Cibersegurança na área da saúde {estatísticas, ameaças, práticas recomendadas}

O setor da saúde adotou a digitalização como uma ferramenta indispensável para gerir os dados dos pacientes e prestar serviços de saúde de forma mais eficiente. A digitalização permite que os prestadores de cuidados de saúde mantenham registos eletrónicos abrangentes, portáteis e de fácil acesso. Essa acessibilidade garante que históricos médicos, resultados de exames, prescrições e planos de tratamento estejam prontamente disponíveis, melhorando a qualidade e a continuidade dos cuidados.

Embora estes avanços tecnológicos tenham trazido inúmeros benefícios, também abriram a porta a ataques cibernéticos contra sistemas informáticos e os dados inestimáveis que armazenam. Reconhecer o cenário de ameaças em constante mudança é a nossa principal defesa contra o crime cibernético.

Este artigo fornece uma visão geral das ameaças atuais à segurança cibernética da saúde e as etapas que você e sua organização podem tomar para mitigá-las.

O que é segurança cibernética na saúde?

A segurança cibernética da saúde apresenta desafios únicos, que decorrem da sensibilidade dos dados dos pacientes, dos requisitos regulamentares e do bem-estar dos pacientes. Consequentemente, as organizações de saúde devem adotar uma abordagem especializada, além de seguir os princípios gerais de segurança cibernética.

As violações de segurança cibernética na área da saúde geralmente resultam no adiamento de procedimentos médicos críticos, colocando vidas em risco. Ao contrário de outros setores onde as principais preocupações podem ser a perda de clientes e danos à reputação, a saúde é uma questão de vida ou morte.

Para agravar o problema da segurança cibernética da saúde está o fato de que os registros médicos são alguns dos itens mais procurados na dark web, com preços que variam de US$250 a US$1.000. Para referência, os cartões de crédito normalmente custam em média US$100. As informações de saúde protegidas (PHI) são valiosas para os criminosos, pois abrem caminho para roubo de identidade, fraude médica, chantagem e extorsão.

Estatísticas de saúde em segurança cibernética

Os ataques cibernéticos representam uma ameaça cada vez maior para setores de infraestruturas críticas. Entre estes, o setor da saúde é particularmente vulnerável. De acordo com o último relatório da IBM, o custo médio de uma violação de saúde em 2023 aumentou para quase US$11 milhões, um aumento de 53% em relação a 2020. Esse número é significativamente maior do que o custo médio de uma violação de dados em todos os setores, que é de US$4,45 milhões. .

Aqui estão estatísticas notáveis de segurança cibernética em saúde derivadas de dados confiáveis coletados pelo Departamento de Saúde e Serviços Humanos (HHS) dos EUA.

• Nos últimos três anos, o custo das violações de dados de saúde aumentou 53,3%.
• Em 2022, ocorreram 11 violações de dados de saúde que afetaram mais de 1 milhão de registos e 14 violações que afetaram mais de 500.000 registos. 71% dessas violações envolveram hackers e ransomware. Nos últimos cinco anos, a ocorrência de megaviolações, afetando mais de um milhão de registos, quase duplicou.
• A violação média de dados envolvendo um milhão de registros comprometidos custa às organizações de saúde quase US$40 milhões.
• Os hackers estão cada vez mais se concentrando nos parceiros comerciais dos prestadores de serviços de saúde. Ao longo de 2022, parceiros comerciais relataram de forma independente 127 violações de dados. Além disso, 394 violações adicionais relatadas envolveram parceiros comerciais, representando um aumento notável de 337% desde 2018. O ano de 2022 marcou o primeiro caso em que as violações de dados relatadas por parceiros comerciais excederam aquelas relatadas por prestadores de cuidados de saúde.
• As clínicas especializadas registaram um aumento notável nas violações de dados, passando de 23% de todas as violações de dados de saúde em 2021 para 31% em 2022, em comparação com 20% em 2019. Enquanto isso, os sistemas hospitalares seguem de perto, com 29,6%.

