Estatísticas de segurança cibernética em saúde - uma visão geral

As organizações de saúde sempre foram alvos atraentes para os criminosos cibernéticos devido às informações valiosas que possuem. Registros de saúde roubados geralmente alcançam preços na dark web até 10 vezes mais altos do que números de cartão de crédito roubados.

Desde a pandemia, as organizações de saúde enfrentaram uma vulnerabilidade acrescida. A esmagadora procura de serviços e a necessidade de expandir a infraestrutura de TI para a telessaúde e outras iniciativas fizeram com que a segurança cibernética ficasse em segundo plano no atendimento aos pacientes. Os criminosos exploram cada vez mais este facto com campanhas direcionadas de phishing e ransomware.

Este artigo fornece uma visão geral dos principais aspectos da segurança cibernética nas estatísticas de saúde para ajudá-lo a compreender os desafios únicos que este setor enfrenta.

Estatísticas gerais de segurança cibernética na área da saúde

Todas as estatísticas neste artigo são baseadas em dados oficiais do Departamento de Saúde e Serviços Humanos (HHS) dos EUA. Eles são a fonte autorizada sobre violações de dados de saúde e o órgão regulador da HIPAA, uma lei federal que regula a privacidade de informações de saúde protegidas.

O HHS depende em grande parte das organizações para reportar violações por conta própria. No entanto, como a violação da HIPAA pode resultar em multas e penalidades significativas, há um alto risco de subnotificação. Além das implicações legais, uma violação também pode prejudicar a reputação de uma organização, levando-a a manter silêncio.

Aqui estão as estatísticas essenciais de segurança cibernética na área da saúde:

• O setor de saúde enfrenta custos significativamente mais elevados para remediar uma violação de dados em comparação com outros setores, com uma média de US$408 por registro de saúde roubado versus US$148 por registro não relacionado à saúde roubado.
• Nos últimos cinco anos, as mega violações envolvendo mais de um milhão de registros quase duplicaram.
• O custo médio de uma violação de dados envolvendo um milhão de registros comprometidos custa à organização de saúde quase US$40 milhões.
• A detecção e a contenção de mega-violações levam mais tempo do que as violações de menor escala, com um tempo médio de 365 dias versus 266 dias.
• No caso de mega violações, a categoria de despesas mais significativa é o custo associado à perda de negócios. Representando um terço dos custos totais, a perda de negócios equivale a quase US$118 milhões por violações envolvendo 50 milhões de registros.
• Um relatório da Health IT Security revelou que aproximadamente 24% dos funcionários da área de saúde nos Estados Unidos não receberam treinamento de conscientização sobre segurança cibernética.
• A vulnerabilidade mais crítica é o fator humano, contribuindo para 74% de todas as violações. Os cibercriminosos usam táticas comprovadas, como engenharia social e phishing, para explorar indivíduos e induzi-los a clicar em links ou anexos maliciosos.
• De acordo com uma pesquisa realizada entre profissionais de TI da área de saúde, aproximadamente 60% dos entrevistados identificaram o e-mail como o principal ponto de comprometimento para violações, destacando a importância das práticas recomendadas de segurança de e-mail.
• Desde o início da pandemia de COVID-19, os ataques de ransomware registaram um aumento drástico em todos os setores, sendo os cuidados de saúde alvos desproporcionalmente visados. A pesquisa de segurança cibernética da HIMSS revelou que, em 2020, 70% dos hospitais sofreram incidentes significativos de segurança cibernética.
• Em 2022, foram comunicadas 11 violações de dados de saúde que afetaram mais de 1 milhão de registos, juntamente com 14 violações de dados que afetaram mais de 500.000 registos. Setenta e um por cento das violações relatadas foram incidentes de hackers, com um número significativo envolvendo ransomware.

Estatísticas de segurança cibernética na saúde em 2022 e 2023

Os ataques cibernéticos às organizações de saúde estabilizaram desde o pico da pandemia. No entanto, não regressaram aos níveis pré-pandémicos e provavelmente permanecerão elevados.

2022

O HHS comunicou um número decrescente de violações de dados pela primeira vez desde 2015. No entanto, o declínio foi mínimo (1,13 por cento) e resultou em 707 violações comunicadas envolvendo 500 ou mais registos.

Apesar desta redução, 2022 ainda foi classificado como o segundo pior ano em número de incidentes reportados. Além disso, houve uma diminuição no número de registos violados, com uma queda de 13,15 por cento, de 54,09 milhões de registos em 2021 para 51,9 milhões em 2022. Esta diminuição indica algum progresso na mitigação da escala de cada violação, embora a frequência global continue a ser preocupante. emitir.

Além disso, em 2022, os hackers visaram cada vez mais os parceiros comerciais dos prestadores de cuidados de saúde. Parceiros comerciais são indivíduos ou organizações que prestam serviços a prestadores de cuidados de saúde e têm acesso a informações de saúde protegidas (PHI). Ao longo do ano, os parceiros de negócios reportaram 127 violações de dados, enquanto outras 394 violações relataram envolveram parceiros de negócios. Estes números representam um aumento de 337% desde 2018. Notavelmente, o ano passado foi a primeira vez que as violações de dados comunicadas por parceiros de negócios ultrapassaram as comunicadas por prestadores de cuidados de saúde.

2023

Entre 1 de janeiro e 30 de junho, ocorreram 336 violações significativas de dados de saúde que afetaram aproximadamente 41,4 milhões de indivíduos. Este número é quase o dobro do número de indivíduos afetados durante o mesmo período do ano anterior. No entanto, em comparação com meados de 2022, o número global de violações significativas de dados de saúde é ligeiramente inferior até agora em 2023. Este contraste sugere que, embora o número de indivíduos afetados tenha aumentado, o número global de violações diminuiu ligeiramente.

