Saúde

Saúde é a nova riqueza. Nosso bem-estar físico e mental afeta todos os aspectos de nossas vidas - incluindo nossa capacidade de ser pais amorosos, amigos solidários e profissionais de sucesso. Informações sobre nossa saúde são profundamente pessoais. Ninguém além de nossos profissionais de saúde confiáveis deve ter acesso aos nossos detalhes mais particulares. A natureza sensível de nossos registros médicos, no entanto, torna-os um alvo cobiçado para criminosos cibernéticos sofisticados. As economias em crescimento estão particularmente vulneráveis. Os criminosos cibernéticos visam os cuidados de saúde por duas razões fundamentais: o setor de saúde é uma rica fonte de dados pessoais valiosa que gera um alto valor em dólares no mercado negro, e os processos e tecnologias existentes no setor de saúde estão repletos de vulnerabilidades. O crescimento exponencial de dados pessoais de saúde está sendo gerado a partir de um número crescente de dispositivos e redes conectados. Até o final de 2020, cerca de quatro bilhões de pessoas estarão conectadas através da Internet das Coisas Médicas (Internet of Medical Things - IoMT). De acordo com o Instituto INFOSEC, mais de 70% dos dispositivos IoMT não possuem garantias fundamentais de segurança, pois os aplicativos se concentram principalmente nos recursos do software, e não na segurança dos dados. A IoMT, portanto, apresenta aos especialistas em segurança cibernética desafios sem precedentes que exigem a colaboração de diversos interessados e prestadores de cuidados dentro dos ecossistemas de saúde. Esta é uma guerra crescente. Os ataques cibernéticos estão aumentando em termos de número, escala e nível de sofisticação. Um relatório recente da CBI Insights revela que, “Desde 2017, cerca de seis bilhões de registros digitais confidenciais foram roubados em todo o mundo e o número continua crescendo. Apenas nos últimos dois anos, houve pelo menos três violações distintas de dados, nas quais pelo menos um bilhão de registros confidenciais foram roubados ou expostos de uma só vez.”1   De um único laptop em um vilarejo rural a equipes de elite de especialistas patrocinados por governos nefastos, os cibercriminosos podem operar em qualquer lugar com conexão à Internet e estão direcionados a organizações de saúde em economias em crescimento que não implementaram sistemas modernos e sofisticados de defesa. Comunidades de saúde, profissionais de segurança cibernética e governos devem reconhecer essas cinco realidades enquanto procuram maneiras de combater a ameaça persistente e onipresente dos hackers cibernéticos. 1. Saúde tem um alvo nas costas. Os três principais alvos dos cibercriminosos são registros eletrônicos de saúde, infraestrutura de saúde e registros médicos individuais. A informação sensível tornou-se uma mercadoria muito poderosa na sociedade moderna. Assim como ouro, diamantes e dinheiro impresso atraem ladrões há séculos, a informação tornou-se um dos ativos mais valiosos da Terra. Quanto mais sensível, prejudicial ou reveladora for a informação, mais valor ela possui. Detalhes sobre como indivíduos e grupos saudáveis ou não podem ser resgatados por preços astronômicos.     Em julho de 2018, o ransomware teve como alvo a SingHealth, a maior instituição de saúde de Cingapura, e roubou as informações de 1,5 milhão de pacientes, incluindo o perfil do primeiro-ministro do país, Lee Hsien Loong - identificado como alvo específico do ataque. Esses tipos de ataques de ransomware são constantemente perpetrados contra as unidades de saúde, enquanto lutam para implementar estratégias abrangentes de defesa. Essa tendência só aumentará, uma vez que os criminosos cibernéticos e as instituições de saúde tentam se superar, como os ladrões de bancos e os bancos fizeram ao longo da história.2 2. Hacks podem significar vida ou morte. Uma das ameaças atuais mais preocupantes à privacidade de informações sobre saúde é um sério comprometimento da integridade e disponibilidade de dados. Esses riscos incluem possíveis danos à segurança e saúde de um paciente, perda de informações de saúde protegidas (PHI) e acesso não autorizado aos dados. De fato, em 2013, o Washington Post informou que os médicos do vice-presidente Dick Cheney ordenaram a desativação da funcionalidade sem fio de seu implante cardíaco por medo de que ele pudesse ser hackeado por terroristas.3 É possível argumentar que os crimes cibernéticos no setor de saúde podem ter consequências muito mais drásticas para o patrimônio da marca das instituições do que grandes perdas financeiras. O medo de não conseguir acessar as informações críticas de saúde é um sentimento legítimo e intenso de desconforto. Essa ansiedade é parcialmente o que dá à informação seu valor e poder. As violações de segurança de dados podem afetar diretamente a saúde e o bem-estar dos pacientes e até mesmo resultar em fatalidades. Destruir os registros médicos e sequestrar as prescrições farmacêuticas críticas pode rapidamente resultar em vitimas e causar a morte. Ao roubar informações e manipular o medo do público, os cibercriminosos podem alavancar seus ativos roubados de maneiras sem precedentes. A realidade é que esses crimes têm consequências com risco de vida e podem ser perpetrados em todo o mundo no meio da noite. 