Ameaças à segurança cibernética na saúde

As ameaças à segurança cibernética na área da saúde abrangem um amplo espectro de atos maliciosos intencionais e acidentes inadvertidos de diversas fontes internas e externas.

Aqui estão as principais ameaças à segurança cibernética que o setor de saúde enfrenta:

Engenharia social

Os ataques de engenharia social usam táticas manipulativas para explorar a psicologia humana e enganar os indivíduos para que revelem informações confidenciais, como senhas ou dados pessoais.

Os invasores assumem identidades falsas e dependem da manipulação de emoções poderosas, como a ganância ou o medo, para enganar as vítimas, em vez de recorrer a hackers sofisticados. Por exemplo, eles podem enviar vários e-mails para estabelecer confiança e se passar por alguém que a vítima conhece, como um representante de suporte técnico de TI de sua empresa.

Além disso, muitos invasores exploram eventos contínuos para criar um senso de urgência e se passar por figuras de alto escalão dentro de uma organização. É preocupante que esse vetor de ataque se tenha tornado cada vez mais refinado e eficaz nos últimos anos.

Aqui estão alguns métodos comuns de execução de um ataque de engenharia social bem-sucedido:

E-mails de phishing

Uma forma predominante de engenharia social, os e-mails de phishing geralmente contêm links ou arquivos enganosos que parecem ter origem em fontes confiáveis, como colegas ou gerentes. No entanto, clicar nesses links baixa software malicioso e dá acesso não autorizado ao computador ou rede da vítima. Apesar de ser uma tática antiga e amplamente reconhecida, os e-mails de phishing ainda são o principal ponto de comprometimento em aproximadamente 60% das violações de dados de saúde.

A maioria dos ataques de phishing lança uma ampla rede para capturar o maior número possível de vítimas. Por outro lado, o spear phishing é mais focado e ataca pessoalmente indivíduos ou organizações específicas. Os invasores geralmente coletam dados de mídias sociais, blogs, boletins informativos por e-mail ou vazamentos anteriores para obter detalhes sobre o alvo e ganhar sua confiança.

Isca

Baiting é uma tática de engenharia social usada tanto em contextos digitais quanto físicos que depende da ganância para comprometer os sistemas de segurança.

Por exemplo, a isca física geralmente envolve a colocação estratégica de dispositivos carregados com malware ou spyware em espaços públicos. Vítimas desavisadas podem pensar que encontraram uma unidade USB gratuita, mas quando conectam o dispositivo em seus computadores, baixam, sem saber, software malicioso em seus discos rígidos.

Por outro lado, a isca digital geralmente vem na forma de anúncios que prometem negócios atraentes, mas redirecionam as vítimas para sites que acionam imediatamente downloads de malware. Outra tática comum é disfarçar programas maliciosos como software ou atualizações legítimas.

Utilização não autorizada

A utilização não autorizada é um método de engenharia social no qual uma pessoa não autorizada entra em uma área restrita seguindo uma pessoa autorizada através de uma porta segura. A pessoa não autorizada pode fingir ser um funcionário ou entregador legítimo ou simplesmente pedir à pessoa autorizada que mantenha a porta aberta para ela. Uma vez lá dentro, o invasor pode acessar informações e sistemas confidenciais ou instalar malware.

Apesar da sua simplicidade, a utilização não autorizada é surpreendentemente eficaz - especialmente quando combinada com outras técnicas de engenharia social. Um exemplo de como a utilização não autorizada pode ser bem-sucedida é a história de Frank Abagnale, o protagonista do filme "Catch Me If You Can". Ele costumava se passar por médico, usando a utilização não autorizada para obter acesso a áreas restritas.

Espantalho

Scareware é um ataque de engenharia social que usa o medo para induzir os usuários a fornecer suas informações pessoais ou baixar malware.

