A tecnologia e os dados são essenciais para oferecer um atendimento eficaz aos pacientes, mas, à medida que os sistemas de saúde se tornam cada vez mais digitalizados, as organizações têm dificuldade em proteger seus dispositivos médicos, serviços, redes e as informações neles localizadas contra ataques cibernéticos. Na Inglaterra, e em escala internacional, houve vários incidentes cibernéticos que interromperam o atendimento ao paciente, levando a riscos de segurança e perdas financeiras significativas. Com uma estimativa diária de 950.000 consultas de clínica geral, 45.000 atendimentos em departamentos de acidentes e emergências (A&E) e 137.000 registros de eventos de imagem, de acordo com o Departamento de Saúde e Assistência Social do Reino Unido, o impacto potencial que um ataque cibernético pode ter sobre esse setor, tanto direta quanto indiretamente, é enorme. É por isso que o governo do Reino Unido estabeleceu uma estratégia de segurança cibernética para reduzir o risco de segurança cibernética, proteger os dados de pacientes, usuários de serviços e funcionários e implementar medidas para garantir uma recuperação rápida de incidentes cibernéticos, caso eles ocorram.
O que é a estratégia de segurança cibernética do NHS?
O governo do Reino Unido se propôs a proteger o Serviço Nacional de Saúde (NHS) contra ataques, fornecendo um plano para promover a resiliência cibernética em todo o setor de saúde até 2030. Essa estratégia definiu cinco maneiras principais de desenvolver a resiliência cibernética e proteger as funções e os serviços de saúde dos quais a nação depende. A conquista da segurança nacional da saúde exige que as organizações estejam preparadas, protegidas e resilientes diante de ataques com consequências para a segurança dos pacientes e a eficácia dos dispositivos médicos. Aqui estão os cinco objetivos estratégicos que as organizações devem seguir para se prepararem, responderem e se recuperarem com eficácia das emergências de saúde:
identificar as áreas do setor em que a interrupção causaria o maior dano aos pacientes, como o vazamento de informações confidenciais ou a impossibilidade de funcionamento de serviços essenciais.
unir o setor para que ele possa tirar proveito de sua escala e se beneficiar de recursos e conhecimentos especializados nacionais, possibilitando respostas mais rápidas e minimizando as interrupções.
desenvolver a cultura atual para garantir o engajamento dos líderes e o crescimento e reconhecimento da força de trabalho cibernética, além de oferecer treinamento básico cibernético relevante para a força de trabalho em geral
incorporação da segurança na estrutura da tecnologia emergente para melhor protegê-la contra ameaças cibernéticas
apoiar todas as organizações de saúde e cuidados para minimizar o impacto e o tempo de recuperação de um incidente cibernético
Como sabemos, a tecnologia está transformando a maneira como os pacientes acessam os serviços e as informações de saúde. De acordo com o governo do Reino Unido, mais de 40 milhões de pessoas possuem logins do NHS, o que as ajuda a marcar consultas, acompanhar encaminhamentos e solicitar medicamentos on-line. Da mesma forma, mais de 50% dos provedores de assistência social usam um registro digital de assistência social, que ajuda a equipe a compartilhar informações vitais sobre os pacientes. Como esses dispositivos e sistemas estão sendo aprimorados, é fundamental que as organizações de saúde tenham as ferramentas necessárias para implementar a estratégia de segurança cibernética do NHS. A seguir, vamos nos aprofundar nos fatores que levaram ao desenvolvimento dessa estratégia e como ela pretende abordar os desafios atuais e futuros.
3 fatores que impulsionam a implementação da segurança cibernética do NHS
Nos últimos anos, os ataques cibernéticos a sistemas de saúde e hospitais aumentaram drasticamente, abrangendo informações de saúde do paciente (PHI), interrompendo o atendimento ao paciente e, em alguns casos, causando danos diretos aos pacientes. Há vários desafios no setor que causaram esse aumento nos ataques e levaram à criação da estratégia de segurança cibernética do NHS. Aqui estão três fatores que descobrimos serem as maiores ameaças às organizações de saúde:
1. Crescente dependência da tecnologia digital
Novos dados e tecnologias digitais transformaram o setor de saúde. O uso de inteligência artificial para diagnosticar com precisão condições complexas, dispositivos conectados para monitoramento remoto preciso e dosagens de medicamentos, cirurgia robótica para procedimentos mais precisos e comunicações aprimoradas apoiaram imensamente o atendimento mais eficaz ao paciente.
