0
0
Nossos sistemas de saúde correm o risco de infiltração por agentes de ameaças, potencialmente interrompendo serviços, comprometendo dados confidenciais e até mesmo comprometendo os resultados dos pacientes. Entre as pessoas que lidam com esses desafios está Dennis Fridrich, vice-presidente de segurança cibernética da TRIMEDX, que não apenas entende esses riscos, mas também orienta respostas estratégicas a eles.
Nesta entrevista da Help Net Security, Fridrich investiga os custos ocultos dos ataques cibernéticos aos sistemas de saúde, o papel das seguradoras na promoção da preparação para a segurança cibernética e como as organizações podem gerenciar melhor seus riscos cibernéticos.
Uma vez que nem todas as violações cibernéticas são relatadas, como as seguradoras podem obter uma compreensão mais abrangente do custo total e do impacto dos ataques cibernéticos?
Os impactos financeiros diretos dos ataques cibernéticos, sejam eles pagamentos de resgate, ações judiciais, multas ou taxas para provedores de serviços terceirizados, como negociadores de resgate, são definitivamente um fator importante na formação do seguro cibernético. No entanto, nem sempre dão a imagem completa. Encontrar maneiras adicionais de medir como uma violação afeta as operações diárias dentro de uma organização pode revelar muitos custos ocultos e ajudar as seguradoras a entender para o que precisam se preparar em um cenário de segurança em mudança.
Para os sistemas de saúde, a métrica ideal seria o impacto nos resultados dos pacientes. No entanto, avaliar com precisão como a saúde do paciente seria diferente se um ataque cibernético não tivesse ocorrido é extremamente difícil. As seguradoras, assim como os próprios sistemas de saúde, precisam do contexto completo das operações clínicas para ver o verdadeiro impacto.
Como superar a falta de dados históricos em casos de ataques cibernéticos? Existem fontes de dados alternativas que as seguradoras poderiam aproveitar para subscrever essas apólices?
Embora muitas vezes seja difícil quantificar o impacto abrangente dos ataques cibernéticos, existem várias métricas que podem fornecer mais contexto. As seguradoras e os sistemas de saúde podem analisar o tempo de inatividade dos recursos e equipamentos de TI, quanto tempo leva para responder a ataques e quanto tempo leva para resolver a violação. Esses pontos de dados são úteis para determinar a interrupção da receita e os danos financeiros. Também é fundamental que as seguradoras entendam como os sistemas de saúde estão se esforçando para evitar violações em seu portfólio de tecnologia.
Essa é uma maneira mais confiável de entender o risco geral, em vez de simplesmente olhar para as violações depois que elas acontecem. Os sistemas de saúde e as seguradoras devem primeiro conhecer o grande número de possíveis vulnerabilidades em uma variedade de tecnologias. As seguradoras também devem perguntar se os sistemas de saúde têm acesso a um banco de dados de vulnerabilidades. Deve-se perguntar se o sistema de saúde tem um processo em vigor para combinar com precisão as vulnerabilidades ao seu inventário de TI e dispositivos médicos.
Em seguida, é vital que os sistemas de saúde identifiquem os níveis de risco associados à sua tecnologia em caso de violação, em termos de segurança do paciente. Por exemplo, se uma bomba de infusão falhar por causa de um ataque cibernético, há uma consequência direta potencialmente perigosa – até mesmo mortal – para o paciente. Por outro lado, embora os monitores cardíacos sejam cruciais para monitorar a saúde de um paciente, eles não sustentam a vida por conta própria. Um monitor cardíaco comprometido provavelmente não prejudicará o paciente diretamente, mas ainda pode haver ramificações graves e fatais.
Um hospital do Alabama enfrentou um processo alegando que não divulgou adequadamente que seus sistemas de computador haviam sido prejudicados por um ataque cibernético, que resultou na morte de um bebê. O processo alegou que um médico não pôde monitorar adequadamente o bebê durante o parto porque os dispositivos eletrônicos falharam. Essa tragédia ilustra por que é tão crucial entender o nível de risco associado a cada equipamento conectado.