Muitas vezes aparecendo como uma janela pop-up ou um programa antivírus falso, o scareware geralmente avisa o usuário que seu computador está infectado com malware e exige que ele pague uma taxa para removê-lo. Se o usuário cair no truque, ele poderá fornecer suas informações pessoais ou baixar malware adicional, o que pode comprometer seu dispositivo e toda a rede.

Pretextando

Pretexting é uma técnica de engenharia social que ataca a confiança das pessoas nas instituições. Os invasores se passam por funcionários legítimos do governo ou policiais para enganar a vítima. E-mails falsos ou sites que parecem legítimos também são um método comum.

Ransomware

Ransomware é um software malicioso que nega aos usuários o acesso aos seus dados. Ele consegue isso criptografando os dados com uma chave conhecida apenas pelo invasor que implanta o malware. A vítima é então instruída a pagar um resgate, muitas vezes em criptomoedas como Bitcoin ou Monero, para obter a chave de descriptografia necessária para recuperar o acesso aos seus dados.

O ransomware normalmente aproveita um tipo de ameaça para estabelecer uma posição e explorar vulnerabilidades em um sistema. Por exemplo, ataques de phishing bem-sucedidos podem levar à instalação de ransomware. Depois de se infiltrar em um sistema, o ransomware tem o potencial de se espalhar por meio de movimento lateral dentro de uma rede ou para outros dispositivos vinculados. Certas variantes de ransomware possuem funcionalidades semelhantes a worms que lhes permitem atravessar sistemas vulneráveis de forma autônoma, sem interação do usuário.

Normalmente, o ransomware permanece oculto em segundo plano para evitar a detecção, às vezes por meses, permitindo que os invasores monitorem suas vítimas e planejem seu ataque. Essa estratégia pode incluir a interrupção dos cronogramas de backup de rotina, tornando os backups inúteis. Alguns invasores de ransomware até roubam dados antes de criptografá-los nos sistemas das vítimas. Se a vítima se recusar a pagar, os invasores podem ameaçar divulgar publicamente ou vender os dados roubados a terceiros - uma técnica conhecida como dupla extorsão.

As organizações de saúde são particularmente vulneráveis ao ransomware porque devem seguir regras rigorosas para proteger a privacidade dos pacientes. Se não o fizerem, poderão ser multados pelo HHS, incentivando os hackers a ameaçar revelar publicamente a violação.

Pagar um resgate não garante que o invasor descriptografará ou desbloqueará os dados comprometidos, mesmo que prometa fazê-lo. Os invasores geralmente adaptam o valor do resgate com base na capacidade de pagamento percebida pela organização. Às vezes, eles avaliam as apólices de seguro cibernético de uma organização e definem o valor do resgate de acordo com o limite da apólice.

Em 2022, as organizações de saúde demonstraram a maior disponibilidade para pagar o resgate, com aproximadamente 61% dos incidentes de ransomware resultando em pagamentos. Surpreendentemente, apesar da sua prontidão para satisfazer as exigências dos hackers, o setor da saúde registou os valores médios de resgate mais baixos em todos os setores, com um resgate médio de cerca de 197.000 dólares.

Roubo de equipamentos e perda de dados

A perda ou roubo de dispositivos móveis, incluindo laptops, tablets, smartphones e unidades USB, é uma ameaça sempre presente que pode colocar dados confidenciais em mãos maliciosas. Embora o valor monetário do dispositivo perdido seja um aspecto, as ramificações de um dispositivo de trabalho contendo dados confidenciais cair em mãos erradas são de longo alcance.

Se os dispositivos perdidos não tiverem proteções fortes, como autenticação de dois fatores ou criptografia, há uma chance maior de que alguém não autorizado acesse, compartilhe ou use informações confidenciais de forma inadequada. Os dados podem ser apagados ou perdidos irrevogavelmente, mesmo que você eventualmente recupere o dispositivo. Tais perdas podem perturbar as operações comerciais, comprometer a segurança dos pacientes e exigir a notificação dos pacientes afetados, do HHS e, possivelmente, da mídia.

