Como os aprimoramentos da estratégia do HHS reforçam a segurança cibernética do setor de saúde
A equipe Claroty
/14 de fevereiro de 2024/
4 min de leitura
O Departamento de Saúde e Serviços Humanos (HHS) atua como Agência de Gerenciamento de Risco Setorial (SRMA) para o setor de infraestrutura crítica de Saúde e Saúde Pública (HPH). Como tal, é responsável por compartilhar informações sobre ameaças cibernéticas, fornecer recursos para cumprir as leis de segurança e privacidade de dados, emitir orientações de segurança cibernética e alertas de ameaças para dispositivos médicos e publicar práticas recomendadas de segurança cibernética específicas do setor de saúde.
Nos últimos anos, as organizações de prestação de serviços de saúde (HDOs) enfrentaram desafios de segurança cibernética sem precedentes, pois a transformação digital impulsiona o crescimento em todo o setor por meio de avanços em dispositivos médicos conectados e fluxos de trabalho clínicos. Conforme relatado em nosso Estudo Global de Segurança Cibernética no Setor de Saúde 2023pelo menos 78% dos participantes da pesquisa sofreram no mínimo um incidente de segurança cibernética no último ano. 30% citaram pelo menos um incidente que afetou sistemas ciberfísicos (CPS), incluindo dispositivos médicos e/ou dispositivos do sistema de gerenciamento de edifícios (BMS). Esses resultados alarmantes demonstraram como os riscos de segurança cibernética no setor de saúde começaram a superar os benefícios do atendimento conectado ao paciente e a necessidade de todo o setor reforçar as defesas de segurança cibernética contra adversários sofisticados.
Os HPH CPGs são metas voluntárias e específicas do setor que capacitam as HDOs a priorizar a implementação das principais práticas recomendadas de segurança. Essa iniciativa histórica consiste em metas "essenciais" e "aprimoradas" criadas para ajudar as organizações a se prepararem e responderem às ameaças cibernéticas, adaptarem-se ao cenário de ameaças em evolução e criarem um setor mais resiliente. Essas metas são informadas, em parte, por estruturas, diretrizes, orientações, práticas recomendadas e estratégias comuns de segurança cibernética do setor encontradas nos seguintes documentos:
Cada meta, seja ela essencial ou aprimorada, foi mapeada para uma prática específica do HICP, controle do NIST e CPG da CISA, dando mais atenção à grande quantidade de orientações existentes e ajudando os HDOs a otimizar melhor suas atividades cibernéticas.
Qual é a diferença entre metas aprimoradas e essenciais?
Os novos CPGs foram projetados para fornecer uma camada de proteção em diferentes estágios da cadeia de ataque, a fim de reduzir o impacto dos incidentes de segurança cibernética. A categoria "essencial", por exemplo, consiste em metas que ajudam as organizações de saúde a lidar com vulnerabilidades comuns, minimizar riscos e melhorar a resposta a incidentes. As metas "aprimoradas", por outro lado, ajudam as organizações de saúde a alcançar maior maturidade em segurança cibernética, concentrando-se em táticas mais avançadas, mas igualmente cruciais, como segmentação de rede e relatórios de incidentes de terceiros. Para as organizações que já atingiram as metas essenciais, as metas aprimoradas reforçam a maturidade da segurança cibernética, ajudando os hospitais a navegar pelas próximas etapas.
Como a nova estratégia será implementada?
O HHS delineou quatro etapas simultâneas que formam a base para o avanço da segurança cibernética no setor de saúde. Essa estratégia envolve:
Novas metas estabelecidas para o setor de segurança cibernética na área de saúde: Conforme discutido, o HHS estabeleceu novas metas voluntárias para o setor. Os CPGs do HPH definem as metas necessárias para as atividades fundamentais de segurança cibernética e, ao mesmo tempo, incentivam metas mais ambiciosas para estimular uma maior sofisticação do desempenho avançado de segurança cibernética.
Novos apoios e incentivos: O HHS trabalhará com o Congresso para obter nova autoridade e financiamento para administrar o apoio financeiro para investimentos de hospitais domésticos em segurança cibernética e, no futuro, impor novos requisitos de segurança cibernética por meio de consequências financeiras para os hospitais.
Maior aplicação e responsabilidade: Nos próximos anos, o HHS pretende que todos os hospitais cumpram seus CPGs específicos do setor. Além disso, planeja propor novos padrões de segurança cibernética aplicáveis que seriam incorporados aos programas existentes, como o Medicare e o Medicaid e a Regra de Segurança da HIPAA. Eles também trabalharão com o Congresso para aumentar as penalidades, expandir o número de investigadores e retornar às auditorias proativas em um esforço para aumentar a conformidade.
Expansão do HHS para o amadurecimento do programa: o HHS planeja amadurecer sua função de suporte de segurança cibernética "one-stop shop" para o setor de saúde dentro da Administração de Preparação e Resposta Estratégica (ASPR) para permitir que o setor tenha acesso mais eficaz ao suporte e aos serviços que o governo federal tem a oferecer.
Os HPH CPGs representam uma mudança de paradigma, capacitando as organizações de saúde a reforçar proativamente suas defesas de segurança cibernética. No entanto, atingir essas metas pode ser um desafio para as organizações de saúde que não sabem por onde começar. Felizmente, a Medigate Platform, a solução criada especificamente pela Claroty, oferece uma abordagem altamente flexível e personalizável para acomodar uma ampla gama de práticas recomendadas de segurança para dar suporte a todos os níveis de maturidade do programa de segurança cibernética. Seja na implementação do gerenciamento inicial de ativos e na atenuação de vulnerabilidades conhecidas, seja em abordagens mais sofisticadas, como segmentação de rede e detecção e resposta a ameaças e táticas relevantes, a Claroty pode ajudar as organizações de saúde a priorizar os CPGs que terão o maior impacto na redução de riscos.
