O crescimento da digitalização na área da saúde levou a um melhor atendimento ao paciente e a uma melhor prestação de serviços pelos provedores de serviços de saúde. No entanto, devido à abundância de informações de identificação pessoal (PII), tornou o setor de saúde vulnerável a ataques cibernéticos.
De acordo com pesquisadores, houve 4.419 violações de dados de saúde entre 2009 e 2021. Isso constitui 314.063.186 registros de saúde expostos. De acordo com um relatório da IBM, uma violação de dados no setor de saúde custa US$ 10,10 milhões por incidente . A maioria dessas violações foram violações de terceiros, uma mudança em relação aos grandes ataques comuns a sistemas de saúde.
Diante desse cenário de ameaças, os líderes de segurança da saúde devem estar atentos e mitigar uma série de ameaças de segurança cibernética enfrentadas pelo setor.
1. Violação de terceiros
O setor de saúde depende fortemente de fornecedores terceirizados, como hospedagem na web em nuvem e fornecedores de software baseados em nuvem. Entidades terceirizadas ajudam as organizações de assistência médica a obter vantagens estratégicas, como economia de custos e/ou experiência que não possuem. Como tal, representam um grave risco para essas organizações de assistência médica porque a maioria delas não possui planos adequados de segurança cibernética ou proteção contra violação de dados.
Uma organização de saúde típica tem uma média de 1.320 fornecedores sob contrato. Do ponto de vista do cibercriminoso, faz mais sentido atacar um fornecedor terceirizado. Se o ataque for bem-sucedido, eles obtêm acesso aos dados da empresa controladora. É dessa natureza que 55% das organizações de saúde sofreram uma violação de dados de terceiros nos últimos 12 meses.
Os métodos usados pelos invasores incluem a exploração de senhas fracas e controles de acesso para obter acesso à rede das organizações de saúde. Além disso, um número considerável de organizações de assistência médica possui servidores e bancos de dados externos inseguros que facilitam a invasão e o acesso a seus dados valiosos.
Como lidar com uma violação de terceiros
Em 2023 e além, as organizações de saúde devem ter segurança de aplicativos e segurança de rede adequadas para evitar a ocorrência de uma violação de terceiros. A criptografia é uma estratégia para proteger os dados do paciente. Em caso de violação dos dados do paciente, o invasor não pode descriptografar os dados sem acessar as chaves de criptografia.
A criptografia deve ser feita em repouso e em trânsito para que, mesmo que um hacker entre no sistema, não consiga escapar com os dados. O treinamento sobre como lidar com informações pessoais de saúde também será útil para conter violações de terceiros. Por último, examine fornecedores terceirizados para garantir que eles tenham a infraestrutura de segurança adequada para proteger os dados de assistência médica de ficarem vulneráveis.
2. Violações de nuvem
Setenta e três por cento das organizações de saúde armazenam dados confidenciais na nuvem. Além do mais, 45% desses dados são informações pessoais de saúde. 61% das organizações de saúde pesquisadas, sofreram um ataque em sua infraestrutura de nuvem nos últimos 12 meses, e o phishing foi a violação de nuvem mais comum.
O maior desafio para garantir a segurança dos dados na nuvem foi que 69% de sua equipe de TI/segurança está com falta de pessoal. 55% carecem de experiência em segurança na nuvem e 33% carecem de orçamento para implementar uma estratégia de segurança na nuvem.
Como evitar violações na nuvem
No futuro, além de proteger a infraestrutura de TI local tradicional, as organizações de assistência médica devem investir na construção de uma infraestrutura de nuvem segura.
Continue testando, monitorando e analisando a infraestrutura de nuvem corporativa para detectar quaisquer vulnerabilidades e selar brechas na segurança da saúde. Existem plataformas de gerenciamento de nuvem que podem monitorar a nuvem para sua organização. Ao investir em infraestrutura, é indispensável ter políticas de segurança para acesso remoto, BYOD, uso de senha, transferência e descarte de dados.
Instrua continuamente todos os funcionários sobre essas diretrizes de segurança cibernética. Por fim, tenha um plano de recuperação de desastres em caso de violação ou ataque na nuvem. Um sistema de backup de dados remoto será fundamental.
3. Ataques de IoT
Cinquenta e três por cento dos dispositivos de Internet das Coisas (IoT) em um hospital correm o risco de serem atacados. O mais vulnerável desses dispositivos é a bomba intravenosa, que representa 38% de uma pegada típica de IoT hospitalar. O segundo mais vulnerável é o VOIP (Voice over Internet Protocol) que representa 50% dos dispositivos IoT em um hospital.
O risco de segurança cibernética mais comum para esses dispositivos são senhas inseguras. A maioria dos dispositivos Internet of Medical Things (IoMT) e IoT usa suas senhas padrão, que os hackers podem obter facilmente on-line em seus manuais. O resto simplesmente usa senhas fracas que são fáceis de hackear.
Como evitar violações de IoT
É vital construir dispositivos IoT médicos mais seguros. Para proteger dispositivos IoT, um grupo de 104 partes interessadas em tecnologia chegou a um consenso global sobre padrões, especificações e diretrizes de segurança IoT . A estrutura descreve cinco princípios de segurança de IoT, incluindo:
- Fim das senhas padrão universais
- Implementando uma política de divulgação de vulnerabilidades
- Atualizações regulares de software
- Protegendo as comunicações
- Garantir que os dados pessoais estejam seguros.
Outras soluções seriam usar senhas fortes para dispositivos IoMT, bem como manter um inventário de toda a tecnologia IoMT e usá-la para realizar avaliações de risco.
Para proteger as organizações de assistência médica contra vulnerabilidades de segurança cibernética, é crucial que os líderes de segurança as entendam primeiro, criem uma política em torno delas e aloquem um orçamento para lidar com elas. Com as informações acima, eles poderão fazer isso e avançar na proteção de suas organizações de assistência médica contra quaisquer vulnerabilidades de dados.
REFERÊNCIAS:
https://www.netwrix.com/download/collaterals/Netwrix_Cloud_Data_Security_Report_2022.pdf