Essas preocupações são agravadas ainda mais no contexto das políticas de BYOD (Traga seu próprio dispositivo). Se os funcionários utilizam os seus dispositivos móveis para aceder e tratar dados sensíveis dos pacientes, alargar as medidas de segurança aos dispositivos pessoais é essencial para mitigar os riscos associados a potenciais perdas ou roubos.

Ameaças internas

As ameaças internas envolvem indivíduos que possuem acesso legítimo aos sistemas e redes de computadores de uma organização. Essas ameaças se escondem em todas as organizações onde funcionários, prestadores de serviços ou outros usuários têm acesso à infraestrutura tecnológica, às redes ou aos bancos de dados da organização.

As ameaças internas podem se manifestar de duas formas principais: acidentais e maliciosas.

Ameaças internas acidentais

Ameaças internas acidentais, embora não maliciosas, resultam de ações negligentes ou erros honestos. Estes podem incluir ser vítimas de fraude, erros processuais ou lapsos de diligência. Um funcionário que envia involuntariamente grandes volumes de PHI para um destinatário incorreto exemplifica uma ameaça interna acidental.

Ameaças internas maliciosas

Em total contraste, as ameaças internas maliciosas são caracterizadas por ações deliberadas que visam ganho pessoal, extorsão ou danos à organização ou aos indivíduos dentro dela. Estas ameaças são orquestradas por funcionários, prestadores de serviços ou outros usuários com acesso aos recursos da organização. Um exemplo comum de ameaça interna maliciosa é um funcionário insatisfeito com acesso a registros de pacientes que começa a imprimir cópias extras e a vendê-las na dark web.

Ataques a dispositivos médicos conectados em rede

Os dispositivos médicos conectados em rede utilizam protocolos de rede, como Bluetooth, TCP/IP e outros, para facilitar a comunicação e transmissão de informações clínicas. A gama de dispositivos médicos é ampla, abrangendo desde simples abaixadores de língua e arrastadeiras até marca-passos programáveis complexos e sistemas de pâncreas artificial de circuito fechado.

Num cenário dramático, os ciberataques violam com sucesso a rede informática de um prestador de cuidados de saúde, obtendo controlo sobre um servidor crítico. Como resultado, eles ganham o controle de todos os monitores cardíacos de uma unidade de terapia intensiva, colocando vidas em perigo.

O que torna esta situação ainda mais assustadora é o potencial uso de malware altamente sofisticado que pode manipular imagens médicas a tal ponto que mesmo profissionais médicos vigilantes podem não conseguir detectar essas alterações, mesmo quando recebem alertas. Este exemplo ilustra vividamente as vulnerabilidades associadas aos dispositivos médicos conectados em rede e os graves riscos que representam quando comprometidos.

Cibersegurança na área da saúde: melhores práticas

Existem diferenças importantes entre as práticas recomendadas de saúde e de segurança cibernética em geral devido à natureza única do setor de saúde.

A principal delas é que as organizações de saúde devem aderir à Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), uma lei federal dos EUA que exige medidas adicionais de segurança e privacidade que não se aplicam a outros setores. Estas medidas referem-se principalmente à protecção de grandes quantidades de dados de pacientes com controlos rigorosos sobre registos de saúde electrónicos.

Aqui estão as melhores práticas para enfrentar os desafios únicos de salvaguardar informações de saúde protegidas.

Crie uma cultura de segurança cibernética

De acordo com a Verizon, o fator humano contribui para 74% de todas as violações, enquanto o Relatório de Conscientização sobre o Estado de Privacidade e Segurança de 2021 afirma que aproximadamente 24% dos funcionários de saúde dos EUA não receberam treinamento de conscientização sobre segurança cibernética.

Os cibercriminosos empregam engenharia social e ataques de phishing para explorar indivíduos, induzindo-os a clicar em links ou anexos maliciosos. É por isso que cultivar uma cultura robusta de formação interna é fundamental para fortalecer a segurança cibernética nas organizações de saúde. Esta cultura deve permear todos os funcionários, incluindo prestadores de serviços e funcionários de meio período, que trabalham para garantir que as PHI sejam protegidas em todas as fases, seja no armazenamento, no trânsito ou em repouso.

