O que é segurança cibernética em saúde?

Por que a segurança cibernética é importante na saúde

A prestação de cuidados de saúde mudou desde a virada da década. Os serviços de telessaúde, as equipes de trabalho móveis, a IA, a adoção da nuvem e a IoT médica tornaram os cuidados de qualidade mais acessíveis.

No entanto, com essas novas modalidades de cuidados surge uma maior dependência da internet e dos serviços prestados na nuvem. À medida que as organizações de saúde procuram colocar essa nova tecnologia sobre a sua infraestrutura legada, muitas vezes com décadas de existência, as redes tradicionais têm dificuldade para acompanhar. Em última análise, tudo isto se traduz em um risco aumentado de violação de dados.

Criminosos estão explorando vulnerabilidades em serviços emergentes e abusando de ferramentas de IA para lançar ataques cibernéticos mais frequentes e avançados. No processo, ameaçam minar a confiança dos pacientes, expor os prestadores a sanções e perturbar a prestação de serviços de saúde.

Dito isso, as prioridades das organizações de saúde permanecem constantes: fornecer cuidados de excelência, melhorar os resultados dos pacientes e proteger os dados dos pacientes. Para esses fins, a segurança cibernética tornou-se um imperativo estratégico na saúde.

O futuro da segurança de dados de saúde

Um pilar da segurança da saúde americana, a Regra de segurança da HIPAA sofreu relativamente poucas mudanças desde 2013. No entanto, as atualizações planejadas pelo Departamento de Saúde e Serviços Humanos dos EUA provavelmente levarão a três mudanças importantes em 2024:

1. Novos requisitos de segurança para entidades cobertas que participam do Medicare ou Medicaid
2. Novos padrões de segurança na Regra de segurança da HIPAA para melhor apoiar a responsabilização
3. Maior capacidade do OCR para investigar e penalizar a não conformidade com a HIPAA

Essas atualizações são essenciais para proteger os dados dos pacientes nos cenários digitais e de ameaças em evolução. Em meio ao crescimento da IoT, da adoção da nuvem, das ameaças avançadas, como o ransomware de dupla extorsão, e da complexidade das redes legadas, a segurança eficaz é mais importante do que nunca.

Principais desafios na segurança cibernética da saúde

As equipes de TI e segurança da área de saúde que trabalham para sanar falhas de segurança geralmente implementam soluções de propósito único, criando uma colcha de retalhos cara e complicada ao longo do tempo. A segurança coesa e eficaz é muitas vezes difícil de alcançar nos cuidados de saúde devido a:

• Ecossistemas de TI diversificados: manter a segurança unificada é um desafio em ambientes com uma variedade de dispositivos médicos, sistemas de saúde e IoT, sendo que este último muitas vezes carece de recursos de segurança robustos.
• Sistemas legados: os elevados requisitos de tempo de atividade forçam grande parte do setor da saúde a depender de sistemas e software desatualizados, sem funcionalidades de segurança modernas. Muitos já atingiram o fim do suporte.

• Restrições orçamentais: com margens operacionais estreitas, o orçamento para ferramentas e pessoal de segurança modernos muitas vezes fica em segundo plano para garantir a continuidade dos cuidados.
• Orientação regulatória: estruturas como a HIPAA nem sempre oferecem as orientações mais atualizadas ou adaptáveis. As ameaças cibernéticas evoluem muito rapidamente e as regulamentações podem priorizar controles ou ferramentas específicas sem levar em conta as ameaças modernas.
• Priorização do atendimento ao paciente: oferecer atendimento de qualidade ao paciente é uma prioridade, portanto, quando a acessibilidade e a eficiência tiverem que competir com a segurança cibernética, a segurança poderá ser empurrada para baixo na lista.

Principais tipos de ameaças cibernéticas à saúde

Como lidam com tantos dados privados, as organizações de saúde e os parceiros da cadeia de abastecimento são os principais alvos dos ataques cibernéticos. Ao abusar de credenciais roubadas e vulnerabilidades não corrigidas, os invasores acessam, roubam e lucram com informações privilegiadas.

Mais recentemente, a pandemia da covid-19, a IA generativa e as explorações de VPN levaram a uma explosão de ataques à saúde.

Phishing

O phishing na área da saúde aumentou mais de 250% em 2022, à medida que os pacientes retomaram tratamentos que haviam adiado no início da pandemia. Enquanto isso, a IA generativa tornou mais rápido e fácil iniciar ataques.

Leia mais em nosso Relatório de phishing de 2023.

Ransomware

Em todos os setores, os ataques de ransomware aumentaram mais de 37% entre abril de 2022 e abril de 2023. Especificamente na área da saúde, os ataques de ransomware aumentaram ernormes 165,38%.

Leia mais em nosso Relatório de ransomware de 2023.

Ataques criptografados

A saúde foi o quarto alvo mais popular de ataques criptografados em todo o mundo em 2023, sofrendo 29% mais ataques em comparação com 2022.

Leia mais em nosso Relatório de ataques criptografados de 2023.

