0
0
Nesta entrevista à Help Net Security, Brett Harris, Diretor de Segurança Cibernética para as Américas da Siemens Healthineers, discute os impactos de longo prazo dos ataques cibernéticos nas instituições de saúde e o que os provedores de serviços de saúde podem fazer para proteger os dados pessoais e dispositivos médicos dos pacientes.
Pode explicar como é que os vários sistemas de informação hospitalar (RES, sistemas de prescrição eletrónica, sistemas de apoio à gestão da prática, etc.) podem estar vulneráveis a ciberataques?
Qualquer coisa conectada a uma rede é potencialmente vulnerável a ataques cibernéticos, mas o risco varia de dispositivo para dispositivo. Existem três tipos principais de riscos que precisam ser considerados. Em primeiro lugar, estão os dispositivos que interagem diretamente com o paciente, como bombas de infusão ou aparelhos de raios-X. Estes representam um risco direto para a segurança do paciente se houver um comprometimento.
A próxima grande categoria seriam os sistemas que contêm grandes quantidades de dados, como os sistemas de Registro Eletrônico de Saúde (RES) e os Sistemas de Arquivamento e Comunicação de Imagens (PACS). Estes representam mais um risco para a confidencialidade do que diretamente para a segurança do paciente, mas como a grande quantidade de dados representa um risco para um grande número de pessoas, eles estão associados a multas potencialmente pesadas.
Por fim, todo o resto pode ser uma porta de entrada para novos ataques a um hospital. Um único ponto de entrada pode ser o início de um ataque massivo de ransomware em uma instituição que não implementou adequadamente os controles de rede.
Você poderia detalhar os impactos de longo prazo de ataques cibernéticos significativos às instituições de saúde?
Os ataques cibernéticos à saúde têm aumentado nos últimos anos e não vemos nenhum indício de que eles vão desacelerar. As instituições de saúde precisam começar a dedicar orçamentos maiores à segurança cibernética, pelo menos no curto prazo, para implementar programas adequados de segurança de dispositivos médicos. Há um enorme acúmulo de sistemas em quase todas as instituições que precisam ser gerenciados por risco. A longo prazo, provavelmente veremos requisitos mais rigorosos da FDA e do HHS, e todas as instituições executando um programa de segurança de dispositivos médicos dedicado, seja internamente ou terceirizado.
Como os pacientes podem garantir que suas informações pessoais estejam seguras ao interagir virtualmente com profissionais de saúde?
No momento, os pacientes não têm muito controle sobre o assunto. Não há uma boa visibilidade sobre quais instituições de saúde estão fazendo um bom trabalho protegendo os dados de seus pacientes e, na maioria das regiões, uma instituição domina as instalações nessa área. O melhor que os pacientes individuais podem fazer agora é sempre usar os portais seguros de suas instituições para comunicar informações e nunca usar o e-mail.
Que medidas críticas as organizações de saúde podem tomar para garantir que os dispositivos médicos sejam adequadamente protegidos e avaliados em termos de risco antes da implantação?
As organizações de saúde devem verificar se os produtos que compram têm a segurança que desejam antes da compra. Idealmente, existe no mercado um produto que atenda às suas necessidades clínicas e tenha boa segurança. Nem sempre é possível comprar um produto muito seguro para cada aplicação clínica, de modo que esse processo deve ser voltado para identificar quais controles compensatórios precisam ser implementados, dados os controles de segurança dentro desse dispositivo médico.
Todas as perguntas devem ser acionáveis, voltadas para responder “Devo comprar este produto?” ou “Que ação concreta preciso tomar se o fabricante não tiver segurança nesta área específica?”. Mesmo apenas revisando a Declaração de Divulgação do Fabricante do produto para Segurança de Dispositivos Médicos (MDS2) responderá à maioria dessas perguntas. Essa é uma ótima maneira de impedir a entrada de novos dispositivos inseguros, mas as organizações também precisam lidar com o risco de todos os seus dispositivos existentes.
Como as organizações de saúde devem lidar com o descomissionamento e o descarte de dispositivos médicos para garantir que nenhum dado sensível seja deixado para trás?
Isso deve ser fácil! Qualquer coisa que tenha o potencial de armazenar informações do paciente – mesmo temporariamente – precisa ser apagada com segurança. Isso significa usar uma ferramenta que atenda aos padrões do NIST para apagamento seguro ou destruição física da mídia que contém. Se a organização estiver usando um terceiro para desativar o dispositivo, eles devem exigir um relatório de apagamento seguro ou atestado desse fato.
FONTE: HELPNET SECURITY