As organizações de saúde também devem manter registros de sessões de treinamento concluídas, uma vez que o órgão regulador da HIPAA, o HHS, pode solicitar acesso aos registros de treinamento dos últimos 3 a 4 anos durante uma auditoria HIPAA.

Habilite Backup e Recuperação Swift

Os dados dos pacientes estão no centro das operações do setor de saúde e qualquer interrupção pode ter consequências de longo alcance. Seja um ataque cibernético, uma falha no sistema ou um tempo de inatividade inesperado, a capacidade de recuperação rápida e segura é um requisito inegociável.

Procedimentos rápidos e eficazes de backup e recuperação permitem restaurar sistemas para um estado anterior e não afetado em caso de perda de dados ou comprometimento do sistema, reduzindo ao mínimo o tempo de inatividade. Além disso, os backups protegem contra ransomware, fornecendo uma maneira de recuperar dados sem pagar resgate.

Adote uma abordagem holística para segurança

A segurança física e digital são frequentemente vistas como campos separados, mas são as duas faces da mesma moeda. Devido à crescente interconexão de sistemas e dispositivos, as violações físicas muitas vezes levam a violações de segurança cibernética e vice-versa.

Aqui estão algumas estratégias comprovadas para reduzir o roubo de equipamentos e diminuir o risco de segurança cibernética:

• Restrição de entrada: Obrigue o uso de cartões-chave, biometria e códigos PIN para entrada em áreas confidenciais da sua organização.
• Vigilância: instale câmeras de segurança para monitorar e impedir o acesso não autorizado.
• Alarmes e sensores: use detectores de movimento, sensores de janelas e portas e alarmes para alertá-lo sobre entradas ilícitas.
• Fechaduras e cofres: proteja equipamentos e documentos valiosos em armários, cofres ou salas seladas com fechaduras de alta qualidade.
• Gerenciamento de estoque: Mantenha e audite regularmente um inventário detalhado de equipamentos, incluindo números de série.

• Rastreamento de ativos: Implemente tecnologia de rastreamento de ativos para monitorar a localização e o status de equipamentos valiosos.
• GPS e bloqueio remoto: para dispositivos móveis e laptops, use ferramentas de rastreamento por GPS e bloqueio remoto para localizar e proteger dispositivos em caso de perda ou roubo.

Minimize ameaças internas

Evitar que funcionários insatisfeitos se tornem um risco cibernético é um desafio sem solução clara. As pessoas são complexas e imprevisíveis, muitas vezes movidas por motivos diversos. Não é possível agradar a todos o tempo todo.

No entanto, a implementação das seguintes estratégias pode ajudar a reduzir a probabilidade de descontentamento entre os funcionários e promover um local de trabalho seguro e produtivo.

Estabeleça um programa de denúncias

Desenvolva um sistema que permita aos funcionários relatar confidencialmente preocupações sobre o comportamento de seus colegas ou possíveis ameaças à segurança. Os programas de denúncia promovem a vigilância e proporcionam um canal valioso para identificar e abordar discretamente ameaças potenciais.

Promova a comunicação aberta

Incentive um ambiente de trabalho que promova uma comunicação aberta e honesta entre funcionários e gestão. Quando as pessoas se sentem confortáveis em expressar preocupações ou dúvidas, cria-se uma atmosfera na qual as questões podem ser identificadas e abordadas.

Resolva problemas no local de trabalho rapidamente

A intervenção precoce é crucial para evitar que problemas menores no local de trabalho se transformem em problemas graves. Implemente processos e procedimentos claros para abordar e resolver conflitos, disputas ou queixas dentro de sua organização. O tratamento proativo desses problemas pode ajudar a evitar problemas no futuro.

