Cibersegurança para o setor de saúde

O setor de saúde continua a ficar para trás em segurança cibernética, embora seja cada vez mais visado por criminosos cibernéticos .
Por que isso acontece e o que você pode fazer para proteger melhor sua organização em 2021?

O verdadeiro custo das violações da cibersegurança na área da saúde

Quando a maioria de nós pensa em organizações sendo hackeadas ou violadas, pensamos em dados confidenciais vazando, fazendo com que os lucros despenquem, ou documentos vitais sendo mantidos reféns até que o resgate seja pago . No entanto, quando se trata do setor de saúde, muitas vezes o verdadeiro custo de um ataque é muito mais do que apenas dinheiro.

O custo para os pacientes

A incapacidade de acessar os registros médicos, a perda de produtividade com a queda dos sistemas e o dinheiro pago aos cibercriminosos têm um impacto real na saúde e no bem-estar dos pacientes. Um famoso ataque cibernético voltado para a saúde, foi o ataque de ransomware de 2019 ao Grey’s Harbor Community Hospital e na Harbor Medical Group , forçou o hospital e as clínicas do grupo médico a reverter para registros médicos em papel e afetar backups. Embora a maioria dos registros tenha sido recuperada, ainda não está claro se alguns registros médicos foram perdidos para sempre.
Uma violação pode prejudicar o relacionamento entre o paciente e médico, pois muitos pacientes podem evitar a procurar ajuda médica se estiverem preocupados com os cibercriminosos, e outros usuários não autorizados que possam acessar suas informações médicas privadas. Essas consequências emocionais podem prejudicar seriamente a saúde e o bem-estar dos pacientes e tornar mais difícil para os médicos reconstruir a confiança do paciente e garantir que seus pacientes recebam os cuidados de que precisam.

O custo para a ciência médica

Dependendo da natureza da violação, dados valiosos de pesquisa e propriedade intelectual podem ser danificados ou perdidos, o que pode atrasar a pesquisa de tratamentos que salvam vidas. Esse tipo de pesquisa é inestimável e sua perda pode ter consequências devastadoras para a saúde e o bem-estar de potencialmente milhões de pessoas.

Os desafios únicos da cibersegurança na saúde

A pesquisa mostrou que o setor de saúde é o principal alvo para o roubo de informações médicas, pelo menos em parte, porque fica atrás de outros setores na proteção de seus dados vitais. Então, por que esta indústria, cujos ativos são cruciais para a saúde e o bem-estar humanos, está tão para trás?
Para começar, muito do que os hospitais fazem depende da Internet, desde resultados de exames de pacientes e registros médicos até as várias máquinas e tecnologias usadas para fornecer cuidados aos pacientes. Embora essa interconexão seja excelente para integração de dados, envolvimento do paciente e suporte clínico, também significa que um ransomware ou outro ataque pode se espalhar rapidamente entre sistemas vitais, acessando dados de pacientes e outras informações altamente confidenciais, sequestrando equipamentos médicos para minerar criptomoedas, ou fechando hospitais inteiros ou redes de hospitais até que o resgate seja pago.

Nem todo software pode ser corrigido

Um dos desafios únicos da área de saúde é que existe uma grande variedade de equipamentos. Embora alguns equipamentos sejam de última geração, muitas peças de tecnologia de saúde ainda em uso foram feitas por empresas que não estão mais no mercado ou que funcionam com software antigo com brechas de segurança que não podem ser corrigidas. Isso significa que, mesmo que se saiba da existência de vulnerabilidades (o que nem sempre é o caso), pode não haver uma maneira de corrigi-las.
A resposta óbvia seria abandonar softwares e equipamentos desatualizados com vulnerabilidades conhecidas, mas é mais fácil falar do que fazer. Enquanto uma pequena ou média empresa pode lidar com um desligamento temporário para migrar toda a rede, hospitais e outras instalações de saúde não têm esse luxo: o sistema inteiro precisa estar funcionando 24 horas por dia, 7 dias por semana, 365 dias por ano.
Desligar equipamentos antigos e transferir todos os dados armazenados na rede também pode ser extremamente caro. A capacidade de corrigir e atualizar o software estende a vida útil do equipamento atual e reduz os custos.

