0
0
Os ataques cibernéticos podem custar vidas – especialmente no setor de saúde . Quase um quarto dos profissionais de saúde vitimados por ransomware relataram aumento nas taxas de mortalidade após um ataque, e 70% tiveram internações hospitalares mais longas ou atrasos nos procedimentos, levando a resultados insatisfatórios para os pacientes. O Congresso está trabalhando para aprovar uma legislação de segurança cibernética, mas o processo é trabalhoso. Consequentemente, os sistemas de saúde devem agir para evitar violações de segurança e proteger os dados dos pacientes.
Mais de dois terços dos profissionais de saúde são vítimas de crimes cibernéticos. De fato, de acordo com as estatísticas do Departamento de Saúde e Serviços Humanos para Direitos Civis, uma média de duas violações de dados de saúde ocorrem a cada dia, o dobro da taxa de quatro anos atrás. Cada violação está custando às organizações de saúde uma média de mais de US$ 10 milhões , com base no relatório anual de custo de violação de dados da IBM. Em 2021, os ataques comprometeram os dados de 40 milhões de pessoas e, desde 2009, os hackers acessaram registros de dados que representam 95% da população dos EUA.
Além de dados roubados e dinheiro perdido, essas violações podem significar a diferença entre a vida e a morte. Embora esperemos ver mais ações governamentais para proteger os dados de saúde, os sistemas de saúde não devem esperar que essa legislação seja aprovada. Eles precisam fortalecer suas próprias defesas agora. Um foco particular deve ser colocado na segurança de equipamentos médicos.
Movimento legislativo sobre segurança cibernética de dispositivos médicos
O governo federal dos EUA está considerando várias propostas para regular a conformidade de segurança cibernética de dispositivos médicos para neutralizar os ataques cibernéticos frequentes e clinicamente impactantes experimentados pelos sistemas de saúde em todo o país.
Em abril de 2022, a FDA emitiu seu projeto de orientação altamente antecipado sobre segurança de dispositivos médicos para comentários públicos. O documento fornece aos fabricantes de dispositivos orientações sobre como abordar a segurança cibernética para projetos de dispositivos e envios pré-mercado associados. De acordo com a política, os fabricantes de equipamentos originais (OEMs) devem criar procedimentos para verificar e validar o projeto de um dispositivo conectado para uma garantia razoável de segurança e eficácia. A FDA recomenda que os OEMs estabeleçam uma Estrutura de Desenvolvimento de Produto Seguro para reduzir as vulnerabilidades do produto e implementar os requisitos de segurança cibernética de dispositivos médicos. A estrutura abrange todos os aspectos do ciclo de vida de um produto, incluindo desenvolvimento, lançamento, suporte e desativação.
O Senado está atualmente considerando a Lei de Fortalecimento da Segurança Cibernética para Dispositivos Médicos . A proposta exige que a FDA atualize regularmente as orientações de segurança cibernética, publique informações públicas sobre como melhorar a segurança cibernética de dispositivos médicos e o acesso a recursos e emita um relatório identificando desafios na segurança cibernética para equipamentos médicos, incluindo dispositivos legados.
De acordo com a Lei de Proteção e Transformação da Assistência à Saúde Cibernética (PATCH) proposta pelo Senado , os OEMs precisariam fornecer informações sobre a segurança de um dispositivo médico conectado antes de entrar no mercado. Os requisitos incluem divulgações de vulnerabilidades e processos e procedimentos definidos para disponibilizar atualizações e patches para o dispositivo durante todo o seu ciclo de vida.
A Câmara aprovou as Emendas de Alimentos e Medicamentos de 2022 , dando à FDA autoridade para exigir que os fabricantes de dispositivos incluam certas informações de segurança cibernética em suas submissões de pré-mercado, alinhando-se com a recente orientação preliminar da FDA. O Healthcare Cybersecurity Act também está sob avaliação na Câmara. Essa legislação exige que a Agência de Segurança Cibernética e Infraestrutura (CISA) e o Departamento de Saúde e Serviços Humanos colaborem na melhoria das medidas de segurança cibernética em hospitais e outras instalações médicas e desenvolvam produtos específicos para as necessidades das entidades de saúde. As organizações também devem fornecer treinamento de mitigação e risco cibernético para o pessoal de saúde.
Essas propostas são passos na direção certa para fortalecer melhor os dispositivos médicos contra violações de segurança, mas nenhuma está perto de ser implementada. É necessária uma ação mais rápida.
Como tomar medidas proativas para conformidade de segurança cibernética de dispositivos médicos
Para proteger imediatamente a saúde e os dados do paciente e se preparar para a legislação futura, os sistemas de saúde devem avaliar e abordar os riscos atuais e criar uma estratégia de correção contínua. Um programa de segurança cibernética bem-sucedido requer colaboração entre as equipes de engenharia clínica e de TI e fluxos de trabalho bem definidos.
Comece seguindo a estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia . A estrutura consiste em cinco princípios:
- Identificar : Identifique um inventário completo de dispositivos e software, políticas de segurança cibernética, requisitos legais e vulnerabilidades.
- Proteger : Habilite as proteções apropriadas, incluindo controle de acesso e gerenciamento de identidade, treinamento de equipe e políticas de proteção de informações.
- Detectar : defina estratégias de monitoramento apropriadas para identificar rapidamente eventos de segurança cibernética.
- Responder : crie um plano de ação para reagir a uma violação.
- Recuperar : Desenvolva uma estratégia para restaurar quaisquer recursos ou serviços afetados pelo incidente.
Incorporar uma solução de segurança cibernética para dispositivos médicos e instituir o monitoramento de ameaças em tempo real ajuda a manter os sistemas de saúde um passo à frente dos hackers (e dos futuros requisitos de conformidade). Os sistemas de saúde podem começar a identificar as prioridades de remediação criando uma lista completa de inventário de dispositivos médicos com informações sobre os principais atributos, localização e uso atual do equipamento. Usando esses dados, as equipes de gerenciamento de dispositivos avaliam a vulnerabilidade cibernética, o risco e o impacto de um dispositivo na segurança do paciente para criar um medidor de risco.
Cada sistema de saúde terá seu limite e prioridades individuais de risco, portanto, as abordagens de remediação variam. É por isso que cada organização precisa identificar uma estratégia de gerenciamento de risco. A inclusão de tecnologia no plano de segurança cibernética de dispositivos médicos pode melhorar o monitoramento de ameaças gerenciando o inventário de equipamentos e identificando vulnerabilidades para as equipes de dispositivos médicos abordarem.
Os ataques cibernéticos ameaçam a vida dos pacientes e os dados confidenciais e custam quantias significativas de dinheiro. Embora a preparação e a prevenção de ataques não sejam simples, elas são imperativas. A ajuda eventualmente chegará na forma de regulamentações governamentais, mas, enquanto isso, os sistemas de saúde devem desenvolver e implementar sua própria estratégia de segurança cibernética para proteger seus pacientes.
FONTE: HELPNET SECURITY