Explorações de dispositivos

Em 2024, 56% das organizações sofreram pelo menos um ataque nos 12 meses anteriores que explorou as suas VPNs. Os dispositivos legados externos estão entre os principais vetores de ataque na área da saúde, com muitas novas vulnerabilidades descobertas a cada trimestre.

Leia mais em nosso Relatório de riscos da VPN de 2024.

A necessidade de segurança cibernética abrangente na área da saúde

Em meio a ameaças crescentes, pacientes e prestadores de serviços precisam de maneiras de acessar, gerenciar e monitorar com segurança os cuidados de qualquer lugar. Para conseguir isso, a maior parte do setor está migrando para a nuvem. Isso destaca várias considerações importantes para segurança e operações.

Gestão de riscos cibernéticos

A telemedicina, a nuvem e a IoT abriram novos caminhos para o acesso malicioso a dados e sistemas de saúde, e os ataques aos serviços de saúde estão disparando.

As organizações precisam:

• Reduzir a superfície de ataque para restringir o acesso malicioso aos sistemas de saúde. Isso começa mantendo usuários e dispositivos fora da rede, concedendo apenas aos usuários autorizados acesso direto e de privilégio mínimo aos recursos.
• Ocultar dispositivos e aplicativos expostos à internet que podem deixar portas abertas para invasores.

Custos e riscos de infraestrutura e de fusões e aquisições

O setor continua a consolidar-se através de fusões e aquisições, que tendem a agravar as complexidades e vulnerabilidades da TI. Um estudo de 2023 da Universidade de Dallas descobriu que o risco de violação de dados dobra para os hospitais dos EUA no ano anterior e posterior a uma fusão.

As organizações precisam:

• Aplicar políticas unificadas em todas as nuvens e data centers.
• Conectar usuários, dispositivos e aplicativos com segurança durante integrações de fusões e aquisições.
• Evitar os problemas de complexidade, compatibilidade e custo típicos de fusões e aquisições.

Proteção de novos modelos de atendimento e IoT médica

À medida que os sistemas de saúde tornam os cuidados de saúde mais acessíveis, também precisam tornar os dados sigilosos acessíveis de forma segura a partir de praticamente qualquer lugar, em qualquer dispositivo. Dados amplamente distribuídos e milhares de terminais potencialmente vulneráveis da Internet das Coisas Médicas (IoMT) podem tornar isso incrivelmente difícil.

As organizações precisam:

• Proteja e simplifique a conectividade de IoMT para que possam adotar novos aplicativos e dispositivos com segurança.

Otimização do trabalho de qualquer lugar

As repercussões da recessão financeira, a escassez de mão-de-obra e o esgotamento continuam a dificultar a prestação de cuidados eficazes. Novos modelos de distribuição e soluções na nuvem podem melhorar a satisfação, a produtividade e a eficiência das equipes. No entanto, eles ampliam os limites da infraestrutura envelhecida do setor.

As organizações precisam:

• Vá além dos tradicionais firewalls, VPNs e infraestruturas de rede baseadas em perímetro.
• Adote uma arquitetura zero trust criada para fornecer conectividade dimensionável e segura para nuvens e equipes de trabalho híbridas.

Práticas recomendadas de segurança cibernética na área da saúde

Práticas robustas de segurança são essenciais para proteger os dados dos pacientes, manter a integridade dos serviços médicos e defender a confiança. Toda organização deve:

1. Criptografar dados sigilosos em trânsito e em repouso para evitar acessos não autorizados.
2. Descriptografar o tráfego de entrada e saída para bloquear ameaças ocultas e proteger dados sigilosos.
3. Reduzir sua superfície de ataqueusando uma arquitetura de proxy reverso para tornar dispositivos e aplicativos invisíveis para a internet pública.
4. Realizar avaliações de risco de sistemas de TI, redes e IoMT para encontrar e resolver problemas antes que eles levem a violações.
5. Aplicar o acesso de privilégio mínimoe a autenticação multifator (MFA) para garantir apenas acesso autorizado a informações sigilosas.
6. Instruir suas equipes sobre políticas de segurança e formas de reduzir riscos, especialmente em relação a phishing, ransomware e manipulação de dados.
7. Manter os sistemas atualizados com as correções de segurança mais recentes.
8. Implementar procedimentos robustos de monitoramento e resposta a incidentes para resolver rapidamente os incidentes de segurança, reduzir seu impacto e acelerar a recuperação.
9. Adotar uma arquitetura zero trust para reduzir os riscos e desafios de redes, firewalls e VPNs baseados em perímetro e garantir acesso baseado na identidade a dados e aplicativos.

Como a Zscaler pode ajudar

Nossa abordagem zero trust conecta com segurança usuários e dispositivos diretamente aos aplicativos dos seus sistemas de saúde, e não à sua rede, ajudando sua organização a:

• Proteger pacientes, funcionários, dispositivos e dados sigilosos contra ataques cibernéticos
• Preservar a confidencialidade e integridade dos dados dos pacientes
• Manter-se em conformidade com as regulamentações do setor, como HIPAA e HITECH
• Inspecionar 100% do tráfego em TLS/SSL para mitigar ameaças e perda de dados