No entanto, como as organizações de saúde dependem mais dessas tecnologias mais novas e os dispositivos se tornam mais interconectados, o risco de incidentes cibernéticos também aumentou significativamente. As organizações do NHS também tendem a depender de tecnologias legadas que têm software e sistemas operacionais desatualizados e podem não receber mais atualizações e patches de segurança regulares. Isso cria vulnerabilidades de segurança, permitindo que os criminosos cibernéticos explorem vulnerabilidades conhecidas para obter acesso não autorizado aos dispositivos e sistemas.
Esses dois fatores se tornaram fatores importantes na criação da estratégia de segurança cibernética do NHS porque eles entenderam que a tecnologia não é segura para os pacientes se não for segura. À medida que novas tecnologias são desenvolvidas e o NHS continua a usar sistemas sem suporte ou em fim de vida útil, os provedores de serviços de saúde exigem padrões mínimos de segurança. Ao implementar as estratégias de gerenciamento de riscos de segurança cibernética do NHS e um plano sólido de resposta e recuperação de incidentes, as organizações podem reduzir os riscos associados à dependência da tecnologia e garantir a continuidade e a segurança de seus serviços de saúde.
2. Ataques cibernéticos de alto nível
O ataque global de ransomware de 2017, WannaCry, afetou mais de oitenta trusts do NHS e interrompeu os serviços, mostrando suas vulnerabilidades e a capacidade inadequada de responder a ataques. O ataque afetou cento e cinquenta países e devastou o NHS ao bloquear os principais sistemas. Esse bloqueio impediu que a equipe acessasse os dados dos pacientes e os serviços essenciais, levando a milhares de cancelamentos de consultas e cirurgias e, em alguns casos, a desvios de atendimento para outros hospitais.
Os destroços desse ataque trouxeram a segurança cibernética para o centro das atenções do NHS e destacaram a necessidade de melhores práticas de segurança cibernética no setor de saúde. Moldando grande parte da estratégia de segurança cibernética do NHS, o WannaCry levou a um aumento no investimento em segurança cibernética e mostrou a importância de alocar recursos para aprimorar a infraestrutura de segurança cibernética, implementar medidas de segurança mais fortes e melhorar os recursos de resposta a incidentes. Também levou a um maior foco no gerenciamento de patches e atualizações, criando um processo para garantir que os patches críticos sejam implantados prontamente para proteger contra vulnerabilidades conhecidas.
3. Evolução dos requisitos regulatórios
No setor de saúde, os requisitos regulatórios são complexos e estão em constante evolução. Muitas organizações têm enfrentado desafios quando se trata de acompanhar as regulamentações e entender os requisitos específicos. Um regulamento que teve um impacto significativo na estratégia de segurança cibernética do NHS é o Regulamento Geral de Proteção de Dados (GDPR). Esse regulamento introduziu requisitos rigorosos de proteção de dados para organizações que lidam com dados pessoais. A implementação de normas como o GDPR pode exigir recursos significativos, incluindo investimento financeiro, pessoal qualificado e infraestrutura tecnológica, que as organizações de saúde normalmente não possuem.
O cumprimento dos requisitos normativos exige a adesão de toda a empresa e, sem recursos, treinamento e conscientização adequados, as organizações de saúde não conseguirão se proteger adequadamente contra ameaças. A estratégia de segurança cibernética do NHS tentou enfrentar esse desafio orientando as organizações na implementação de medidas e controles de segurança robustos para proteger os dados pessoais. Eles também reconheceram a importância dos programas de treinamento e conscientização para promover uma cultura de segurança cibernética. Sua estrutura abrangente é essencial para as organizações implementarem a fim de garantir a conformidade com o GDPR e outros requisitos do setor.
A supervisão e a governança da segurança cibernética e dos riscos precisam ser otimizadas e simplificadas para que as organizações protejam adequadamente seu ecossistema de Internet das Coisas Médicas (IoMT) contra ataques cada vez mais sofisticados e generalizados. A estratégia de segurança cibernética do NHS fornece uma base sólida para que as origens se protejam das ameaças cibernéticas, mas pode ser difícil saber por onde começar no processo de implementação. É aí que entra o Claroty . Fornecemos às organizações do NHS as ferramentas necessárias para agilizar a conformidade, aumentar a eficiência e proteger seus sistemas ciberfísicos (CPS), ao mesmo tempo em que aprimoramos a resiliência cibernética e operacional.
