Os agentes de ameaças não discriminam entre os setores, mas o setor de saúde parece ser o principal alvo. A Pesquisa de Segurança Cibernética no Setor de Saúde da HIMMS de 2021 revela que 67% dos entrevistados indicam que suas organizações de saúde sofreram incidentes de segurança significativos nos últimos 12 meses, com a maioria dos danos resultantes de ataques de phishing e ransomware. E os ataques não mostram sinais de desaceleração. Somente no primeiro semestre de 2022, o setor de saúde sofreu cerca de 337 violações, afetando mais de 19 milhões de registros.
Todos nós conhecemos o custo desses ataques ao setor de saúde. Os resultados de uma violação bem-sucedida, inclusive a interrupção das operações, a violação da privacidade e da segurança do paciente e a erosão da confiança e da reputação, podem ter consequências financeiras substanciais. Por 12 anos consecutivos, o setor de saúde teve o maior custo médio de violação de dados de todos os setores, com o custo total médio em 2022 atingindo um recorde de US$ 10,10 milhões. Isso representa um aumento de 42% desde 2020. Portanto, é mais importante do que nunca que as organizações de prestação de serviços de saúde (HDOs) façam tudo o que puderem para minimizar sua exposição e gerenciar seus riscos.
Infelizmente, não há uma resposta simples, nem uma única bala de prata que possa lhe dar a proteção necessária contra todos os riscos em sua organização. Para cada sistema de saúde, há uma combinação única de pessoas, processos e tecnologias que precisam estar em vigor para garantir que os esforços adequados de governança e mitigação de riscos estejam alinhados com os resultados comerciais desejados pela organização.
"Cuidado com a lacuna"
A falta de visibilidade, comunicação e coordenação entre todas as partes interessadas em segurança, biomédica, engenharia clínica e negócios em um HDO cria lacunas que dificultam a boa governança e tornam quase impossível a mitigação eficaz dos riscos. Quando sua equipe começar a identificar e entender essas lacunas, você poderá começar a preenchê-las para garantir que tudo e todos estejam trabalhando juntos. Isso começa com o estabelecimento de uma "fonte única de verdade" para o seu ambiente - uma fonte que forneça uma linguagem e um entendimento comuns que possam ajudar a eliminar as desconexões e divisões operacionais. Um único sistema de registro pode ajudar todos, desde a segurança cibernética até a biomedicina e as partes interessadas nos negócios, a ver o que está acontecendo nas redes clínicas e começar a tomar decisões eficazes que melhorarão as operações e o atendimento da organização.
O Medigate by Claroty oferece essa visibilidade fundamental para organizações de grande e pequeno porte para ajudar a ver e entender não apenas o que está em suas redes clínicas, mas também o que esses dispositivos, incluindo dispositivos médicos conectados e outros dispositivos da Internet das Coisas Estendida (XIoT), estão fazendo (e se deveriam ou não estar fazendo). Em um nível granular, os HDOs devem conhecer os dispositivos com os quais estão lidando, incluindo os seguintes:
Modalidade - tipo, marca e modelo
Versão - Tipo e versão do sistema operacional
Software - software incorporado e protocolos usados
Identificadores exclusivos - número de série, nome do host, endereço MAC
Locais - SSID, ponto de acesso (AP), localização do AP
Esse nível de detalhe oferece às partes interessadas uma base sobre a qual podem estabelecer coletivamente estruturas operacionais e de segurança para seu ambiente clínico, de acordo com sua tolerância ao risco. Visibilidade e percepções poderosas podem ser usadas para informar programas bem-sucedidos de gerenciamento de riscos que, com base em nossa experiência de trabalho com os principais sistemas de saúde, incluem os seis componentes a seguir:
1. Avalie com precisão os riscos do dispositivo
Nas organizações de saúde, os riscos precisam ser considerados dentro do contexto em que existem, incluindo a probabilidade de que uma determinada ameaça seja capaz de explorar uma determinada vulnerabilidade e a gravidade do impacto. Nem todos os riscos são criados da mesma forma. Saber quais são os mais críticos permite que as equipes priorizem esforços e ações. Isso requer uma combinação de segurança cibernética e conhecimento clínico para identificar com precisão se algo é tolerável (e até mesmo necessário) ou um risco para o sistema de saúde conectado. Uma estrutura de risco específica para o setor de saúde pode fazer essas determinações sutis, identificando e pontuando os riscos com base na visibilidade e no contexto granulares, para que possam ser adequadamente avaliados, priorizados e tratados para manter os pacientes e os cuidados seguros.
