0
0
À medida que a transformação digital revoluciona o setor de saúde, o uso da tecnologia API (interfaces de programação de aplicativos) está disparando.
As APIs, que ajudam usuários e aplicativos a interagir e trocar informações, são ferramentas essenciais para os sistemas de saúde que se esforçam para alcançar maior interoperabilidade. A capacidade de transmitir dados de forma rápida e segura entre pacientes e provedores oferece a oportunidade de não apenas criar melhores experiências para os pacientes, mas também melhorar os resultados de saúde.
Mas, à medida que as APIs se tornam cada vez mais comuns no cenário da saúde digital, é difícil não notar uma tendência preocupante – as vulnerabilidades da API estão se tornando tão grandes que você poderia dirigir um caminhão através delas. E parece que os bandidos são os únicos conscientes dessas vulnerabilidades à medida que as exploram à esquerda e à direita.
As violações relacionadas à API custam mais do que apenas tempo e dinheiro: a reputação organizacional está em jogo e, acima de tudo, a dignidade pessoal das vítimas que têm suas informações de saúde mais pessoais expostas. As organizações de saúde devem parar de tratar a segurança da API como uma reflexão tardia e arquitetar suas APIs com segurança e conformidade como princípios orientadores fundamentais desde o início.
Violações recentes de dados da API: causas e efeitos
Os cibercriminosos são implacáveis. Vejo notícias sobre dados confidenciais de pacientes sendo vazados quase todos os dias. Escolha seu título para escolher: “Profissional de saúde avisa 4,2 milhões de pessoas sobre uma violação de dados”, “Com 385 milhões de registros de pacientes expostos, especialistas em segurança cibernética soam alarme sobre surto de violação”, “Serviço de saúde anuncia violação de dados que afeta os números de seguridade social dos pacientes e informações de saúde protegidas”. A lista continua e cresce cada vez que eu olho.
Esses riscos significam que as boas pessoas que trabalham como profissionais de segurança cibernética para proteger as empresas de saúde devem trabalhar para ficar um passo à frente dos invasores. Devemos projetar tecnologias de API seguras de forma proativa, e o governo precisa perseguir os cibercriminosos, assim como faria com qualquer outro tipo de criminoso. Quando um ator mal-intencionado pode desligar os sistemas de TI de um hospital e comprometer a segurança do paciente, eles colocam vidas em jogo. E até que o governo possa exigir consequências contra os atacantes que sejam dolorosas o suficiente para dissuadir futuras violações, os defensores sempre estarão um passo atrás dos atacantes.
Os ladrões cibernéticos aproveitaram as vulnerabilidades da API para executar muitas violações de saúde de alto perfil, incluindo a violação de dados da Optus que afetou mais de 11 milhões de pacientes no ano passado.
Exemplos de riscos comuns relacionados à API incluem ataques DDoS, ataques de injeção de dados, falta de criptografia que leva a ataques de sniffing, funções quebradas na autorização e autenticação, APIs backdoor não documentadas e APIs antigas que não estão mais em uso (“zumbis”).
Implementar a segurança da API por design
A proteção contra violações de API requer a adoção dos princípios de segurança da API por design. Os líderes técnicos precisam abordar o design da API com a segurança em primeiro lugar, e não como uma reflexão tardia.
Alguns dos princípios fundamentais que precisamos ver mais na segurança cibernética da saúde incluem:
- Compatibilidade FHIR (Fast Healthcare Interoperability Resource) e conformidade de interface padrão, que fornecem a estrutura para facilitar a troca de informações padronizada, perfeita e segura.
- Conectividade confiável — as APIs só devem se conectar a usuários e aplicativos confiáveis.
- Controles de limitação de visibilidade de dados, que permitem o controle sobre quem e quais sistemas acessam APIs e quando eles têm permissão para fazê-lo.
Outras proteções, como um firewall, podem amplificar esses esforços para limitar o acesso a APIs a usuários confiáveis. Além disso, a implementação de critérios básicos de pesquisa e documentação disponível publicamente pode ajudar a criar APIs mais fortes que os bandidos temerão. Os líderes técnicos que projetam APIs também podem manter os hackers fora, esforçando-se para ter o menor número possível de extrações de dados necessárias.
À medida que as APIs se tornam maneiras cada vez mais comuns de conectar diferentes sistemas e redes, as vulnerabilidades da API só proliferarão se não assumirmos a responsabilidade de melhorar proativamente nossas defesas cibernéticas.
Os cibercriminosos que competem para explorar essas vulnerabilidades estão à espreita em todas as fendas do mundo digital, prontos para encontrar uma maneira de entrar. Os líderes técnicos do setor de saúde devem estar preparados para tomar medidas ofensivas e investir recursos na criação de APIs mais seguras para proteger os pacientes e seus dados e ficar à frente dos bandidos.
FONTE: HELPNET SECURITY