Perda de dados na área da saúde

Views: 168
0 0
Read Time:15 Minute, 34 Second

Como uma das informações pessoais mais sensíveis, os dados de saúde do paciente precisam ser protegidos contra incidentes ou violações de dados. Porém, quando a maioria dos dados está espalhada entre vários aplicativos e dispositivos, manter os dados protegidos contra ameaças pode ser bastante desafiador. 

No entanto, existem algumas práticas recomendadas que as empresas do setor de saúde podem usar para aumentar a segurança de seus dados (e a confiança do paciente) imediatamente – você aprenderá sobre elas neste artigo. 

Como a tecnologia mudou o setor de saúde

O setor de saúde se beneficiou da tecnologia de várias maneiras. Graças aos registros médicos digitalizados armazenados na nuvem, os médicos não precisam gastar tanto tempo criando, atualizando e gerenciando registros em papel. Dispositivos vestíveis e aplicativos digitais de saúde ajudam os médicos a monitorar pacientes com doenças crônicas. Existem até aplicativos baseados em IA que podem gravar conversas médico-pacientes e transformá-las em anotações completas, economizando muito tempo para os médicos. 

Todos esses aplicativos também geram enormes quantidades de dados todos os dias – e isso é uma bênção e uma maldição para o setor de saúde. Uma bênção porque os dados provenientes dos aplicativos podem fornecer aos profissionais de saúde muito mais informações sobre um paciente do que uma entrevista. Dessa forma, eles podem tomar melhores decisões sobre como tratá-los e fornecer um melhor atendimento ao paciente em geral.

A quantidade de dados gerados todos os dias torna cada vez mais difícil acompanhar quais informações confidenciais de saúde são armazenadas, onde e quem pode acessá-las. Acrescente a esses dias agitados de trabalho, uma conhecida antipatia pela papelada entre a equipe médica e (infelizmente com muita frequência) a falta de treinamento em segurança cibernética, e você poderá ver por que a saúde está entre os setores que sofrem mais incidentes de dados. Infelizmente, os ataques de saúde também estão se tornando mais comuns. Isso se deve ao valor que os registros médicos têm para os criminosos e ao fato de muitos estabelecimentos de saúde ainda usarem equipamentos obsoletos, tornando a obtenção dos registros muito mais fácil para os criminosos.

Qual é o custo médio da perda/violação de dados na área de saúde?

A área de saúde tem o maior custo médio de violação de dados, US$ 10,10 milhões por incidente.

O que é ainda mais preocupante é que o custo das violações de dados de assistência médica está crescendo rapidamente. De acordo com um relatório de violação da IBM Security, o custo médio desse incidente no setor de saúde aumentou 42% desde 2020  – e continua crescendo. 

O custo é tão alto por vários motivos. A primeira está relacionada ao tipo e quantidade de dados que os profissionais de saúde coletam e armazenam em seus sistemas. No arquivo de cada paciente, geralmente há: 

  • Nome completo e endereço do paciente
  • Endereço de e-mail
  • número de identidade
  • Informações de pagamento
  • números de segurança social
  • Histórico médico, juntamente com prescrições de medicamentos, etc.

Para os criminosos, um desses registros médicos vale até 50 vezes mais do que um número de cartão de crédito, pois eles podem construir uma persona totalmente falsa a partir das informações disponíveis nos registros de saúde. Em seguida, eles usam a nova persona para comprar equipamentos médicos no seguro de saúde da vítima, fazer empréstimos em nome do paciente, abusar do plano de saúde da vítima ou preencher reivindicações de seguro. Além disso, como os registros de saúde (em comparação com, por exemplo, cartões de crédito) não podem ser cancelados, bloqueados ou alterados depois que um comprometimento de dados é percebido, as empresas de assistência médica têm muito mais dificuldade em contê-lo e minimizar os danos.

Como resultado, estima-se que agora 95% do roubo de identidade vem de registros de saúde roubados  – o que significa que qualquer incidente de dados pode representar um sério risco à segurança do paciente.

Outra coisa que torna os incidentes de dados de saúde tão caros é quanto tempo eles levam para resolvê-los. Em seu relatório de 2022, a segurança da IBM descobriu que o ciclo de vida médio da violação de dados de assistência médica é de 329 dias. 

Considerando o pouco tempo que os profissionais de saúde têm durante o dia e a facilidade com que arquivos (incluindo os de saúde confidenciais) podem ser copiados ou compartilhados sem que ninguém perceba, pode levar muito tempo para uma clínica ou hospital descobrir um incidente de dados. 

