Os cuidados de saúde são essenciais e contêm uma grande quantidade de dados médicos confidenciais. Para os cibercriminosos, a violação de uma organização de cuidados de saúde permite o acesso a esses dados médicos confidenciais, que podem ser pedidos como resgate, garantindo cobertura mediática e notoriedade para o hacker. Ambos os fatores colocam as vítimas sob enorme pressão, aumentando a probabilidade de ser pago um elevado montante de resgate.
O setor da saúde é vulnerável por várias razões. Em primeiro lugar, a crescente sofisticação e quantidade de ciberataques não é uma ameaça que estas organizações estejam preparadas para enfrentar. Muitos hospitais dependem de uma mistura de tecnologias antigas e novas, a maioria das quais não é gerida diretamente ou é esquecida devido a documentação inadequada. Este problema só tem aumentado com o tempo, à medida que mais dispositivos médicos e da Internet of Things (IoT) são adicionados, apesar de raramente serem construídos de forma segura. A atual escassez de competências em cibersegurança também significa que há uma falta de conhecimentos para ajudar a gerir esta superfície de ataque cada vez maior. Se juntarmos estes fatores, os cibercriminosos veem um alvo de elevado valor com uma grande superfície de ameaça e muitos pontos de entrada possíveis.
Os pacientes merecem cuidados de qualidade que sustentem resultados de saúde física, intelectual e emocional sólidos. A proteção dos seus dados de saúde é uma componente desse objetivo. Um ataque informático pode afetar a saúde física de um indivíduo ou de uma população e pode causar dificuldades sociais e emocionais, caso as informações pessoais fiquem comprometidas e sejam divulgadas publicamente. Cada vez mais há pacientes preocupados com o facto de estarem agora em maior risco de fraude, roubo de identidade, apropriação indevida de benefícios de seguros de saúde, entre outros exemplos.
Garantir que os dispositivos IoT são seguros desde a sua criação acrescenta uma camada de segurança adicional, aliviando o fardo dos CISO e dos líderes de TI dos cuidados de saúde. É preciso criar regulamentos, pois são um passo importante para garantir que os fabricantes integram funcionalidades de segurança desde a conceção, o que facilitará a sua implementação pelas organizações de cuidados de saúde.
Na Check Point, alertamos para estras três ações para evitar que os ciberataques prejudiquem o fluxo de trabalho das organizações de cuidados de saúde:
– Cultura: Estabelecer um espírito de segurança em todos os aspetos do percurso do paciente. Educar os funcionários sobre a importância da cibersegurança, e o seu papel na proteção dos pacientes através de boas práticas de segurança da informação, deve tornar-se tão natural para a organização de cuidados de saúde como manter as condições de higiene. A educação e a formação em cibersegurança devem ser frequentes e contínuas, de modo a incutir uma cultura de segurança.
– Proteção de endpoints: Um único utilizador do sistema de saúde pode ter vários endpoints a partir dos quais acede e transmite informações de saúde eletrónicas. Até os próprios dispositivos médicos transmitem dados. A proteção dos endpoints com base na prevenção inclui uma abordagem em várias camadas que engloba as seguintes capacidades: anti-phishing, anti-ransomware, anti-bot, desarmamento e reconstrução de conteúdos (CDR), pós-deteção, correção e resposta automatizadas.
– Controlo de acesso (modelo Zero Trust): Ao reduzir simplesmente quem tem acesso aos dados de cuidados de saúde, as organizações podem evitar que um ataque informático seja bem-sucedido. O modelo Zero Trust permite que as organizações de cuidados de saúde apliquem políticas de privilégio mínimo, nas quais concedem o menor número de credenciais necessárias para as tarefas exigidas. Cada nível de dados deve ser acedido com base na necessidade de conhecimento, de modo a reduzir o número de possibilidades de acesso não autorizado.
Em conversas recentes com CISOs da área da saúde, ficou claro o desejo de compreender como proteger a saúde de todos, em qualquer lugar. As conversas estão em curso e existe uma forte cultura de colaboração no setor, com a partilha das melhores práticas e das lições aprendidas para a tomada de medidas. Compreendemos a importância do tema e continuamos empenhados em proteger as nossas instituições e prestadores de cuidados de saúde.
Os médicos não deveriam ter de se preocupar com a possibilidade de aceder a registos médicos digitais ou de confiar nos seus instrumentos médicos. Concentrarem-se em melhorar os resultados dos cuidados prestados aos pacientes já é uma tarefa importante. Se adotarmos uma abordagem de prevenção em primeiro lugar, para proteger as organizações de cuidados de saúde, os prestadores de serviços e os doentes, podemos impedir que se cheguem a situações mais graves já perturbações.
Por Rui Duro, Country Manager da Check Point Software Technologies em Portugal
Fotos: DR.