O erro humano pode expor os dados do paciente

No que diz respeito à privacidade de dados, uma pesquisa recente do JAMA descobriu que a maioria das violações em ambientes médicos foi desencadeada por divulgações não autorizadas ou erros de funcionários. Quando vários médicos, enfermeiras e especialistas em turnos precisam ser capazes de acessar de forma rápida e fácil os dados confidenciais dos funcionários, aumenta a probabilidade de uma pessoa cometer um erro que possa deixar esses dados vulneráveis.

As maiores ameaças à segurança cibernética com que se preocupar em 2021

Existem algumas ameaças com as quais os provedores de saúde devem se preocupar em 2021. Se você não tiver certeza de quais etapas pode tomar para melhorar a postura de segurança cibernética de sua organização, fale com imid group

Ransomware

O ransomware foi um grande problema em 2019, principalmente para os provedores de saúde, e provavelmente só vai piorar. Ao contrário de algumas outras empresas, os prestadores de serviços de saúde não podem pausar as operações para tentar descriptografar seus arquivos para evitar o pagamento do resgate. E embora algumas empresas possam continuar mesmo sem conseguir recuperar alguns arquivos criptografados, às vezes até mesmo um único arquivo irrecuperável, como o arquivo eletrônico de um paciente ou resultados de testes, pode ter consequências desastrosas para a saúde e o bem-estar dos pacientes.

Dispositivos Médicos Inseguros

As empresas em uma variedade de setores, incluindo o setor de saúde, adotaram com entusiasmo uma ampla variedade de dispositivos de Internet das Coisas (IoT). Na verdade, alguns relatórios especulam que a partir de 2019 e 2024, veremos uma taxa de crescimento anual combinada de 27,6% para dispositivos IoT de saúde .
No entanto, em 2019, o FDA alertou que uma empresa de segurança cibernética identificou 11 vulnerabilidades que poderiam permitir que hackers controlassem dispositivos médicos remotamente . Esse relatório provavelmente levou muitos provedores de saúde a examinar mais de perto suas posturas atuais de segurança cibernética. Esperançosamente, esse foco continuará em 2020 para que essas e outras vulnerabilidades possam ser abordadas.

Registros de saúde eletrônicos inseguros

Os registros eletrônicos de saúde tornaram muito mais fácil para os profissionais de saúde e as instalações acessar os arquivos dos pacientes, embora esse sistema venha com considerações especiais de segurança cibernética.
Embora já existam leis de privacidade para proteger os dados confidenciais dos pacientes, essas leis foram escritas principalmente com as pessoas em mente, não o software. Isso significa que muitos desses sistemas permanecem vulneráveis ​​à exploração por cibercriminosos, uma vez que o software em que muitos desses sistemas são executados ou com o qual fazem interface pode ter sido escrito em um tempo antes da IoT. Dependendo de quando o software foi escrito, a empresa pode não estar disponível para lançar atualizações e patches de software e, mesmo que estejam, o software pode não ser compatível com muitas atualizações de segurança cibernética necessárias.
Esperançosamente, descobertas como o relatório da FDA mencionado acima encorajarão as empresas que projetam sistemas de registros eletrônicos de saúde a avaliar seu software de forma crítica para que ele possa ser modificado para proteger melhor os dados do paciente.

Como as organizações de saúde podem melhorar sua postura de segurança cibernética?

Cada organização é diferente e tem necessidades de segurança cibernética ligeiramente diferentes. Como tal, a primeira coisa que qualquer organização deve fazer é sentar-se com seu MSSP para identificar suas necessidades de segurança cibernética e criar protocolos de segurança cibernética robustos, mas flexíveis.
As organizações também devem trabalhar com seus MSSPs voltados para a saúde para identificar ameaças confiáveis e criar planos de resposta personalizados para lidar com essas ameaças. Esses planos de resposta devem ser projetados para minimizar ou até mesmo eliminar os danos aos sistemas críticos e ajudar a proteger a infraestrutura vital e os dados confidenciais.
Para ajudá-lo a começar, analise nossa postagem no blog Como manter sua empresa segura .