Infelizmente, quando eles descobrem, geralmente é tarde demais. Os dados de seus pacientes (de números de previdência social e números de cartão de crédito ao histórico de saúde) já vazaram para a darknet, e a empresa agora tem que lidar com danos à reputação, perdas financeiras – e também consequências legais. 

Violações de dados de saúde e consequências legais

Violações de dados de assistência médica são tão caras também devido ao número de leis e regulamentos que o setor precisa cumprir atualmente – e as penalidades por violá-las também são bastante pesadas. 

A maior penalidade de violação da HIPAA até o momento, US$ 16 milhões, foi paga pela Anthem Inc. em 2018, depois que um ataque cibernético de 2014 causou uma violação de dados de saúde abrangendo 78,8 milhões de registros. Além disso, a Anthem também teve que pagar $ 115 milhões para resolver os processos movidos em nome das vítimas do incidente e $ 48 milhões como multas. 

A segunda maior violação com a maior penalidade foi imposta à seguradora de saúde Premera Blue Cross em 2020 . A empresa foi multada por negligenciar vários requisitos da HIPAA e causar um incidente de dados no qual hackers obtiveram as informações de saúde protegidas de 10.466.692 indivíduos. A empresa então concordou em pagar uma penalidade financeira de US$ 6.850.000 para resolver o caso e adotou um plano de ação corretiva para abordar todas as áreas de não conformidade. 

Além disso, a Premera Blue Cross resolveu uma ação multiestadual por US$ 10 milhões e uma ação coletiva movida em nome das vítimas por US$ 74 milhões.

Os dados de saúde, genéticos e biométricos também são considerados categorias especiais de dados no âmbito do Regulamento Geral de Proteção de Dados (RGPD). É por isso que se espera que as empresas de assistência médica sigam diretrizes mais rígidas ao coletar, processar e armazenar informações de saúde – caso contrário, as multas também podem ser bastante altas.

Em 23 de fevereiro de 2021 ,  os dados de saúde de quase 500.000 pessoas foram divulgados na Internet após uma violação maciça de dados na empresa DEDALUS BIOLOGIE. Os dados expostos incluíam nomes, números de CPF, nome do médico principal do paciente, datas de exames, bem como informações confidenciais de saúde relacionadas a HIV, câncer, doenças genéticas, gravidez e terapia medicamentosa. A empresa foi então multada em 1,5 milhão de euros pela autoridade francesa de proteção de dados (CNIL) por violar os requisitos dos artigos 28, 29 e 32 do GDPR e causar a violação. No entanto, a investigação ainda está em andamento, portanto, o valor final que a empresa terá que pagar pelas violações pode ser muito maior.

Também está se tornando mais comum as pessoas entrarem com ações judiciais após uma violação de seus dados. Por exemplo, o escritório de advocacia Baker Hostetler analisou mais de 1.200 incidentes de segurança de dados de 2021 que sua empresa ajudou clientes a gerenciar e descobriu que 23% desses incidentes envolviam violações de assistência médica.

Isso significa que, no caso de uma violação grave de dados, os estabelecimentos de saúde podem se deparar não apenas com a aplicação da lei de privacidade de dados, mas também com ações judiciais privadas de indivíduos afetados pelo incidente. Então, as empresas podem acabar tendo que pagar acordos judiciais, indenizações e também reembolsar as vítimas de violação dos custos diretos relacionados ao incidente – o que aumentará significativamente os custos da violação.

Como proteger os registros dos pacientes contra perda ou violação?

Embora aumentar a segurança dos dados no centro de saúde provavelmente leve algum tempo e esforço, isso ajudará você a longo prazo, pois facilitará a prevenção de incidentes de dados ou violações de conformidade. Dessa forma, você pode garantir a seus pacientes e parceiros de negócios que seus dados estão seguros com você, bem como evitar repercussões financeiras muito caras de violações de dados de saúde.

Onde você deve começar, embora? 

Aqui estão algumas coisas que você pode fazer para fortalecer seus sistemas de saúde:

  • Executar uma avaliação de risco de segurança

Tanto o GDPR quanto o HIPAA exigem que os provedores de assistência médica executem uma avaliação anual de risco de segurança para identificar possíveis vulnerabilidades de segurança e ameaças de dados em suas redes. Embora isso geralmente leve algum tempo, eles são incrivelmente importantes para as empresas de assistência médica, pois podem fornecer informações suficientes sobre onde os dados do paciente podem estar comprometidos e como você deve lidar com as vulnerabilidades. 

Dessa forma, você poderá corrigir quaisquer vulnerabilidades ou problemas em sua rede que possam levar a incidentes de violação ou perda no futuro, economizando tempo (e dinheiro).

