A prestação de serviços de saúde é assolada por todos os lados por mudanças turbulentas e disruptivas e, à medida que a segurança cibernética na área da saúde se torna uma questão ainda mais urgente, chegamos a um ponto crítico. Embora houvesse riscos conhecidos e crescentes em nosso setor de saúde cada vez mais hiperconectado antes de 2020, o golpe duplo da revolução do ransomware e da pandemia da COVID-19 deixou muitas organizações de prestação de serviços de saúde (HDOs) na corda bamba e sofrendo.
Recentemente, vimos como:
Os adversários mudaram... em volume, variedade e ousadia para se aproveitarem de nossa fraqueza
As cargas de pacientes mudaram... impulsionadas por cepas pandêmicas, atrasos cada vez maiores e atendimento médico degradado
As consequências mudaram... desde a contagem de registros de saúde, multas e resgates até a piora dos resultados dos pacientes e até mesmo a perda de vidas.
Esses novos desafios estão revelando os pontos fracos de nossas políticas e regulamentações atuais sobre segurança cibernética no setor de saúde. Durante anos, equiparamos a segurança do setor de saúde à privacidade dos dados, com a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) servindo como base para a proteção das informações pessoais dos pacientes e promulgando regras de privacidade e segurança destinadas a manter esses dados confidenciais. Em sua época, especialmente quando as violações de dados se multiplicaram no início dos anos 2000, acreditava-se que essa estratégia era suficiente como totem para a segurança cibernética relacionada ao setor de saúde.
Adoro minha privacidade - gostaria de estar vivo para desfrutá-la! Nossa dependência excessiva de tecnologia não confiável é agora uma questão de segurança do paciente e de vida humana. Em 21 de outubro de 2021, duas revelações distintas finalmente nos fizeram ultrapassar esse limiar de vida ou morte:
Uma vítima do Alabama aparece na primeira página do Wall Street Journal; um processo continua tramitando nos tribunais
A primeira análise estatística quantitativa do excesso de mortes associadas a interrupções prolongadas de ransomware feita pela minha Força-Tarefa COVID da CISA com dados do CDC
Posteriormente, prestei depoimento ao Congresso sobre essas graves consequências, ajudando a informar e inspirar ações corretivas. Na Câmara, no Senado e na Casa Branca, a vontade política está mudando à medida que os formuladores de políticas reconhecem os riscos e respondem à altura. Como evidenciado pela recente inclusão da Lei PATCH no projeto de lei de apropriações para o ano fiscal de 2013, os líderes políticos estão procurando colocar a segurança cibernética no setor de saúde na vanguarda da elaboração de políticas.
Entre esses desenvolvimentos, o principal é um documento de discussão recente do senador Mark R. Warner (D-VA) que resume a questão principal em uma frase: "A segurança cibernética é a segurança do paciente".
Opções de política do senador Warner
O documento do senador Warner oferece uma visão geral das atuais ameaças à segurança cibernética enfrentadas pelo setor de saúde e oferece uma série de opções de políticas para melhorar a segurança cibernética em todo o setor. Desenvolvido com a contribuição das partes interessadas, inclusive a minha, e com a intenção de solicitar feedback das partes interessadas, o documento fornece recomendações em três áreas principais: estabelecimento de liderança em segurança cibernética no setor de saúde dentro do governo, melhoria das capacidades dos provedores por meio de incentivos e requisitos e recuperação de ataques.
Entre esses tópicos, os seguintes do documento podem mudar o jogo:
Um requisito de higiene cibernética mínima para hospitais - com incentivos e incentivos financeiros (idealmente informados pelos objetivos de desempenho cibernético de linha de base e intersetoriais da CISA),
Abordagem de sistemas legados inseguros - incluindo nosso conceito 405c "Cash for Clunkers" para reduzir/remover práticas ruins e os dispositivos mais perigosos e indefensáveis,
Bill of Materials(SBOMs) de software para tecnologias médicas - para ajudar a mitigar eventos futuros, como o Log4j, e permitir maior confiança, transparência e gerenciamento de vulnerabilidades nas cadeias de suprimentos e operações; e
Incentivar/escalar o talento limitado em segurança cibernética nas 7.000 HDOs dos EUA, cerca de 85% das quais são "ricas em alvos, mas pobres em recursos" em hospitais de pequeno, médio e rural porte, sem um único profissional dedicado e qualificado em segurança cibernética na equipe.
Para onde vamos a partir de agora
O documento do senador Warner é apenas um passo para começar a entender como a segurança cibernética afeta os cenários de vida ou morte no setor de saúde e nos fornece uma estrutura de políticas que nos permitirá salvar vidas. Peço que você o leia.
Reconhecemos que a mudança traz desconforto. E... também devemos reconhecer que as práticas atuais foram criadas para épocas muito diferentes, com modelos de ameaças muito diferentes, apetites de adversários e consequências toleráveis de falhas. Não vivemos mais nesse mundo.
Poucos participantes do setor de saúde querem regulamentações e exigências adicionais. Não se trata do que queremos, mas sim do que precisamos e do que os pacientes precisam para ter um acesso mais defensável, sustentável e oportuno ao atendimento. Vamos aproveitar o momento, aproveitar essa onda de vontade política e dizer a eles o que queremos, precisamos e tememos com essas mudanças nas políticas.
Temos uma pequena janela aqui para reposicionar nosso destino em direção a uma prestação de serviços de saúde mais confiável, transparente e resiliente para você, seus entes queridos e aqueles que estão sob seus cuidados.
A história está de olho em nós.
