Reforçar a defesa dos dados relativos aos cuidados de saúde

Os dados relativos aos cuidados de saúde são dos mais valiosos do mercado. Os registos dos doentes, as informações financeiras e a propriedade intelectual são bens altamente valiosos que tornam as organizações de cuidados de saúde alvos privilegiados de ciberataques. Para garantir a qualidade dos cuidados de saúde, as organizações de cuidados de saúde devem enfrentar os desafios da segurança informática e reforçar as suas defesas para proteger a informação crítica.

No entanto, muitas empresas não dispõem do orçamento, dos talentos de alto nível e das ferramentas necessárias para proteger da melhor forma os dados e as infra-estruturas, criando assim oportunidades para os agentes maliciosos.

As organizações do sector da saúde devem estar particularmente atentas a estas ameaças cibernéticas típicas e à forma como podem pôr em risco a segurança e a privacidade dos doentes:

• Ataques de ransomware: Os cuidados de saúde enfrentam uma séria ameaça de ransomware que pode perturbar as operações, colocar em risco as informações dos doentes e esgotar os recursos financeiros. Para combater o ransomware, as organizações devem fazer cópias de segurança e isolar regularmente os dados críticos para o planeamento de contingência, realizar campanhas regulares de certificação de acesso, adotar o armazenamento na nuvem e realizar campanhas alargadas de identificação de ransomware com exercícios de mesa para promover a deteção precoce e a atenuação.
• Ataques de phishing e engenharia social: As tácticas de phishing podem comprometer dados sensíveis ao induzir os empregados em erro, levando-os a expor informações confidenciais. Num ataque de engenharia social, um malfeitor obtém acesso não autorizado aos sistemas de saúde fazendo-se passar por indivíduos de confiança ou explorando relações.

Normalmente, as empresas combatem o phishing através de formação frequente dos funcionários, simulações activas de phishing e através de soluções de filtragem de correio eletrónico concebidas para identificar e bloquear tentativas de phishing. A redução do risco de ataques de engenharia social exige a implementação da autenticação multifactor (MFA) e o reforço dos processos de verificação da confiança.

• Ameaças internas: O pessoal interno pode expor vulnerabilidades de forma não intencional ou atuar com intenções maliciosas, o que representa um risco significativo para os dados relativos aos cuidados de saúde. As organizações de cuidados de saúde devem lidar com as ameaças internas mantendo a separação de funções, dispondo de fortes controlos de deteção para o registo de dados e o acesso ao sistema e alinhando o pessoal com controlos de acesso baseados em funções (RBAC) bem ponderados que são adoptados em todos os controlos de acesso. 
• Ataques distribuídos de negação de serviço (DDoS) : Devido à natureza sensível e muitas vezes em tempo real das suas operações, as instituições de cuidados de saúde são os principais alvos dos ataques DDoS, criando o caos e interrompendo as comunicações de suporte à vida que podem colocar os doentes em perigo. As empresas precisam de desenvolver um plano de resposta para incidentes de DDoS para reagir rapidamente quando ocorre um ataque e devem também considerar investir em soluções de mitigação de DDoS e na segmentação de cargas de trabalho críticas.

Desafios em matéria de infra-estruturas e de talentos

A adoção de medidas robustas de segurança física e de dados é essencial para as organizações de cuidados de saúde protegerem as suas infra-estruturas e os dados dos doentes. A segurança física deve incluir a implementação de controlos de acesso, o registo obrigatório de visitantes/fornecedores, leitores de cartões e sistemas de vigilância adaptáveis para proteger a infraestrutura física, enquanto a segurança dos dados deve centrar-se na encriptação, nos controlos de autorização, na segregação de dados e na prevenção da perda de dados para proteger os registos dos doentes e os dados sensíveis.

• Dispositivos e infra-estruturas antigos. Os dispositivos mais antigos e intocáveis podem muitas vezes ser o elo mais fraco da resiliência cibernética de uma organização. Infelizmente, também podem ser os mais impactantes. Os dispositivos médicos e os sistemas de controlo de edifícios antigos continuam a ser utilizados nas redes de cuidados de saúde, o que representa um risco devido aos seus longos ciclos de atualização. Além disso, os longos processos de aprovação da FDA podem significar que um dispositivo novo no mercado, que apresentava as mais recentes capacidades de segurança quando foi concebido, pode ficar aquém das suas capacidades quando chega ao mercado. Outra realidade que complica a gestão da infraestrutura é o número de dispositivos ligados em redes planas de diferentes fornecedores. O resultado é muitas vezes um emaranhado de comunicações que é vulnerável aos atacantes.
• Dispositivos e equipamentos médicos inseguros. Os ambientes médicos estão a transformar-se rapidamente em vastas colecções de dispositivos ligados em rede, muitos dos quais estão ligados à Internet. Os dispositivos da Internet das coisas (IoT) são reconhecidos pela sua fraca segurança e os dispositivos da Internet das coisas médicas (IoMT) não são diferentes. Proporcionam aos atacantes novos pontos de ataque e acesso que são facilmente explorados para obter acesso às informações dos doentes e aos sistemas médicos.

Microssegmentação

A segmentação isola generosamente os perfis de risco das redes de cuidados de saúde: dispositivos antigos, dispositivos IoT, dispositivos médicos, estações de trabalho partilhadas, vendedores/fornecedores, acesso dos doentes à Internet, médicos visitantes e pessoal contratado. Isto evita que um perfil de risco afecte a gravidade de outro. Uma vez que a segmentação já é uma estratégia poderosa, a microssegmentação pode ser ainda mais eficaz. A microssegmentação exige, no entanto, um conhecimento profundo das ligações entre dispositivos e aplicações, devendo ser considerada a relação esforço/remuneração.

Transição para a resiliência

As equipas de TI devem decidir cuidadosamente quais os dispositivos a classificar como de alto risco/baixo impacto, ou baixo risco/alto impacto. Em qualquer rede clínica, as equipas de TI têm de equilibrar a segurança e a acessibilidade e considerar cuidadosamente as consequências de protocolos de segurança excessivos quando tocam em dispositivos com impacto na vida.

Os cuidados de saúde em geral estão a ter dificuldades em atrair os melhores talentos em matéria de cibersegurança devido a uma série de percepções que incluem salários baixos, gastos e tomadas de decisão conservadores, menos oportunidades de carreira e a ideia de que os cuidados de saúde, enquanto sector, são um atraso tecnológico.

No entanto, muitos profissionais prosperarão neste ambiente se se ligarem a uma missão, se trouxerem experiência de outros sectores verticais da indústria ou se se ligarem a inovações exclusivas dos cuidados de saúde. É comum que as organizações recorram a fornecedores para dar início a novas iniciativas ou externalizar capacidades.

Reconhecer as lacunas e oportunidades de segurança é um primeiro passo importante para garantir a privacidade e a segurança dos doentes. A abordagem dos desafios de segurança específicos da TI no sector da saúde e a implementação de medidas de segurança abrangentes podem reforçar as defesas e proteger dados valiosos.

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.