0
0
À medida que o setor de saúde continua sua rápida transformação por meio da adoção de tecnologias digitais, ele também é confrontado com uma gama cada vez maior de ameaças à segurança cibernética.
Nesta entrevista da Help Net Security, o Dr. Omar Sangurima, gerente principal do programa técnico do Memorial Sloan Kettering Cancer Center , discute o impacto dos ataques cibernéticos na segurança do paciente e na prestação de cuidados, enfatizando como as interrupções nos serviços essenciais de saúde podem prejudicar os pacientes e até mesmo levar à vida -situações ameaçadoras.
Você pode discutir a magnitude dos desafios de segurança cibernética que as organizações de saúde enfrentam hoje?
As organizações de assistência médica enfrentam hoje uma infinidade de desafios de segurança cibernética sem precedentes em sua escala e complexidade. O setor de saúde tem sido um dos principais alvos dos cibercriminosos devido às grandes quantidades de dados confidenciais de pacientes armazenados em sistemas de registros eletrônicos de saúde (EHR). À medida que a indústria continua a se digitalizar e adotar tecnologias modernas, o volume e a complexidade desses dados continuarão a crescer, tornando as organizações de saúde um alvo ainda mais atraente para ataques cibernéticos.
Além da grande quantidade de dados que as organizações de saúde devem proteger, elas também enfrentam desafios significativos relacionados à diversidade e complexidade de seus sistemas de TI. As organizações de assistência médica geralmente têm vários sistemas EHR, bem como uma variedade de outros aplicativos e redes que devem ser protegidos.
Também vimos uma mudança muito grande quando o SolarWinds atingiu – o mundo inteiro foi essencialmente afetado negativamente pelo risco de terceiros. Os vendedores fizeram tudo certo, mas ainda havia uma abertura, a superfície de ataque era maior do que eles pensavam. Isso realmente colocou em foco a necessidade de uma abordagem abrangente para o gerenciamento de riscos de terceiros também. Essa complexidade torna desafiador garantir que todos os sistemas sejam devidamente protegidos e que as vulnerabilidades sejam identificadas e tratadas em tempo hábil.
As consequências de um ataque cibernético bem-sucedido em uma organização de assistência médica podem ser graves, incluindo o comprometimento dos dados do paciente e possíveis danos aos pacientes. Em alguns casos, os ataques cibernéticos levaram até mesmo à interrupção de serviços críticos de saúde, colocando em risco a vida dos pacientes. Dados os altos riscos envolvidos, é fundamental que as organizações de saúde levem a segurança cibernética a sério e implementem medidas de segurança robustas para proteger a si mesmas e a seus pacientes.
Em suma, a magnitude dos desafios de segurança cibernética enfrentados pelas organizações de saúde hoje não pode ser exagerada. Com o crescimento contínuo das tecnologias digitais e a crescente sofisticação dos ataques cibernéticos, é mais importante do que nunca que as organizações de saúde priorizem a segurança cibernética e tomem medidas proativas para proteger seus sistemas e dados.
Você pode esclarecer como os ataques cibernéticos podem afetar diretamente a segurança do paciente e a prestação de cuidados?
Os ataques cibernéticos podem ter um impacto direto na segurança do paciente e na prestação de cuidados de várias maneiras. Por exemplo, quando uma organização de assistência médica é atingida por um ataque cibernético, os invasores podem obter acesso a dados confidenciais de pacientes, incluindo informações pessoais, históricos médicos e até informações financeiras. Esses dados podem ser usados para roubo de identidade, fraude de seguros e outras atividades maliciosas, colocando os pacientes em risco de danos financeiros.
Os ataques cibernéticos podem interromper os serviços críticos de saúde, como sistemas de registro eletrônico de saúde. Registros eletrônicos de saúde são cruciais para acompanhar o atendimento ao paciente, medicamentos, consultas e muito mais. Interrupções no sistema podem causar atrasos no tratamento e prejudicar os pacientes. Se um profissional de saúde não conseguir acessar o histórico médico de um paciente devido a um ataque cibernético, por exemplo, ele pode não estar ciente de uma condição ou alergia pré-existente, o que pode levar a consequências profundas.
Em alguns casos extremos, os ataques cibernéticos levaram até mesmo ao fechamento de unidades de saúde inteiras, colocando em risco a vida dos pacientes. Por exemplo, houve o ataque de ransomware em Dusseldorf no ano passado que levou à morte de um paciente devido a suas interrupções.
Como a confiança em uma arquitetura de segurança desconectada composta por várias soluções pontuais afeta a postura geral de segurança cibernética de uma organização de assistência médica?
Em uma palavra, a visibilidade, ou a falta dela, leva à falta de controle sobre o ambiente de segurança da organização, dificultando a identificação e resposta a ameaças em tempo hábil.
Além disso, a complexidade de gerenciar várias soluções de segurança pode levar a ineficiências e lacunas na cobertura, deixando a organização vulnerável a ataques. A falta de agilidade e flexibilidade na abordagem de segurança existente também pode prejudicar a capacidade da organização de acompanhar o cenário de ameaças em constante evolução.
