Estado da segurança dos dispositivos médicos: Riscos cibernéticos e soluções

As inovações no setor de saúde trazem novas possibilidades para a prestação de cuidados aos pacientes, mas, à medida que os dispositivos médicos são adicionados diariamente ao ecossistema das organizações de prestação de serviços de saúde (HDOs), a questão permanece: como proteger nosso mundo cada vez mais interconectado contra ataques cibernéticos? De acordo com esta consultoria da KPMG sobre dispositivos médicos, eles preveem que as vendas anuais do setor de dispositivos médicos chegarão a quase US$ 800 bilhões até 2030. Essas projeções refletem o aumento da demanda por tecnologias e serviços novos e inovadores, à medida que as doenças relacionadas ao estilo de vida se tornam mais prevalentes e o desenvolvimento econômico revela o potencial dos mercados emergentes. Esses dispositivos, sem dúvida, mudarão a forma como os pacientes recebem atendimento, mas também trarão a possibilidade de revelar novos riscos à segurança e à segurança cibernética.  

O que é segurança cibernética de dispositivos médicos?

A segurança cibernética de dispositivos médicos refere-se às práticas e tecnologias que as HDOs usam para proteger sua Internet das Coisas Médicas (IoMT) e outros dispositivos médicos e softwares conectados contra acesso não autorizado, roubo de dados confidenciais, danos à segurança do paciente e/ou interrupção de serviços essenciais. Os dispositivos médicos, como os implantáveis, os equipamentos de diagnóstico e os sistemas de informações hospitalares, estão cada vez mais conectados à Internet, o que os torna vulneráveis a ataques cibernéticos. A segurança cibernética de dispositivos médicos é uma preocupação fundamental porque os ataques a dispositivos médicos não só podem resultar no comprometimento de informações de saúde protegidas (PHI), mas também podem causar problemas de segurança do paciente devido à interferência na prestação de cuidados. Como sabemos, o setor de saúde tem sido alvo de ataques cibernéticos há muito tempo devido à grande quantidade de informações confidenciais sobre saúde, mas agora, a adição de dispositivos médicos altamente conectados aumentou a superfície de ataque para os criminosos cibernéticos que procuram interromper o atendimento ao paciente em busca de um resgate mais lucrativo. 

Por que a segurança cibernética é importante para os dispositivos médicos?

Centenas de milhares de dispositivos médicos de suporte à vida, como monitores de pacientes, bombas de infusão, ventiladores e modalidades de imagem, residem em hospitais nos Estados Unidos e, muitas vezes, são acessíveis por meio de tecnologias sem fio. A transformação digital e o aumento da interconectividade trazidos por esses dispositivos desempenharam um papel transformador na área da saúde, mas também deixaram os HDOs expostos ao risco de serem hackeados. Um ataque bem-sucedido a um dispositivo médico pode resultar em danos graves aos pacientes, incluindo o acesso não autorizado às suas PHI, a modificação dos planos de tratamento ou até mesmo danos físicos. Esse estudo de pesquisa da Ponemon sobre insegurança cibernética no setor de saúde reforça ainda mais essa questão crescente, descrevendo o custo e o impacto sobre a segurança e o atendimento ao paciente. Afirmando que "cinquenta por cento dos entrevistados dizem que suas organizações sofreram um ataque contra sua cadeia de suprimentos. Setenta por cento dos entrevistados afirmam que o atendimento ao paciente foi prejudicado. As consequências incluíram o atraso de procedimentos e testes que resultaram em resultados ruins, como o aumento da gravidade de uma doença (54%). Outra consequência foi o aumento do tempo de internação (51%) e 23% dos entrevistados disseram que houve um aumento na taxa de mortalidade". Embora os ataques cibernéticos tenham sido historicamente medidos em termos fiscais, esse relatório revela que a perda financeira não é mais a única repercussão desses ataques direcionados. Agora, as organizações precisam ampliar seu foco da proteção da confidencialidade, integridade e disponibilidade dos dados dos pacientes para a segurança cibernética dos pacientes. 