2. Gerenciar vulnerabilidades
Como os dispositivos estão frequentemente envolvidos no atendimento, os riscos precisam ser gerenciados de forma muito diferente da TI tradicional para garantir que as dependências sejam respeitadas e as operações mantidas intactas. Os sistemas de saúde precisam aplicar uma lente clínica ao seu gerenciamento de vulnerabilidades para garantir que as atividades, como a varredura e o gerenciamento de patches, possam ser realizadas rapidamente e sem risco para os protocolos de atendimento ao paciente. Isso requer a capacidade de monitorar a conectividade contínua dos dispositivos para ver quando o dispositivo não está em uso ou não está conectado a nada que possa afetar a prestação de cuidados, identificar e coordenar com os proprietários organizacionais e aqueles que aplicarão a atualização ou o patch, e localizar rapidamente cada dispositivo para aplicar a correção rapidamente quando for o momento ideal.
3. Recomendar correções e mitigações apropriadas
O desligamento de dispositivos ou o bloqueio de comunicações pode ter consequências terríveis em uma rede clínica, por isso é importante que a segurança cibernética seja inserida quando e onde for capaz de proteger, sem afetar o atendimento. Se um patch não estiver disponível ou não puder ser aplicado, a melhor maneira de gerenciar o risco pode ser identificar controles de compensação e escolher os melhores para cada cenário. Considerar as ações dentro de seu contexto clínico permite que as organizações de saúde comecem a aplicar políticas e estratégias de redução de riscos - por meio de pontos de controle baseados em rede (por exemplo, firewalls, NACs etc.) - que podem impedir a propagação de ataques e minimizar os impactos dos ataques, sem interferir nas operações em andamento ou na prestação de cuidados.
4. Manter uma boa higiene cibernética clínica
Para evitar a disseminação de ameaças nas redes clínicas, os sistemas de saúde precisam descobrir, avaliar e gerenciar constantemente os riscos de segurança cibernética que os dispositivos médicos, clínicos e outros dispositivos XIoT não gerenciados conectados introduzem na rede clínica. Dada a complexidade dos ambientes clínicos, que contêm um número cada vez maior de dispositivos, protocolos e fluxos de trabalho envolvidos nos esforços dos HDOs para oferecer atendimento em tempo real e de alto valor, os HDOs devem permanecer vigilantes no que diz respeito à boa higiene cibernética. As lacunas devem ser continuamente identificadas e fechadas se o sistema de saúde quiser manter uma postura de segurança para suas configurações clínicas de acordo com sua tolerância ao risco.
5. Proteja de forma consistente desde o núcleo até a borda - não se esqueça das clínicas
Cada vez mais, os sistemas de saúde conectados e inteligentes estão construindo ou fazendo parcerias com instalações de atendimento menores para oferecer serviços especializados, urgências e até mesmo atendimento primário nas vizinhanças dos pacientes. Embora essas instalações sejam menores, elas ainda enfrentam os mesmos requisitos de privacidade e segurança que são esperados de seus hospitais maiores. Todos os tipos de sistemas de saúde, de grandes HDOs a clínicas, precisam garantir que o mesmo rigor seja aplicado em todas as suas instalações e ecossistemas distribuídos para manter suas operações e o atendimento ao paciente funcionando como deveriam. Isso inclui a capacidade de lidar com o aumento de dispositivos e sensores XIoT conectados à infraestrutura digital da rede de uma clínica e que permitem a interoperação em um sistema de saúde maior. Todos esses dispositivos conectados e seu risco relativo devem ser compreendidos e incluídos no programa de gerenciamento de riscos para manter níveis de risco aceitáveis.
6. Operacionalizar os programas de gerenciamento de riscos
A natureza dinâmica do setor de saúde significa que a segurança nunca está concluída. No ambiente hiperconectado de hoje, novos dispositivos estão sendo continuamente adquiridos e conectados à rede. Saber quais dispositivos representam os maiores riscos ajuda o HDO a introduzir novos critérios de segurança no processo de aquisição. Além disso, novas vulnerabilidades continuam a surgir e os agentes de ameaças evoluem continuamente seus métodos de ataque, de modo que não existe algo do tipo "definir e esquecer". Os sistemas de saúde precisam identificar ferramentas e serviços que possam ajudar a automatizar e operacionalizar as atividades contínuas de gerenciamento de riscos.