De acordo com relatórios apresentados ao HHS, o hacking esteve por trás de 252 dos 336 incidentes em 2023, o que representa 75% de todas as violações. Esses incidentes de hackers afetaram quase 37,3 milhões de pessoas, representando aproximadamente 90% de todos os indivíduos afetados.

Das violações relatadas até agora neste ano, 125 delas, ou quase 40%, envolveram parceiros de negócios. Estas violações afetaram cerca de 21 milhões de pessoas, representando cerca de metade dos indivíduos afetados por grandes violações de dados de saúde. Notavelmente, quase todas as violações de parceiros comerciais, com exceção da 23, foram resultado de hackers.

A maior violação de dados de saúde relatada este ano envolveu ataques de ransomware na Managed Care North America (MCNA), com sede em Fort Lauderdale, Flórida. MCNA é uma associada comercial que apoia agências estaduais do Medicaid e programas de seguro saúde infantil. Esta violação teve consequências de longo alcance, afectando mais de 100 organizações clientes, incluindo departamentos de saúde e serviços humanos em diferentes estados. Aproximadamente 9 milhões de pessoas foram afetadas pela violação do MCNA.

Previsões de segurança cibernética na saúde para 2024

Só podemos preparar-nos para o que nos espera se identificarmos tendências emergentes.

Aqui estão quatro previsões de segurança cibernética na saúde para 2024.

1. As organizações de saúde investirão mais em segurança cibernética

A mais recente pesquisa de segurança cibernética da HIMSS Healthcare revela que a maioria das organizações de saúde aloca 6% ou menos de seu orçamento de TI para segurança cibernética. No entanto, há indicações claras de que as entidades de saúde reconhecerão a importância de proteger os seus dados no futuro.

A Cybersecurity Ventures prevê que os orçamentos de segurança cibernética da saúde crescerão a uma taxa de 15% ano após ano nos próximos cinco anos, resultando em um valor acumulado de US$125 bilhões entre 2020 e 2025.

2. A escassez de pessoal irá piorar

Os desafios da força de trabalho são uma preocupação significativa na segurança cibernética, sendo a escassez de profissionais qualificados um problema bem conhecido. No setor de saúde, a falta de pessoal foi identificada como a principal barreira ao estabelecimento de programas robustos de segurança cibernética por 61% dos entrevistados da última Pesquisa de Segurança Cibernética da HIMSS Healthcare.

Reter candidatos qualificados também é um desafio, de acordo com 66% dos entrevistados. A equipe de segurança cibernética é muito procurada, e a segurança cibernética na área da saúde, em particular, exige um equilíbrio único entre confidencialidade, integridade e disponibilidade de informações.

A escassez de pessoal de cibersegurança nos cuidados de saúde irá provavelmente persistir e potencialmente piorar à medida que a crescente dependência das tecnologias digitais e o volume crescente de dados de saúde contribuem para a procura de profissionais qualificados. Além disso, a concorrência de outras indústrias dificultará o recrutamento e a retenção de pessoal de segurança cibernética.

3. A automação desempenhará um papel crucial na segurança cibernética

A combinação de escassez de pessoal e aumento de orçamentos impulsionará uma dependência crescente de sistemas inteligentes de detecção de intrusões. Esses sistemas podem identificar e responder de forma autônoma às ameaças em tempo real, minimizando o período entre a detecção e a mitigação das ameaças.

Muitas vezes aproveitando a inteligência artificial (IA) e o aprendizado de máquina (ML), esses sistemas analisam continuamente grandes quantidades de dados, identificam padrões e prevêem vulnerabilidades potenciais, fortalecendo a segurança geral.

4. Zero Trust se tornará um requisito essencial

A segurança de confiança zero representa uma mudança de uma abordagem baseada em perímetro para controles de acesso para um modelo que verifica e autentica todos os usuários e dispositivos que buscam acesso, independentemente de sua localização ou rede.

A adoção da arquitetura de confiança zero demonstrou benefícios substanciais em termos de redução de custos. O relatório de custo de violação de dados da IBM em 2022 revela que organizações com confiança zero madura economizaram, em média, quase US$1 milhão por violação. Isto representa uma redução de 20,5% em comparação com organizações sem medidas de confiança zero.

Atualmente, apenas 41% das organizações em todos os setores empregam uma arquitetura de segurança de confiança zero. Dado o seu potencial para reduzir eficazmente os custos, é altamente provável que a segurança de confiança zero se torne a norma nos próximos anos.

Conclusão

A transformação digital permitiu aos prestadores de cuidados de saúde aceder instantaneamente a uma vasta gama de dados de alta qualidade, permitindo-lhes tomar decisões mais informadas e mais rapidamente. No entanto, a par destes benefícios, os cuidados de saúde enfrentam agora novos desafios. A defesa eficaz contra essas ameaças em evolução exige um compromisso contínuo com o gerenciamento de riscos de segurança da informação.

Embora as organizações de saúde tenham feito avanços notáveis nos seus programas de segurança cibernética, muitos desafios persistem. Estes obstáculos incluem orçamentos de segurança limitados, pessoal e formação inadequados e o número crescente de ataques cibernéticos.

Priorizar o elemento humano na segurança é essencial para promover uma cultura de consciência e responsabilidade. Esta abordagem proativa, que combina salvaguardas técnicas com um forte foco centrado no ser humano, é o caminho a seguir para que as organizações de saúde estabeleçam uma postura de cibersegurança resiliente e se libertem de uma tendência descendente que já dura uma década.