Implementar um procedimento de saída abrangente

Quando os funcionários deixam a sua organização, é crucial ter um procedimento de saída robusto em vigor. O procedimento de saída deve abranger tarefas administrativas, como a revogação de privilégios de acesso e a recolha de bens da empresa. Igualmente importante é garantir que nenhum dado sensível permaneça em dispositivos pessoais ou contas na nuvem. Um procedimento de saída completo minimiza o risco de roubo de dados ou acesso não autorizado por funcionários que estão saindo.

Proteja seus dispositivos médicos conectados em rede

Para resolver as vulnerabilidades associadas aos dispositivos médicos ligados em rede, os prestadores de cuidados de saúde devem implementar as seguintes estratégias:

• Segmentação de rede: segmente a rede para criar zonas distintas, separando o monitoramento de pacientes críticos e o tráfego de dispositivos médicos de sistemas não médicos. Isto limita a superfície de ataque e impede o acesso não autorizado.
• Gerenciamento de acesso. Implemente controles de acesso rígidos, incluindo políticas de confiança zero, para garantir que apenas pessoal autorizado possa interagir com dispositivos médicos e servidores críticos. Utilize acesso baseado em função e métodos de autenticação fortes, como biometria ou cartões inteligentes.
• Atualizações regulares de software. Fique atento ao aplicar patches e atualizações de segurança em todos os dispositivos médicos conectados à rede. Os fabricantes devem fornecer patches oportunos para vulnerabilidades conhecidas.
• Detecção e prevenção de intrusões. Implante sistemas de detecção de intrusões para monitorar o tráfego de rede e detectar atividades suspeitas. Alertas automatizados podem solicitar respostas imediatas a ameaças potenciais.
• Plano de resposta a incidentes. Desenvolva um plano abrangente de resposta a incidentes específico para violações de dispositivos médicos. Defina funções e responsabilidades para uma ação rápida em caso de ataque. Teste e atualize regularmente o plano.

Considere ofertas de serviços de segurança gerenciados

No setor de saúde, a conformidade é uma necessidade. No entanto, garantir a conformidade é uma tarefa complexa devido a vários desafios. Um grande obstáculo é encontrar, reter e fornecer pessoal de segurança qualificado. Os profissionais de segurança da saúde são muito procurados, o que torna sua contratação cara e difícil de manter dentro de uma organização.

As organizações recorrem frequentemente a fornecedores de serviços de segurança geridos (MSSPs) para resolver este problema. Esses serviços podem aprimorar soluções tecnológicas internas e complementar a equipe de segurança existente, fornecendo conhecimentos e suporte que de outra forma seriam difíceis de encontrar.

Aqui estão alguns exemplos do que um parceiro externo de segurança cibernética pode oferecer:

• Monitoramento 24 horas por dia, 7 dias por semana, de tráfego de dados incomum, ameaças potenciais e padrões suspeitos.
• Resposta imediata a incidentes de segurança, incluindo tentativas de violação e vazamento de dados.
• Investigar o incidente, conter a ameaça e mitigar danos potenciais.
• Avaliação regular de seus sistemas e aplicativos em busca de vulnerabilidades.
• Garantir que seus sistemas estejam atualizados com os patches de segurança mais recentes.
• Aprendendo com cada incidente e analisando incidentes passados para aprimorar continuamente os recursos de detecção e a postura de segurança.

Conclusão

A segurança cibernética muitas vezes fica em segundo plano nas organizações de saúde, já que a maioria aloca 6% ou menos de seu orçamento de TI para ela. Isto pode parecer lógico à primeira vista, dada a associação mais direta entre equipamento médico, formação, pessoal e materiais com o cuidado direto ao paciente.

Os incidentes de segurança cibernética são muito caros do ponto de vista financeiro e de outros aspectos. Além dos custos diretos de uma violação de dados, há custos indiretos, como perda de produtividade, danos à reputação, honorários advocatícios e multas e penalidades da HIPAA. Em última análise, pode levar anos para uma organização se recuperar de um ataque cibernético. Portanto, investir na cibersegurança dos cuidados de saúde é uma escolha financeiramente prudente que, em última análise, se paga a si própria.