0
0
Enquanto entramos no terceiro ano da pandemia, a gestão do COVID continua a consumir a maioria dos recursos de saúde. Como efeito colateral, muitas cirurgias eletivas nos últimos dois anos foram postas em espera em favor do tratamento de pacientes COVID. Os procedimentos eletivos são onde a maioria das instituições médicas faz suas margens — e esse déficit está, em última análise, afetando os orçamentos para avanços de TI e segurança.
Somente de março a maio de 2020, os hospitais perderam mais de US$ 20 bilhões em receita quando a primeira fase da pandemia levou a uma paralisação nacional sem precedentes em cirurgias eletivas. Cirurgias “eletivas” podem incluir procedimentos estéticos e sensíveis ao tempo — como exames, biópsias, reparos de hérnia e substituições de válvulas — onde atrasos podem piorar as chances de morbidade da doença e até mesmo da mortalidade do paciente. O tempo de recuperação previsto para esses adiamentos varia de 4 a 164 meses, dependendo da instituição.
Mas essas perdas não pararam com a primeira onda intensa de COVID. Segundo algumas estimativas, as organizações de saúde nos EUA continuaram a perder cerca de US$ 54 bilhões em lucro líquido em 2021, com mais de um terço dos hospitais dos EUA mantendo margens operacionais negativas.
Ransomware aumentando os riscos de saúde
Simultaneamente à menor receita gerada, os ataques de ransomware contra sistemas de saúde aumentaram durante a pandemia. Os cibercriminosos têm sido insensivelmente oportunistas em aproveitar as circunstâncias de um desastre em massa para seu enriquecimento pessoal. Dois terços (67%) das organizações de assistência médica relatam ter sido vítimas de ransomware; outro terço dizem que sofreram dois ou mais ataques.
O setor de saúde também sustentou o maior custo médio de violação de dados pelo décimo primeiro ano consecutivo. O custo médio total de dados para uma violação de saúde aumentou quase um terço em relação ao ano anterior — de US$ 7,13 milhões em 2020 para US$ 9,23 milhões em 2021. Os danos causados por um ataque bem sucedido levam um hospital a uma crise orçamentária ainda mais profunda. O sistema de saúde da Irlanda ainda está se recuperando de um ataque generalizado de ransomware que aconteceu no ano passado — com uma projeção de custo total de mais de US$ 100 milhões. Mais perto de casa, um ataque cibernético maciço em maio passado custou a um grande provedor de saúde da Califórnia US$ 112,7 milhões, com perda de receita na maior parte do custo. Mas as perdas financeiras nem são o pior resultado potencial para se preocupar.
Outra pesquisa recente observou que quase um em cada quatro profissionais de saúde relataram um aumento na mortalidade de pacientes devido ao ransomware. Caso em questão — um processo pendente alega que um grave ataque de ransomware em um hospital no Alabama comprometeu a qualidade do atendimento e a disponibilidade de equipamentos de monitoramento fetal — levando à eventual morte de um recém-nascido. O arquivamento é a primeira reivindicação pública crível ligando a perda de uma vida humana diretamente a um ataque cibernético. O Ransomware também contribuiu para as circunstâncias em torno da morte de uma mulher alemã em setembro de 2020.
Segurança fica presa no meio
Apesar dos riscos crescentes rapidamente, muitos médicos também continuam a resistir a rigorosos controles de rede que poderiam inibir o acesso a informações e comunicações para tratar os pacientes e salvar vidas. Quando falo com líderes de segurança da saúde, todos sentem a pressão que qualquer decisão que eles tomam agora pode estar afetando uma vida de uma forma ou de outra. Uma coisa comum que está acontecendo é quando eles vão instalar uma nova rede ou controle de segurança para reduzir a superfície de ataque do hospital, os médicos respondem dizendo: “Bem, se você fizer isso, você vai prejudicar meu paciente.” Não há muitas outras indústrias onde as equipes de segurança também têm que se preocupar em proteger diretamente a vida das pessoas.
