Qual a melhor maneira de proteger as informações de saúde e dos pacientes?

Views: 583
0 0
Read Time:4 Minute, 3 Second

Além de honrar o Juramento de Hipócrates para que ‘acima de tudo não façam mal’ aos seus pacientes, os médicos e as organizações enfrentam a obrigação de assegurar que as informações de saúde, identificação pessoal e os dados financeiros de seus pacientes sejam resguardados.

A ironia consiste que uma das medidas usuais de ‘segurança’ que as organizações de saúde adotam para fortalecer a segurança cibernética, a criptografia de dados, quando em movimento pode realmente tornar os dados dos pacientes mais vulneráveis ​​a ataques.

Ao utilizar a criptografia para proteger as comunicações, as empresas de healthcare impedem que firewalls e outros dispositivos de segurança detectem tráfego malicioso e arquivos ocultos no tráfego legítimo.

A descriptografia para inspeção pode ser uma abordagem viável, mas normalmente tem alto custo de penalidades, escalabilidade e performance. Então, o que fazer? A princípio, é essencial que essas organizações entendam que a criptografia fornece privacidade, mas não segurança.

A cibersegurança é um desafio crítico para profissionais e organizações de apoio. As vastas quantidades de PHI (Informações de Saúde Protegidas)PII (Informações de Identificação Pessoal) e dados financeiros costumam ser alvos para ataques de ransomware e roubo de dados.

O erro de um colaborador bem-intencionado, a sabotagem de um funcionário mal-intencionado ou até um ataque direto via phishing ou malware, baseado em Trojan por hackers, estão entre os riscos em potencial.

O impacto de uma violação pode ser devastador. Os notórios ataques de ransomware WannaCry de 2017 atingiram alvos em 150 países em todo o mundo. Entre suas vítimas estava o Serviço Nacional de Saúde do Reino Unido, forçando o cancelamento de mais de 19.000 consultas a um custo de 20 milhões de libras (US$ 25 milhões) e necessitando de reparos e atualizações do sistema que custaram um adicional de 72 milhões libras (US$ 90 milhões).

Em fevereiro de 2015,  nos EUA, uma violação da empresa de assistência médica  Anthem, Inc. afetou quase 80 milhões de pessoas e trouxe uma multa recorde de 16 milhões de dólares  do Escritório de Direitos Civis (OCR), do  Departamento de Saúde e Serviços Humanos, além de um acordo civil de US$ 115 milhões.

Criptografia x descriptografia

A maioria das organizações depende de criptografia para proteger as comunicações na Internet. O  Relatório de transparência do Google  revela que mais de 90% do tráfego recebido pela empresa e seus produtos são criptografados por conexões SSL ou TLS.

O mesmo pode ser dito para outros navegadores. As organizações de saúde não são exceção a essa tendência – nem os hackers. De fato, mais da metade dos ataques de malware vistos hoje estão usando alguma forma de criptografia para estabelecer comunicações ou sistemas infiltrados.

À medida que um hacker tenta penetrar nas defesas da rede, a criptografia torna o malware invisível para a infraestrutura de segurança da organização, incluindo sistemas avançados de proteção contra ameaças (ATP), sistemas de detecção de intrusões (IDS), sistemas de prevenção de intrusões (IPS), firewalls, software antivírus e secure web gateways.

Quando o malware procura estabelecer uma conexão com os servidores de comando e controle, a criptografia torna impossível rastrear ou interromper essas comunicações. E, à medida que o malware começa a contrabandear arquivos direcionados, a criptografia mais uma vez cega os dispositivos tradicionais de prevenção de perda de dados (DLP) e os dispositivos forenses. Ou seja, a criptografia pode deixar o restante da pilha de segurança inútil para interromper um ataque.

Uma solução teórica seria descriptografar o tráfego recebido para permitir a inspeção, uma capacidade oferecida pelos recentes firewalls de última geração (NGFW) e sistemas de prevenção de intrusões. O que não costuma ser prático. Um teste realizado pelo NSS Labs encontrou uma média de degradação de performance de 60%, quando a descriptografia é ativada em um NGFW.

A solução real: mudar o foco de uma descriptografia lenta, ineficiente e dispendiosa de dispositivo a dispositivo, para descriptografia centralizada em uma única solução dedicada.  O que torna possível descriptografar o tráfego uma vez para inspeção por dispositivos de segurança separados na pilha em conjunto e depois criptografá-lo novamente.

Assim, as organizações podem eliminar o ponto cego da criptografia para detectar violações de dados e ataques cibernéticos. Além de reforçar a segurança, as organizações podem impor e garantir a conformidade com os padrões de privacidade e proteção de dados, como LGPD  (Lei Geral de Proteção de Dados do Brasil)GDPR (Regulamento Geral de Proteção de Dados na União Europeia)  e HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde dos EUA) – requisitos essenciais para todas as organizações de saúde. O conhecimento faz toda a diferença para resolver problemas de cibersegurança.

FONTE: CIO

POSTS RELACIONADOS