Portanto, uma abordagem de segurança mais holística e integrada é necessária para enfrentar os desafios do setor de saúde. Essa abordagem pode ajudar as organizações de saúde a melhorar sua postura de segurança cibernética e proteger os dados confidenciais do paciente, fornecendo mais visibilidade, controle e agilidade no ambiente de segurança da organização.
Isso se estende à miríade de fornecedores terceirizados e provedores de serviços usados pela organização e é a razão pela qual as iniciativas do setor, como o Health3PT , são tão importantes. Ao adotar uma abordagem mais proativa e estratégica para a segurança cibernética, as organizações de saúde podem reduzir o risco de violação de dados e proteger a privacidade do paciente, garantindo a conformidade com os requisitos regulamentares.
Como o risco de ataques cibernéticos em registros eletrônicos de saúde e outros sistemas se traduz em questões de privacidade do paciente?
As organizações de assistência médica podem enfrentar sérios problemas de privacidade se seus sistemas forem comprometidos. A privacidade dos dados do paciente é um aspecto crucial da assistência médica, e o comprometimento de informações confidenciais pode levar a violações de privacidade, diminuindo a confiança do paciente no sistema de saúde. Os pacientes esperam que seus profissionais de saúde tomem todas as medidas para proteger seus dados confidenciais, e qualquer violação dessa confiança pode ter consequências graves. Os ataques cibernéticos sinalizam um risco sempre presente de expor dados confidenciais e em vários momentos. O advento dos ataques à cadeia de suprimentosintroduziu uma nova ruga no cenário geral de ameaças. Ainda assim, com um resultado familiar, os pacientes agora devem se preocupar não apenas com a exposição de seus dados de um prestador de cuidados ao público, mas agora existe a possibilidade de que mesmo antigos parceiros confiáveis do referido prestador possam ajudar ou facilitar a referida exposição.
Após um ataque cibernético bem-sucedido, como a reputação de uma organização de saúde pode ser afetada e quais são as consequências a longo prazo?
Esta é uma questão de vários graus. Existem aqueles ataques que são resultado, por falta de uma frase melhor, de pura má sorte. Uma organização estava fazendo as coisas certas, tentando continuamente melhorar sua postura, fazendo mudanças quando necessário, e eles foram comprometidos por pouca ou nenhuma culpa própria. No entanto, infelizmente, são extremamente raros, e o que nos resta na maioria dos casos são casos em que havia absolutamente algo que uma organização poderia ter feito para mitigar uma violação ou, pelo menos, diminuir o impacto quando ela ocorreu.
Mesmo nesses casos, o dano à reputação existe em um continuum, onde a percepção organizacional de irregularidades pode ser fluida (e muitas vezes é uma função de quão facilmente as nuances de uma violação podem ser explicadas, o que torna a vigilância jornalística contínua e a parceria tão importantes). No entanto, há casos ainda piores em que uma organização não foi apenas negligente no tratamento de seus deveres cibernéticos de cuidado, mas também foi ativamente obtusa ao lidar com o incidente pós-ocorrência – e é nesses momentos que o pior dano à reputação (com razão) ocorre. Quem quer confiar em uma organização com seus dados mais íntimos (e para não mencionar, principalmente imutáveis) quando essa organização parece assumir uma postura indiferente em manter esses dados sagrados?
O que você sugeriria como práticas recomendadas para organizações de saúde que buscam melhorar a segurança cibernética, especialmente no contexto da Internet das coisas médicas (IoMT)?
Resumidamente, seja objetivo no uso da tecnologia. Sou um fã entusiasmado dos casos de uso existentes para muitos dispositivos IoMT – se a perspectiva de trazer soluções novas e inovadoras para enigmas médicos de longa data não me entusiasmasse, então eu estaria no campo errado. No entanto, estou mais preocupado com uma erupção de (particularmente nesta fatia do cenário tecnológico) colocar as carroças antes de seus cavalos. Para que a tecnologia está sendo usada? Qual é o resultado procurado? Existe algo que tenhamos em nosso ambiente que seja semelhante em escopo e que possa fornecer algumas regras básicas sobre quais medidas de segurança são apropriadas?
O “A” em “CIA” muitas vezes pode ter (justificadamente) precedência ao se ter uma visão holística de um ambiente ou pilha de tecnologia… mas deve haver um momento em que “C” e “I” recebem alguma atenção. Ou então, corremos o risco de entrar de cabeça em um mundo onde grandes inovações se tornam meros vetores para ataques cada vez mais prejudiciais de roubo de identidade e outros esquemas fraudulentos. Se você puder me mostrar uma organização com uma visão estável e um roteiro sólido para o que deseja fazer com a tecnologia, é mais provável que descreva uma que esteja pronta (e capaz) de fazê-lo com segurança.
FONTE: HELP NET SECURITY