Imagine isso: você é um administrador encarregado de fornecer comodidades básicas e necessidades diárias em 1.000 leitos em um hospital urbano de várias especialidades. Uma bela manhã, você percebe que todos os sistemas de monitoramento de cabeceira dos pacientes (os dispositivos semelhantes a computadores que exibem os sinais vitais do paciente, como batimentos cardíacos e pressão arterial) pararam de funcionar, deixando médicos e enfermeiros no escuro.

Após uma inspeção mais aprofundada, você percebe que as funções críticas da UTI, como o fornecimento de oxigênio e a infraestrutura-chave para operações cirúrgicas, como máquinas de anestesia, estão se tornando inoperantes uma a uma, colocando em risco a vida de vários pacientes e prejudicando os procedimentos médicos. Enquanto você ainda está tentando minimizar o perigo e descobrir por que isso está acontecendo, você é informado de que o sistema HVAC do hospital falhou.

Em meio ao caos, você é contatado por uma pessoa anônima que assume a responsabilidade por esse ataque cibernético à tecnologia operacional (TO) do hospital e começa a exigir uma quantia substancial de dinheiro para retomar os serviços normais do hospital.

O exemplo acima é um modelo típico de um ataque cibernético em sistemas de TO do hospital. O cenário acima pode ir além e afetar os sistemas de TI do hospital, colocando em risco os registros hospitalares e possivelmente levando a uma violação de dados de informações confidenciais de saúde.

Embora os ataques cibernéticos afetem os sistemas TO de vários domínios, da indústria automobilística à aviação, ultimamente a saúde está sendo mais explorada.

Os ataques cibernéticos no setor de saúde estão aumentando

Os ataques cibernéticos de saúde não estão mais confinados à TI. À medida que os dispositivos médicos e a infraestrutura se tornam “mais inteligentes”, a superfície de ataque para incidentes de segurança também aumenta. De acordo com um relatório, as organizações de saúde tiveram o maior custo médio de uma violação de dados pelo 11º ano consecutivo. O custo médio de uma violação de dados de saúde é de US$ 9,23 milhões, quase o dobro do setor financeiro (que ficou em segundo lugar em termos de custo de violação de dados).

Em média, 2021 viu cerca de duas violações de dados de saúde ocorrendo todos os dias. Algumas das causas mais comuns de violações foram:

  • E-mail comercial comprometido.

  • Ransomware.

  • Um servidor de rede hackeado.

  • Phishing.

  • Um incidente de TI.

Tendo isso em mente, vamos ver como você pode minimizar as ameaças cibernéticas que afetam os sistemas de TI e OT da sua organização de saúde.

Maneiras de proteger a TI e TO de saúde

Restringir o acesso ao dispositivo

Os invasores podem assumir o controle das instalações do hospital apenas conectando um dispositivo de memória ou um laptop e executando um script que pode tornar as instalações de saúde inúteis. Uma maneira de mitigar isso é bloqueando o uso de dispositivos de armazenamento externos. Isso pode ser feito usando uma solução de controle de dispositivos que permite controlar dispositivos e portas periféricas. Você também pode verificar dispositivos conectados e analisar o comportamento do usuário.

Configurar controle de acesso

Do cirurgião-chefe à enfermeira mais nova, todos os funcionários do hospital precisam de acesso rápido e fácil aos dados para promover uma experiência positiva do paciente. O controle de acesso adequado garante que cada usuário tenha a quantidade certa de acesso, reduzindo a necessidade de fornecer acesso de administrador. Se os profissionais de saúde precisarem de acesso a recursos que exijam privilégios de administrador, você poderá elevar temporariamente seus privilégios para que possam realizar seu trabalho sem problemas. O controle de acesso protege seus dados, fornece responsabilidade ao rastrear o acesso do usuário e garante a conformidade com os regulamentos de TI.

Ativar autenticação multifator

Com a autenticação multifator aplicada, os usuários terão que fornecer duas ou mais camadas de autenticação para acessar as informações da sua organização. Dessa forma, mesmo que a senha de um funcionário seja comprometida, seus outros fatores de autenticação impedirão que os agentes de ameaças façam logon. Esses fatores de autenticação adicionais geralmente são uma senha de uso único com base no tempo, uma varredura biométrica ou um código de um aplicativo autenticador. A autenticação multifator oferece muitos benefícios e talvez seja o mecanismo de defesa cibernética mais fácil que as organizações podem configurar.

Utilizar criptografia

A criptografia de dados significa simplesmente tornar as informações confidenciais de sua organização, como registros hospitalares e dados de pacientes, ilegíveis para qualquer pessoa que não deveria ter acesso a elas, como usuários não autorizados ou hackers. Isso é especialmente útil no caso de um ataque de ransomware. Mesmo que seus dados sejam comprometidos, os agentes de ameaças não poderão divulgar o conteúdo dos dados, mantendo sua organização fora de perigo – apenas certifique-se de ter dados de backup adequados.

Automatize patches e atualizações críticas de software

Houve avanços rápidos na tecnologia de saúde, mas as organizações de saúde não podem se dar ao luxo de minimizar o papel de corrigir e manter seu software atualizado. Mais do que apenas aplicar patches e atualizações manualmente, é importante automatizar esses processos para limitar a exposição da TI de saúde a vulnerabilidades. Os sistemas não corrigidos continuam sendo um dos principais alvos de ataques cibernéticos, portanto, instalar patches e atualizações de software assim que são lançados é a coisa mais adequada a se fazer.

Trabalhe apenas com fornecedores certificados

De comunicação e armazenamento em nuvem a software de faturamento e TI, sua organização de saúde usará uma variedade de fornecedores terceirizados para registrar, processar e armazenar informações críticas. Por outro lado, essas ferramentas também terão que lidar com informações críticas do paciente de outras partes interessadas, como a equipe de seguros ou instituições financeiras. Qualquer ponto fraco em todas essas interações com fornecedores terceirizados pode ser explorado por hackers e as informações podem ser mal utilizadas. Pior ainda, se um dos fornecedores com quem você trabalha for vítima de um ataque cibernético, existe a possibilidade de que isso também afete sua organização.

Uma maneira de eliminar esses obstáculos é verificar se o fornecedor é compatível com HIPAA. Se um fornecedor for compatível com HIPAA, ele seguirá um conjunto padronizado de medidas de segurança para manter a confidencialidade e a segurança das informações de saúde protegidas quando forem transferidas, recebidas, manipuladas ou compartilhadas. Existem outros regulamentos de conformidade, como PCI DSS e NIST 800-171, que possuem um conjunto adicional de práticas para proteger informações privadas.

Em conclusão, 

O campo da saúde nunca foi tão intensamente orientado pela tecnologia. Da telemedicina às máscaras faciais que podem detectar cerca de 800 doenças, será cada vez mais difícil gerenciar e proteger esses dispositivos complexos. Quando a TO de saúde estava em seu estágio inicial, uma maneira de proteger esses sistemas era isolá-los da rede. No entanto, esse não é mais o caso. À medida que os sistemas de TI e TO se tornam mais avançados e desempenham um papel maior na melhoria de nossas vidas, será interessante ver como nossas soluções atuais de gerenciamento e segurança de endpoints evoluem para proteger a próxima geração de infraestrutura de saúde.