Como garantir que as organizações do NHS estejam protegidas
A saúde e o bem-estar da população do Reino Unido dependem do NHS. Mas, para oferecer atendimento de qualidade aos pacientes e garantir a resiliência cibernética e operacional, as organizações precisam superar os desafios de segurança cibernética que assolam o setor de saúde. O site Claroty pode ajudar as organizações do NHS a enfrentar esses desafios:
1. Simplificação da conformidade com a DSPT
O Data Security and Protection Toolkit (DSPT) é uma ferramenta de autoavaliação on-line que permite que as organizações meçam e publiquem seu desempenho em relação aos 10 padrões de segurança de dados do National Data Guardian. As organizações são obrigadas a usar esse kit de ferramentas para garantir que estão praticando boas práticas de segurança de dados e que as informações pessoais são tratadas corretamente. O site Claroty simplifica a conformidade por meio da nossa plataforma de segurança cibernética na área de saúde, o Medigate. O Medigate fornece a descoberta de dispositivos IoT e IoMT, o gerenciamento de vulnerabilidades, a proteção de rede e outros controles e recursos que permitem que o NHS atenda a quase todos os requisitos de DSPT por meio de uma solução única e fácil de usar.
2. Redução de custos e aumento da eficiência
Como já mencionamos, as organizações do NHS tendem a confiar em dispositivos antigos que apresentam vários desafios e vulnerabilidades. Muitas organizações continuam a usar esses sistemas em fim de vida útil, pois a compra e a manutenção de dispositivos médicos estão cada vez mais caras. O site Claroty reduz esses custos ao fornecer informações sobre onde e com que eficiência os dispositivos existentes são usados, sua vida útil atual e como estender essa vida útil com segurança. Esses insights permitem que as organizações do NHS aloquem melhor seus recursos hospitalares, adiem ou evitem compras de substituição e até mesmo negociem taxas de manutenção mais baixas.
3. Manter o CareCERT em destaque
O programa CareCERT (Digital Care Computing Emergency Response Team) do NHS fornece aconselhamento e orientação proativos sobre ameaças digitais e práticas recomendadas de segurança cibernética para as organizações do NHS. O site Claroty reconhece a necessidade de garantir que essas informações sejam acessíveis e acionáveis, por isso integramos e centralizamos os alertas do CareCERT em nossa plataforma como uma fonte selecionada de inteligência contra ameaças. Como resultado, os clientes do NHS podem visualizar e utilizar facilmente essa orientação no contexto de seus próprios ambientes exclusivos.
4. Conduzindo a jornada completa da segurança cibernética
A jornada para alcançar a resiliência cibernética e operacional não é fácil. Mas o site Claroty ajuda as organizações do NHS a oferecer suporte a casos de uso em toda a jornada de maturidade da segurança cibernética no setor de saúde, incluindo descoberta de dispositivos, gerenciamento de vulnerabilidades, proteção de rede, detecção de ameaças, gerenciamento de dispositivos e gerenciamento do ciclo de vida. Também oferecemos às organizações do NHS a flexibilidade, a escalabilidade e o conhecimento especializado necessários para realizar essa jornada de acordo com suas necessidades, preferências e prioridades exclusivas.
O NHS fornece funções e serviços dos quais os cidadãos dependem e abriga uma grande quantidade de dados confidenciais de pacientes, incluindo registros médicos, PHI e detalhes financeiros. Se os dispositivos e as redes dos quais os pacientes dependem forem violados, eles poderão causar mais danos do que perdas financeiras significativas. Sem uma estratégia abrangente de segurança cibernética em vigor, os ataques às organizações do NHS podem causar interrupções no atendimento ao paciente ou até mesmo riscos à segurança. Lucikly, Claroty ajuda as organizações do NHS a fortalecer a visibilidade, a proteção, a conformidade e o ROI de todos os dispositivos IoT, IoMT e outros dispositivos conectados que são essenciais para a prestação de cuidados.