Dada a crescente frequência e complexidade dos ataques cibernéticos, como as seguradoras podem manter seu apetite por risco no espaço de seguros cibernéticos?
As seguradoras devem ter um papel activo na criação de um mercado mais educado e, por conseguinte, mais segurável. Sistemas de saúde mais bem informados e com uma forte governação da cibersegurança representarão um risco menor para as seguradoras, criando maiores oportunidades para um mercado de seguros mais sustentável.
Você pode discutir estratégias para preencher a lacuna de conscientização dentro das organizações sobre sua prontidão cibernética e as opções de cobertura de seguro disponíveis?
As seguradoras devem educar os sistemas de saúde sobre as melhores práticas que aumentarão a segurabilidade e alinharão os recursos aos principais requisitos no processo de subscrição. Isso é mutuamente benéfico para a seguradora e o sistema de saúde. Se os sistemas de saúde tiverem uma maior consciência de suas vulnerabilidades e riscos cibernéticos, eles podem implementar melhores estratégias preventivas, protegendo-se de ataques cibernéticos e, ao mesmo tempo, tornando-se mais seguráveis. As seguradoras podem aumentar a conscientização sobre a necessidade de quebrar silos entre o gerenciamento de tecnologia de saúde (HTM) e as equipes de TI.
A tecnologia clínica está se tornando cada vez mais digitalizada e conectada à rede, então todas as equipes e associados que gerenciam essa tecnologia devem ter um forte entendimento da postura de risco de segurança cibernética de sua organização. Não é mais sustentável que os sistemas de saúde dependam apenas de equipes de TI para lidar com a segurança cibernética. As seguradoras poderiam fornecer recursos que equipam todos os associados do sistema de saúde para estarem mais vigilantes aos riscos de segurança cibernética, não apenas equipes de tecnologia e executivas.
Na sua opinião, como deve ser definida a cobertura geográfica no contexto de ciberataques que podem ser perpetrados a partir de qualquer parte do mundo?
A maneira como nos conectamos e usamos a internet nos EUA é altamente descentralizada, o que torna a geografia menos relevante à medida que a tecnologia em rede se torna mais onipresente em todos os aspectos de nossas vidas, incluindo os cuidados de saúde. Os ataques cibernéticos têm origem em todo o mundo e atingem além das fronteiras internacionais. Como os cibercriminosos ignoram as fronteiras geográficas, nossa resposta também deve ir além delas. Para que a cobertura de seguro cibernético seja eficaz, ela deve refletir o espaço online internacional em que operamos.
Qual é o equilíbrio ideal entre investir em medidas preventivas e comprar um seguro cibernético? Essas estratégias podem coexistir ou as organizações devem escolher uma em detrimento da outra?
O seguro sustentável não pode existir sem medidas preventivas. Em média, os sistemas de saúde nos Estados Unidos enfrentam 1.410 tentativas de violação por semana. As tentativas de ataques cibernéticos estão ocorrendo com tanta frequência que dificilmente há uma organização que não seria sobrecarregada e irreparavelmente danificada sem medidas de segurança cibernética em vigor. Especialmente no caso dos sistemas de saúde, onde operações confiáveis podem ser uma questão de vida ou morte, os danos dos ataques cibernéticos vão muito além das perdas financeiras. O seguro cibernético é um componente importante para reforçar a estratégia de segurança cibernética de uma organização, mas também deve ser a última linha de defesa.
Os sistemas de saúde devem equipar suas pessoas, processos e tecnologia para evitar que violações aconteçam em primeiro lugar. Isso inclui treinar os associados em métodos de ataque, como engenharia social, padronizar medidas como autenticação de dois fatores para proteger o acesso a redes e dispositivos e implantar tecnologias que podem ajudar a reconhecer ameaças potenciais mais rapidamente. Além dessas táticas, a manutenção da cobertura continua sendo um componente importante para mitigar danos caso ocorra uma violação.
FONTE: HELPNET SECURITY