hospitais sem incorrer em riscos para a rede de saúde.
FONTE: DARK READING