As normas e os padrões de segurança cibernética também se tornaram essenciais para a proteção de dispositivos médicos. Como já estabelecemos, os dispositivos médicos são ferramentas vitais no setor de saúde, fornecendo, às vezes, medidas que salvam a vida dos pacientes. Ao cumprir as normas e os padrões do setor, os HDOs e os fabricantes de dispositivos médicos podem garantir o atendimento ininterrupto aos pacientes. Aqui estão alguns dos mais importantes regulamentos e padrões de dispositivos médicos do setor:

1. Seção 405(d) do HHS: O Departamento de Saúde e Serviços Humanos lançou um Guia de Implementação da Estrutura de Segurança Cibernética para estabelecer uma estrutura baseada em riscos para uma abordagem sistemática de redução de riscos. A seção 405(d) inclui um conjunto mais aprofundado de considerações sobre a segurança cibernética de dispositivos médicos, além do foco existente em diretrizes, práticas recomendadas, metodologias, procedimentos e processos baseados em consenso e liderados pelo setor que servem para reduzir o risco de segurança cibernética em ambientes de saúde

2. HIPAA: A Health Insurance Portability and Accountability Act (HIPAA) é uma lei federal dos EUA que estabelece padrões rigorosos para a segurança e a privacidade das informações de saúde do paciente (PHI). Embora a HIPAA não se concentre explicitamente na segurança de dispositivos médicos, ela afeta todos os dispositivos médicos que manipulam ou transmitem PHI. Estabelece requisitos para a implementação de proteções administrativas, físicas e técnicas adequadas para proteger os dados armazenados ou processados em dispositivos médicos.  

3. GDPR: Semelhante à HIPAA, o Regulamento Geral de Proteção de Dados (GDPR) é uma lei abrangente de privacidade e proteção de dados da União Europeia (UE). Esse regulamento tem um impacto significativo nas práticas de segurança e privacidade relacionadas a dispositivos médicos que processam dados pessoais. A adesão aos requisitos do GDPR ajuda a proteger a privacidade dos pacientes, promove a transparência e aumenta a segurança. 

4. NIS2: a Diretiva de Segurança de Redes e Informações (NIS) estabeleceu a conformidade com a NIS2 para lidar com as limitações da NIS1, fornecendo medidas legais para aumentar o nível de resiliência cibernética e as capacidades de resposta a incidentes das empresas que operam na UE. A NIS2 afeta os fabricantes de dispositivos médicos exigindo que eles estabeleçam um processo de gerenciamento de risco de segurança cibernética, um processo de relatório e um processo de compartilhamento de informações para melhorar sua postura geral de segurança cibernética.  

5. SOCI: a Lei de Segurança de Infraestrutura Crítica (SOCI) cria uma estrutura para a regulamentação e proteção dos setores de infraestrutura crítica da Austrália. O objetivo é garantir que as HDOs e outras organizações de infraestrutura crítica adotem uma abordagem holística e proativa para identificar, prevenir e mitigar os riscos de todos os perigos. Os requisitos incluem o registro de ativos críticos, a obrigatoriedade de relatórios de incidentes de segurança cibernética e a implementação de um programa de gerenciamento de riscos para combater o recente aumento de ataques cibernéticos e proteger a integridade dos serviços essenciais da Austrália.  

As normas e os padrões do setor desempenham um papel fundamental para garantir a segurança e a proteção dos dispositivos médicos. Sem a implementação de medidas de segurança adequadas, as organizações estarão mais vulneráveis a ataques, acesso não autorizado e praias de dados, o que levará ao comprometimento da segurança do paciente, a violações de privacidade ou até mesmo a possíveis danos àqueles que dependem desses dispositivos para receber cuidados. Embora as normas e os regulamentos possam ser complexos e sujeitos a atualizações frequentes, eles são essenciais para garantir a segurança, a integridade e a proteção dos dispositivos médicos. 

Na próxima seção, descreveremos exemplos de como um ataque poderia comprometer os dispositivos médicos para provocar o tipo de dano discutido acima. Esses exemplos enfatizarão ainda mais como as HDOs exigem uma estratégia sólida de segurança de dispositivos médicos e a conformidade com os padrões e regulamentações do setor para antecipar e lidar com os riscos de segurança cibernética e proteger os pacientes e suas PHI. 

Quais são os exemplos de ataques cibernéticos a dispositivos médicos?

Neste vídeoClaroty's Team82 demonstra um ataque a um sistema de monitoramento de saúde. Durante a demonstração, a Team82 mostra como um hacker pode obter acesso a um monitor de paciente para falsificar sinais vitais. Ao acessar remotamente o monitor do paciente e injetar código na lógica do dispositivo, a equipe conseguiu alterar as leituras dos sinais vitais no dispositivo. Esse tipo de ataque, e a alteração subsequente, afetaria a capacidade do médico de diagnosticar e tratar um paciente. Embora esse ataque tenha sido simulado, ele mostra os efeitos que um ataque de ransomware pode ter em um dispositivo incorporado e o que é necessário para se recuperar da violação. Como a equipe enfatiza, a área da saúde é uma das verticais mais visadas dentro da infraestrutura crítica, e ter uma estratégia sólida de segurança de dispositivos médicos é fundamental para proteger essa infraestrutura. 