  • Eduque sua equipe sobre as melhores práticas de segurança cibernética

Sem treinamento em segurança cibernética, seus funcionários podem não estar cientes das políticas de segurança ou dos riscos cibernéticos de sua empresa, levando-os a tomar ações arriscadas – como enviar o arquivo de um paciente por meio de um mensageiro de mídia social. E, no entanto, quase um terço dos funcionários da área de saúde (32%) disseram que nunca receberam treinamento em segurança cibernética em seu local de trabalho! A falta de consciência das consequências da violação também pode fazer com que os funcionários ignorem os procedimentos de segurança apenas para realizar uma tarefa mais rapidamente. No entanto, isso pode levar rapidamente a violações de dados de saúde – na verdade, o erro humano foi responsável por 33% das violações de saúde somente  em 2020.

Para diminuir o número de incidentes, certifique-se de que seus funcionários saibam como devem trabalhar com dados confidenciais e quais são as consequências de negligenciar os procedimentos. Entregar a eles um plano de resposta a incidentes com diretrizes sobre como responder quando eles percebem uma violação de dados de saúde também seria muito útil quando se trata de prevenir e lidar com ameaças de dados.

  • Limitar o acesso aos registros de saúde

Com centenas de pessoas e dispositivos dentro de uma organização de saúde, é vital que você fique de olho em quem pode abrir, editar e compartilhar os registros de saúde dos pacientes para evitar o roubo de dados. As permissões de acesso para os arquivos de saúde mais confidenciais devem ser configuradas para que apenas os especialistas em saúde que precisam dos registros médicos específicos possam acessá-los e editá-los. 

Quanto menos pessoas tiverem acesso aos registros de saúde, menos provável é que os dados possam ser comprometidos – ou vazados para fora.

  • Limite o uso de dispositivos pessoais

Os profissionais de saúde podem achar conveniente usar seus dispositivos pessoais para o trabalho, mas esses dispositivos geralmente não são tão seguros quanto os que têm na clínica ou no hospital. Ter políticas claras que descrevam como os funcionários podem acessar sua rede/aplicativos ao usar dispositivos pessoais e como eles devem lidar com incidentes é essencial se você quiser permitir que os funcionários tragam e usem seus próprios dispositivos para o trabalho. Também é uma boa ideia ficar de olho em quais dispositivos são adicionados à sua rede e restringir ou bloquear o acesso a arquivos confidenciais para aqueles que você não reconhece.

  • Mantenha um registro de auditoria de dados

Manter os registros de dados é uma parte essencial da conformidade com a HIPAA, pois, por meio deles, você pode detectar rapidamente qualquer violação da política e respondê-la imediatamente. Além disso, quando ocorre um incidente, uma trilha de auditoria também ajuda os especialistas forenses a identificar o local onde o incidente começou, determinar a causa e sugerir a melhor maneira de evitar que problemas semelhantes aconteçam. 

No entanto, rastrear e salvar manualmente o log de auditoria seria demorado e complicado. Felizmente, aqui você pode contar com aplicativos como o Safetica, que criará e atualizará os logs de auditoria para você. Então, quando você estiver lidando com um incidente de dados, terá apenas que verificar os logs de dados e saberá onde e como começou – em vez de ter que pesquisar toda a rede.

  • Restrinja quais ações podem ser executadas ao trabalhar com dados confidenciais

Além de monitorar quais funcionários têm acesso a arquivos confidenciais, é recomendável restringir o que pode ser feito com esses arquivos para evitar divulgações não autorizadas. Por exemplo, limitar ou bloquear uploads de arquivos confidenciais na Web, captura de tela, cópia para unidades externas, adição de arquivos como anexos de e-mail ou impressão pode ajudar muito a reduzir o risco de ocorrência de incidentes. Os endpoints de dados monitorados e protegidos também reduzirão bastante as chances de ladrões de dados roubarem dados confidenciais, pois terão muito menos opções para copiar ou compartilhar os dados sem serem pegos.

  • criptografar dados

A criptografia é um dos métodos mais eficazes de proteção de informações confidenciais. Mesmo que alguém não autorizado obtenha acesso a arquivos confidenciais, como registros médicos de pacientes, as informações contidas nos arquivos ficarão ilegíveis para eles e, portanto, não poderão usar os arquivos de forma alguma. Para segurança adicional, você também pode adicionar mais camadas de criptografia para que mais de uma chave de criptografia seja necessária para entrar em um sistema ou combinar a criptografia com autenticação multifator.

