Quando a maioria de nós pensa em segurança cibernética, tendemos a pensar nas principais instituições financeiras que empregam sistemas de segurança de primeira linha. No entanto, há outro setor que precisa desesperadamente de uma infraestrutura de segurança de TI abrangente, que é a saúde. Nos últimos anos, o setor de saúde deu um salto gigante no avanço da tecnologia médica. Em 2019, 60 por cento das organizações de saúde em todo o mundo introduziram o uso de dispositivos IoT em suas instalações. Mas, com as novas tecnologias, surgem novas ameaças à segurança para combater.
As organizações de saúde precisam renovar seus planos de segurança de TI e avaliar as ameaças que seus sistemas enfrentam. Ninguém pode mitigar todas as ameaças cibernéticas que existem, mas compreender as brechas que existem em um sistema pode ajudar as organizações a criar planos para contornar a maioria dos ataques e se recuperar daqueles ataques inevitáveis (pense em ataques de dia zero) que ocorrem.
Crie um inventário de todos os seus ativos
Uma pesquisa de 2019 estima que a perda de dados custará às empresas de saúde US $ 6 trilhões nos próximos três anos. Com tantos zeros na linha, você não pode se dar ao luxo de ser arrogante sobre os dados que armazenou.
Você precisa se perguntar: “Quais dados minha organização usa todos os dias?” Em primeiro lugar, são os registros de saúde dos pacientes, aos quais os médicos consultam diariamente. A perda ou violação desses registros pode interromper as operações, pode resultar em adulteração de dados que podem prejudicar os pacientes e seria uma violação grave dos padrões e regulamentos do setor, como o HIPAA. As organizações de saúde também precisam contabilizar quaisquer dispositivos de Internet of Medical Things (IoMT) na rede que possam fornecer um gateway para hackers que procuram comprometer uma rede. Depois de obter acesso, os hackers podem causar estragos adulterando dispositivos médicos e ajustando a dosagem dos medicamentos administrados aos pacientes.
Independentemente do tamanho da organização, é importante fazer um inventário dos ativos que podem interromper suas operações e causar perdas nos negócios. Em uma grande organização, vários departamentos têm seus próprios ativos que consideram essenciais para as operações. Portanto, é aconselhável designar pessoas de cada departamento para calcular os possíveis riscos que enfrentam. Mais detalhes sobre as etapas que sua organização pode realizar são fornecidos na seção “Quantificar o risco envolvido” abaixo.
Faça as contas para ver como sua empresa será afetada
Agora que você fez um inventário dos ativos de sua organização, precisa fazer algumas contas. Faça uma estimativa dos danos que sua empresa incorrerá se esses ativos forem comprometidos. Se forem os registros do seu paciente ou os dispositivos da sua rede, você terá que estimar o total de perdas em que incorreria e quanto terá que gastar no controle de danos. Por exemplo, se seus registros eletrônicos de saúde (EHR) forem violados, você pode ser forçado a interromper o tratamento de pacientes até encontrar uma solução para o problema. Você provavelmente também enfrentará multas pesadas se for constatado que sua organização violou as regulamentações do setor.
Analise quais situações representam uma ameaça
Explore todas as vias pelas quais sua empresa pode ser afetada. As ameaças assumem muitos disfarces e podem resultar de desastres naturais, falhas de energia ou ataques maliciosos, como ataques de negação de serviço distribuída (DDoS) em seus servidores.
Descobrir todas as ameaças em potencial exige um pouco de imaginação. Por exemplo, servidores críticos armazenados no porão de seu prédio podem estar em risco se sua área estiver sujeita a inundações. É aqui que vai ajudar a prestar muita atenção às diretrizes da HIPAA sobre a formulação de planos de contingência. Por exemplo, ela exige que as organizações de saúde mantenham pelo menos três cópias de seus dados armazenados em dois formatos de mídia diferentes, e pelo menos uma cópia deve residir fora do local.
As organizações também enfrentam ameaças internas; funcionários com acesso a recursos críticos podem vazar ou adulterar dados.
Procure possíveis vulnerabilidades
Cada organização tem suas próprias vulnerabilidades para enfrentar e identificá-las dá a você uma boa ideia de quão arriscada sua organização está. Equipamentos médicos antigos e sistemas de rede são vulneráveis a intrusões. Uma equipe não treinada que pode comprometer seus sistemas sem querer também é uma grande vulnerabilidade. Basta ver o que aconteceu no Centro Médico da Universidade de Montpellier quando um funcionário abriu um e-mail que proliferou um vírus pela rede, infectando mais de 600 computadores.
Quantifique o risco envolvido
Para estimar os riscos que sua empresa enfrenta, atribua um valor de risco a cada ativo que você tem em seu estoque usando esta fórmula:
Risco = Ameaça x Vulnerabilidade x Impacto nos negócios
Atribua um valor de “Alto”, “Médio” ou “Baixo” à ameaça, vulnerabilidade e impacto comercial de cada ativo em caso de violação. Dessa forma, você poderá determinar quais ativos você precisa para priorizar sua estratégia de segurança.
Por exemplo:
Como os EHRs são um de seus ativos mais importantes, o impacto nos negócios e o risco geral serão altos. Outro ativo, como um medidor portátil de glicose, pode fornecer aos profissionais médicos menos informações críticas e potencialmente fatais, uma vez que se referem a uma condição específica. Ele também pode ter um peso diferente em comparação com um EHR que fornece dados abrangentes sobre uma variedade de fatores de saúde. Ambos contam com a experiência e a subjetividade do analista de segurança de TI para atribuir valores “Alto”, “Médio” ou “Baixo” conforme se relacionam com a organização de saúde individual.
Entenda seu apetite de risco
Após a análise de risco, você precisa responder à grande questão. Quanto risco você está disposto a correr? Às vezes, o investimento para enfrentar todos eles supera o valor do risco em si. É melhor se concentrar primeiro em abordar os maiores aos recursos essenciais aos negócios, para que sua empresa possa continuar a funcionar.
Além disso, a avaliação de risco de sua instituição de saúde não é um processo único. É um processo em constante evolução que requer atenção constante. Compreender os riscos que sua organização enfrenta ajuda a iniciar o processo de avaliação de riscos, após o qual você pode personalizar o processo para atender às suas necessidades de negócios.