Um exemplo do mundo real que, infelizmente, ecoou a demonstração da Team82 ocorreu em Des Moines, Iowa, e afetou o sistema de saúde MercyOne. Esse ataque de ransomware causou interrupções em todo o hospital em vários sistemas de saúde e afetou principalmente uma criança de 3 anos que estava recebendo cuidados após uma cirurgia de amígdalas. De acordo com este artigo da NBC, o sistema de computador do MercyOne que calculava automaticamente as doses dos medicamentos parou de funcionar, fazendo com que o médico residente desse à criança, por engano, cinco vezes a quantidade de analgésico prescrita. Felizmente, a criança se recuperou totalmente, mas os efeitos desse ataque devem servir de alerta para os prestadores de serviços de saúde no que diz respeito à importância de proteger seus dispositivos médicos. Conforme observado por esses exemplos, os riscos cibernéticos enfrentados pelos sistemas de saúde estão crescendo consideravelmente, e os HDOs precisam de uma abordagem proativa para a segurança cibernética na área da saúde a fim de garantir a segurança dos pacientes e a eficácia dos dispositivos médicos. 

Como resolver o desafio da segurança de dispositivos médicos 

Como sabemos agora, uma violação de dispositivos médicos vai muito além das preocupações com a privacidade, podendo causar danos físicos aos pacientes, interromper o atendimento médico e afetar os resultados de saúde. Devido à gravidade das preocupações com segurança e proteção, houve alguns avanços promissores nas regulamentações governamentais relativas a dispositivos médicos conectados. Disposições recentes foram divulgadas pelos comitês de apropriações da Câmara e do Senado no Omnibus Appropriations Bill. Esse projeto de lei exige que os fornecedores que enviam dispositivos médicos à Food and Drug Administration (FDA) atendam a uma série de requisitos de segurança, incluindo um processo para solucionar vulnerabilidades pós-comercialização em 90 dias e correções fora de banda para bugs críticos. Essa legislação representa o reconhecimento de que a segurança do paciente pode depender da segurança dos dispositivos médicos conectados e é um passo na direção certa para resolver o desafio da segurança dos dispositivos médicos. 

Para estar em conformidade com as normas e políticas governamentais e enfrentar ainda mais o desafio da segurança dos dispositivos médicos, os HDOs podem fazer parceria com um fornecedor de segurança de sistemas ciberfísicos, como o Claroty, para obter visibilidade de todo o ecossistema de IoMT, avaliar e atenuar riscos, detectar e responder a ameaças e evitar futuras violações. A Medigate by Claroty tem um profundo conhecimento dos protocolos de comunicação de dispositivos proprietários e dos fluxos de trabalho clínicos dos fornecedores e modelos de dispositivos médicos, proporcionando aos HDOs uma visibilidade inigualável. Também temos experiência em domínio clínico que detecta atividades que estão fora do escopo clínico do fluxo de trabalho pretendido, gera alertas não genéricos e minimiza os falsos positivos. Com recursos avançados de detecção, os HDOs sabem exatamente o que e com quem seus dispositivos podem ou não se comunicar, e sob quais condições - eliminando as suposições da avaliação de riscos. Por fim, o Medigate fortalece a estratégia de segurança de dispositivos médicos dos HDOs com técnicas de prevenção baseadas na identificação precisa de dispositivos com contexto clínico, permitindo uma microssegmentação bem-sucedida, políticas de segurança e atribuições de VLAN. 

Em última análise, os impactos dos ataques cibernéticos a dispositivos médicos são diferentes daqueles observados na maioria dos setores. Como descobrimos neste artigo, no setor de saúde, o impacto de um ataque é mais terrível do que um golpe no registro financeiro de uma organização - e está sendo progressivamente medido pelo aumento das taxas de mortalidade, complicações de saúde e redução da qualidade de vida. Felizmente, há uma resposta para a pergunta: como podemos proteger nosso mundo cada vez mais conectado contra ataques cibernéticos? Sendo mais vigilantes no que diz respeito à adoção de leis e regulamentos associados à segurança cibernética de dispositivos médicos e fazendo parceria com um fornecedor especializado em segurança cibernética na área de saúde e que entenda que a segurança de dispositivos médicos exige conhecimento clínico.