  • Destrua informações confidenciais corretamente

A HIPAA também possui regulamentos rigorosos sobre como você deve destruir arquivos e dispositivos com dados de pacientes ou outras informações confidenciais para garantir que nenhuma pessoa não autorizada possa usá-los. Deixar de destruir adequadamente os dados que você não precisa mais pode fazer com que os dados sejam expostos e, em seguida, você pode ser multado por não conformidade. 

Na verdade, algumas das maiores multas por violações da HIPAA foram por não cumprir as regras de destruição de registros médicos. Por exemplo, o New England Dermatology and Laser Center teve que pagar $ 300.640 para encerrar uma investigação sobre a destruição indevida de registros médicos. 

Recomenda-se contratar serviços de destruição de dados compatíveis com HIPAA para descartar os dados confidenciais e os dispositivos nos quais os dados estavam, para garantir que eles foram destruídos adequadamente e que as informações não possam ser recuperadas.

  • Faça backup dos dados regularmente e armazene-os em um local seguro

Se o seu sistema de saúde falhou ou se o seu funcionário substituiu acidentalmente os registros do paciente, perder o acesso a dados confidenciais pode forçá-lo a gastar mais tempo restaurando os arquivos em vez de cuidar de seus pacientes. Além disso, se você precisar reagendar consultas ou procedimentos de pacientes devido a um incidente de dados, corre o risco de perder a confiança de que seus dados estão seguros com você.

É por isso que a regra final da HIPAA exige que as informações de saúde protegidas eletronicamente (ePHI) sejam copiadas regularmente e armazenadas com segurança fora do local. O ideal é ter três backups dos dados armazenados em locais diferentes, pois assim você reduz significativamente as chances de perder todos os seus dados.

Também é recomendável que os backups sejam feitos diariamente ou pelo menos uma vez por semana. Se você não tiver tempo para fazer isso sozinho, será uma boa ideia agendar backups automáticos em intervalos definidos – por exemplo, todos os dias à meia-noite. Além disso, você deve garantir que apenas as pessoas que precisarão das cópias para seu trabalho tenham acesso às cópias – e também que todas as cópias sejam criptografadas.

Como a Safetica pode ajudá -lo a proteger os dados?

Atender aos requisitos de conformidade e segurança de dados e, ao mesmo tempo, oferecer aos pacientes o melhor atendimento possível definitivamente não é uma tarefa fácil, especialmente se a maioria das tarefas relacionadas à proteção dos dados for realizada manualmente. Safetica pode assumir as tarefas de conformidade e segurança de dados para dar aos seus profissionais de saúde mais tempo para cuidar de seus pacientes.  

Depois de definir suas próprias políticas e requisitos de privacidade de dados dentro da plataforma, a Safetica monitorará todos os seus dados de saúde dentro e (o mais importante nos dias de hoje) fora do ambiente de trabalho, 24 horas por dia, 7 dias por semana. 

O que mais a Safetica pode fazer por você:

  • Descubra, classifique e proteja automaticamente arquivos confidenciais.
  • Analise seu ambiente para descobrir locais onde há risco de violação de dados ou não conformidade.
  • Certifique-se de que todos os funcionários sigam as políticas de segurança interna e atendam aos requisitos de conformidade HIPAA/GDPR.
  • Responda a qualquer atividade suspeita da maneira que você especificou anteriormente (por exemplo, pode mostrar um aviso a um funcionário quando ele estiver trabalhando com dados confidenciais).
  • Monitore todos os dispositivos externos ou remotos quanto a possíveis incidentes ou violações de dados e relate todos os novos dispositivos adicionados à rede. 
  • Crie automaticamente logs de atividade de dados para auditorias. 

Você pode aprender mais sobre como Safetica pode proteger os dados em sua unidade de saúde lendo nosso whitepaper dedicado

Conclusão

Hospitais, clínicas e profissionais de saúde são responsáveis ​​por proteger os dados dos pacientes e informações críticas de saúde, pois as consequências daqueles que caem em mãos erradas podem ser desastrosas. O custo médio de uma violação de dados também está crescendo – o que torna a prevenção de vários tipos de violações e incidentes mais crítica do que nunca.

Ao educar os funcionários do hospital e o pessoal de saúde, restringindo o acesso aos dados do paciente e criptografando os dados, o número de incidentes e os danos que eles podem causar podem ser visivelmente reduzidos. 

O Safetica também pode facilitar a manutenção dos dados do paciente, monitorando os dados de saúde e protegendo-os contra ameaças. Depois de combinar as melhores práticas de segurança com o Safetica, você pode ter certeza de que todos os dados do sistema de sua organização estão seguros e protegidos.

FONTE: SAFETICA

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL