Cibersegurança em Organizações de Saúde

Desde o início da pandemia de Covid-19, a demanda por serviços médicos aumentou vertiginosamente. Organizações de saúde como hospitais e clínicas, que fazem parte do que chamamos de infraestrutura crítica, dependem de uma complexa rede de dispositivos para funcionar. E com o surgimento de tecnologias como Internet das Coisas (IoT), Cloud e Big Data, dispositivos utilizados para monitoramento de pacientes agora estão conectados, no que podemos chamar de Internet of Medical Things (IoMT, ou Internet das Coisas Médicas). 

Por toda essa cadeia de dispositivos trafegam uma quantidade imensa de dados de milhões de pacientes todos os dias. É importante termos em mente que, segundo leis de proteção de dados como LGPD, GDPR e a recém-lançada Lei de Proteção de Dados Pessoais (Personal Information Protection Law, ou PIPL) chinesa, dados médicos e de saúde são considerados sensíveis, e merecem atenção especial por essas legislações. Vocês podem encontrar conteúdos sobre essas legislações em nosso blog ou na seção de Whitepapers em nosso site.

O segmento de IoMT é um dos que possuem maior crescimento atualmente dentro do mercado de IoT. Segundo pesquisa da Fortune Business Insights, deve chegar à cifra de USD 176,82 bilhões até 2026, trazendo uma nova geração de centros de saúde conectados.

Ao mesmo tempo que todos esses dispositivos conectados trazem enormes benefícios para pacientes e profissionais de saúde, cria uma enorme superfície de ataque. Essa maior superfície de ataque com certeza será explorada por atacantes maliciosos para roubar dados e causar danos. Não é à toa que a indústria de healthcare se tornou um dos maiores alvos de cibercriminosos. O presidente do Comitê Internacional da Cruz Vermelha alertou do aumento de ataques cibernéticos que tem como alvo hospitais, clínicas e laboratórios.

Ransomware e phishing são algumas das táticas dos atacantes maliciosos para realizar ataques cibernéticos. Neste webinar nossos especialistas em PAM falam como o senhasegura garante a aplicação do Princípio do Privilégio Mínimo e reduzir riscos de um ataque de ransomware.

Calcula-se que o número de pacientes afetados por vazamentos de dados em 2021 seja de 22,8 milhões de pacientes,

um aumento de 185% em relação ao ano anterior.

Vale lembrar que ataques contra a infraestrutura de organizações médicas ameaçam não apenas a vida dos pacientes como também traz efeitos em toda a cadeia produtiva ligada a essas empresas. 

Para auxiliar organizações de saúde a aumentar o nível de segurança em sua infraestrutura, os Estados Unidos lançaram em 1996 o Health Insurance Portability and Accountability Act, ou HIPAA. Essa regulação específica para o mercado de saúde traz um conjunto de diretrizes que esse tipo de organização de saúde é obrigada a seguir para proteger os dados de pacientes.

Com o aumento no processamento de dados pessoais por organizações de saúde, o HIPAA passou a ter grande importância para evitar o roubo de dados de pacientes, que podem diretamente afetar os lucros de instituições de saúde e a continuidade dos negócios.

Alguns dos controles contidos na HIPAA incluem a implementação de políticas e procedimentos para prevenir, detectar, conter e corrigir violações de segurança. Essas violações podem estar associadas, por exemplo, aos processos de controle de acesso aos dispositivos conectados à infraestrutura.

Além disso, o HIPAA recomenda a implementação de políticas e procedimentos para assegurar que todos os membros da força de trabalho possuem os acessos apropriados a informação de saúde digital. Soluções de PAM como o senhasegura podem ser boas ferramentas para garantir a segregação de acesso a dados sensíveis de pacientes e garantir sua respectiva proteção.

A boa notícia é que, por causa da pandemia de Covid-19, o mercado de saúde espera aumentar o investimento em segurança cibernética em 2022.

O ano de 2021 deve terminar com esse investimento na casa dos USD 18 bilhões. 

Um problema enfrentado pelo setor de healthcare é a baixa consciência cibernética dos seus funcionários. Segundo a Mimecast, quase três quartos de funcionários de instituições pesquisadas utilizam seus dispositivos móveis tanto para assuntos pessoais quanto de negócios. 

Desta maneira, espera-se que os líderes em segurança aproveitem esse aumento do orçamento de cibersegurança para investirem não apenas em soluções de segurança, mas também em consciência cibernética. Treinamentos, semanas de conscientização, eventos, testes de invasão são algumas das possibilidades que os times de Segurança podem executar para assegurar que as pessoas entenderam que segurança é obrigação de todos, e não apenas dos times de Segurança da Informação.

Outra forma de aumentar a postura em segurança em organizações de saúde é a implementação de padrões de cibersegurança. CIS Controls e o Framework de Cibersegurança do NIST são os mais utilizados por organizações de todos os tipos e tamanhos. Ambos inclusive trazem controles associados ao PAM. 

Um bom argumento para se trazer ao board para justificar o aumento nos orçamentos em segurança é que os custos de um vazamento de dados associados a uma organização são maiores.

Segundo o relatório 2021 Cost of a Data Breach, enquanto o custo médio de um vazamento de dados foi de USD 4,24 milhões,

quando esse vazamento envolve uma organização de saúde, o número é mais que o dobro, chegando a USD 9,23 milhões.

Isso é um aumento de 23% em relação ao ano passado, o que indica um maior impacto financeiro para as organizações, o que afeta diretamente a continuidade dos negócios.

A pandemia de Covid-19 não mostra sinais de arrefecimento. Com o aumento dos dispositivos conectados, o tratamento de dados pessoais de saúde só deve crescer. Investir em soluções de cibersegurança é uma das estratégias a serem adotadas pelos líderes de segurança para garantir a proteção desses dados sensíveis. Além disso, é necessário investir em consciência cibernética dos seus funcionários. Isso garante não apenas a proteção dos dados pessoais, mas também a continuidade dos negócios.