Profissionais de segurança estão realmente presos no meio. Você quer ser capaz de fazer o seu trabalho para proteger a rede mais ampla de ataques, mas você também não quer implementar um controle que possa afetar a qualidade de atendimento de um paciente bloqueando o acesso de um médico a recursos críticos e que salvam vidas. Parece uma situação sem vitória para as equipes de segurança da saúde.
Uma história mais ampla de estagnação
da segurança da saúde As estatísticas mostram que a saúde ficou para trás de outros setores da indústria em sua capacidade de detectar, prevenir e mitigar ataques cibernéticos. A organização de saúde média leva 236 dias para detectar uma violação de dados e 93 dias para mitigar os danos — contra uma média global da indústria de 207 e 73 dias, respectivamente. Embora a criticidade da lenta e ineficaz segurança da saúde tenha claramente aumentado durante a era COVID, as condições subjacentes que levaram a esta crise foram permitidas a persistir por anos.
Pesquisadores descobriram que a organização média de saúde gasta apenas cerca de 5% de seu orçamento de TI em segurança cibernética. Em comparação, o setor financeiro dedica pelo menos o dobro de recursos para combater ataques cibernéticos — as instituições bancárias do varejo e das empresas gastaram 9,4% de seus orçamentos de TI em segurança cibernética em 2020, enquanto as seguradoras dedicaram 11,9%. Outro relatório classifica a saúde em 9º lugar em gastos com segurança em comparação com outras indústrias — e essa reticência em priorizar a segurança é uma das razões pelas quais os profissionais de saúde estão sendo alvo de tamanha ferocidade.
Como qualquer departamento de tecnologia em qualquer outra indústria, a negligência leva à estagnação. Você não pode esperar que ninguém supere novos desafios e mudanças rápidas de condições usando as mesmas ferramentas antigas, estratégias obsoletas e treinamento desatualizado. Embora eu conheça muitas organizações de saúde que estão começando a adotar uma abordagem de confiança zero para a segurança, há uma população maior dentro das equipes de segurança da saúde que ficaram em grande parte estagnadas.
Sem os recursos necessários dedicados à sua equipe ano após ano, não deveria ser uma surpresa que as equipes de segurança da saúde não tenham sido capazes de acompanhar o resto do mundo em termos de estratégias modernas de cibersegurança. E enquanto a indústria enfrenta uma aguda crise de cibersegurança hoje, as condições que levam a isso provêm de negligência crônica.
Sobreviver à tempestade significa priorizar a segurança
Os líderes de segurança da saúde estão enfrentando uma tempestade perfeita de menos recursos orçamentários e uma escolha “maldita se eu fizer, maldito se eu não fizer” entre ransomware e qualidade de atendimento. Sobreviver a essas condições sem precedentes requer ação e inovação — em oposição a uma abordagem passiva de “montá-la para fora”. Mas, apesar dos custos exorbitantes e da alta frequência de ataques, apenas 11% dos executivos de TI de saúde disseram que a segurança cibernética é uma alta prioridade em uma pesquisa recente — e dois em cada três entrevistados disseram que nem sequer rastrearam o retorno do investimento (ROI) para os gastos com segurança cibernética.
A liderança em saúde precisa urgentemente priorizar o investimento em ferramentas e treinamento modernos de cibersegurança. Especificamente, eles precisam de segurança que suporte controles contextuais e melhor visibilidade entre as redes, a fim de proteger as organizações de saúde contra ransomware e outros ataques sofisticados sem bloquear o acesso dos médicos a recursos que salvam vidas.
Sobre o autor: Damian Chung é um líder de cibersegurança com mais de dez anos de experiência em segurança focada em saúde. Como diretor de segurança da informação empresarial da Netskope, Damian é responsável por supervisionar ferramentas e processos de segurança corporativa e atua como especialista no assunto na vertical de saúde. Ele também atua como professor adjunto para o programa de cibersegurança na Universidade de Tecnologias avançadas em Tempe, AZ.
FONTE: DOTMED