3. Violações são inevitáveis e podem ser internas. Os ganhos monetários potenciais para os hackers são enormes. Sem surpresa, mais de 70% das empresas do setor de saúde esperam uma violação de criminosos cibernéticos motivados financeiramente. No entanto, a imagem difundida de um hacker solitário trabalhando em um apartamento escuro em uma cidade anônima, ou grupos nefastos patrocinados pelo governo de ciber-ladrões estrábicos enfileirados em cubículos sem graça, representa apenas parte da história. Empregados internos também representam uma grande ameaça para as instituições de saúde. Todo funcionário é um ser humano e, independentemente de estarem ou não descontentes, financeiramente perturbados ou simplesmente inconscientes de como seus comportamentos podem afetar os protocolos de segurança, existe o potencial de corrupção. Ter as permissões de segurança certas, senhas e acesso a informações confidenciais pode ser simplesmente muito tentador para empregados internos com um motivo oculto.  4. Medidas de segurança robustas são necessárias. A perseguição e os confrontos entre gato e rato continuarão a evoluir à medida que os hackers buscam continuamente novas formas de penetrar as defesas das instituições de saúde e das partes interessadas dentro dos sistemas de saúde - incluindo os fabricantes de dispositivos médicos conectados. Os criminosos internacionais e especializados na tecnologia de hoje são determinados, sofisticados e criativos. As instituições de saúde devem ser ainda mais. Embora a crescente conscientização sobre as ameaças de segurança cibernética tenha abalado todo o setor, muitas empresas em economias em crescimento não montaram e executaram uma estrutura de segurança holística que forneça supervisão abrangente da governança e da diretoria. As medidas de segurança carecem de uma abordagem integrada que aproveite os talentos e a perspicácia não apenas dos profissionais de saúde, mas também das forças de segurança cibernética e dos formuladores de políticas em todos os níveis de governo. A integração perfeita de recursos de defesa é necessária para combater os cibercriminosos que representam uma ameaça dinâmica e em evolução. Todas as partes interessadas que lidam com dados de saúde devem mudar de defesas cibernéticas passivas para defesas cibernéticas ativas. A segurança cibernética para a IoMT também deve ser uma agenda importante para os dispositivos médicos da próxima geração. Governos e formuladores de políticas devem fornecer diretrizes de segurança e protocolos regulatórios para fabricantes de dispositivos médicos. O setor deve desenvolver e adotar rapidamente as melhores práticas, estruturas e arquiteturas para garantir as proteções de segurança cibernética em toda a IoMT. Hospitais e sistemas de saúde precisam proteger dispositivos médicos da mesma forma que os bancos garantem a segurança dos cartões de crédito que emitem. As economias em crescimento devem responder, e liderar, com medidas de segurança e políticas de segurança cibernética apropriadas. 5. Saúde pode revidar. Ransomware e crimes cibernéticos podem criar um caos inimaginável. Mas empresas, comunidades e economias em crescimento não são impotentes. Ao trabalhar juntas, podem criar uma rede de sistemas, ativos e protocolos que podem frustrar até mesmo os hackers mais tenazes. Diligência é a chave. O setor de saúde deve ser proativo sobre a prevenção de ataques cibernéticos antes que eles ocorram e ser inteligente em responder a eles e mitigar os danos quando ocorrerem. Embora muitas instituições de saúde tenham começado a desenvolver estratégias de segurança eficazes, poucas implementaram um plano completo que aborde estratégias de preparação, prevenção, detecção e resposta e recuperação.  O setor de saúde e as partes interessadas associadas devem abordar estratégias de defesa de segurança cibernética com o mesmo nível de seriedade e força que os militares aplicam às suas próprias estratégias de defesa. Por exemplo, um programa de defesa eficaz e agressivo incluiria o uso de tecnologias enganosas que impedem ataques, enganando os invasores. Além disso, a inteligência artificial (IA) pode monitorar o tráfego dentro e fora de cada dispositivo conectado e diferenciar entre comportamento normal e anormal em tempo real - alertando os profissionais de segurança de rede quando o dispositivo estiver ouvindo ou conversando com redes, servidores ou indivíduos criminosos. A IA pode bloquear proativamente os maus atores em tempo real antes que eles possam obter acesso e infligir danos. As estratégias vitoriosas de segurança cibernética interceptam e impedem ataques proativamente; afinal de contas, uma vez que um dispositivo tenha sido comprometido e servidores de nível superior tenham sido violados, o dano foi feito. Por fim, o setor de saúde deveria considerar outras medidas defensivas inovadoras, como computação quântica, salas de guerra de segurança cibernética que fornecem centros de operações de segurança ininterruptamente e uma estratégia holística que aproveita não apenas a tecnologia, mas também o comportamento e os processos humanos. Para saber mais sobre como os cibercriminosos mantêm as instituições de saúde como refém  e o que a indústria pode fazer para se proteger, leia este documento.   1 Why Ai, Blockchain, & Enhanced Encryption Are The Future Of Enterprise Data Security: http://www.cbinsights.com/research/ai-blockchain-encryption-enterprise-data-security-expert-intelligence/ 2. Singapore Suffers 'most Serious' Data Breach, Affecting 1.5m Healthcare Patients Including Prime Minister, Eileen Yu - https://www.zdnet.com/article/singapore-suffers-most-serious-data-breach-affecting-1-5m-healthcare-patients-including-prime/ 3 Intermountain Healthcare Launches Security Operations Center To Combat Health Data Cyberattacks: https://www.modernhealthcare.com/article/20151114/MAGAZINE/311149977

Sophia Van | 07 fev 2019
tiles1

COMO PODEMOS AJUDAR?

Converse com um especialista da Mercer

back_to_top