Por que as organizações de saúde têm um alvo nas costas?

Os registros médicos têm um alto valor na dark web devido à grande quantidade de informações pessoais que possuem. Os cibercriminosos podem vender dados de saúde roubados com um lucro enorme, de até US $ 1.000 para cada registro, um fato que os incentiva a continuar hackeando, pois a recompensa vale a pena.

Embora tenha havido um aumento de ataques a organizações de saúde devido ao coronavírus, um Relatório de violação de dados de saúde de 2019 revelou que mais registros de saúde foram violados em 2019 do que nos seis anos de 2009 a 2014, indicando que o aumento de ameaças aos registros de saúde foi uma tendência contínua.

As organizações de saúde precisam entender a relação interconectada entre a segurança cibernética e o atendimento ao paciente. Investir em segurança cibernética garante que as organizações tenham os controles apropriados em vigor para proteger o paciente, seus dados, a marca e os negócios, ao mesmo tempo em que cumprem os requisitos da HIPAA.

As organizações de saúde permanecerão um alvo principal além do COVID-19

Os dados da área de saúde são de interesse para os atores de ameaças do estado-nação que procuram roubar ensaios clínicos e dados de pesquisa para resolver as preocupações em seu país e criar vantagens econômicas e políticas sendo os primeiros a comercializar inovação ou uma vacina crítica.

O prontuário de um paciente também pode conter informações que podem ser usadas para causar danos a pessoas de interesse. Além dos dados de identificação pessoal, os registros do paciente contêm informações muito confidenciais e pessoais, como tipo sanguíneo, alergias, medicamentos, dispositivos médicos em uso e procedimentos anteriores. Tudo isso pode ser usado para cometer roubo de identidade, fraude em seguros, chantagem ou para causar danos corporais.

Infelizmente, a maioria desses dados não pode ser alterada em caso de roubo. Além disso, essas informações geralmente são armazenadas em sistemas legados, não desenvolvidos com a segurança em mente, em vários sistemas distintos e locais diferentes, e a organização não pode arcar com o custo de migração de dados para um sistema moderno e seguro.

Dispositivos biomédicos têm sido historicamente ruins na implementação até mesmo dos controles de segurança mais básicos, como criptografia, autenticação e controles de acesso. Para complicar ainda mais, esses dispositivos muitas vezes estão fora do escopo quando se trata de implementar proteções básicas como antivírus, detecção e resposta de endpoint e outros softwares que podem ser vistos como intrusivos para o sistema e impactar ou influenciar a operação do dispositivo . Tecnicamente, o dispositivo é um alvo fácil para qualquer invasor que possa obter acesso à mesma rede. Passaram-se apenas cinco anos desde que as organizações de saúde começaram a pressionar e responsabilizar os fabricantes de dispositivos pelos padrões básicos de segurança.

O infeliz é que esses dispositivos biomédicos e a falta inerente de controles e proteções de segurança foram movidos diretamente para o consumidor, seja em sua casa ou instalado em seus corpos. Isso ampliou o alcance, as capacidades, a superfície de ataque e os danos potenciais que podem ser afetados pelo agente da ameaça mal-intencionada.

Os marca-passos são um excelente exemplo de como os hackers tiveram sucesso em interferir no dispositivo. Recentemente, pacientes, fornecedores e fabricantes foram notificados sobre uma vulnerabilidade de segurança chamada SweynTooth. A vulnerabilidade, associada ao Bluetooth Low Energy, pode ser explorada para atingir certos dispositivos médicos sem fio – travá-los, bloqueá-los ou contornar suas proteções de segurança para obter acesso não autorizado. Isso torna os dispositivos médicos uma situação real de vida ou morte, além do que normalmente consideraríamos.

A infraestrutura do paciente também não está à altura. A telessaúde está mais integrada à saúde do que nunca, pois reduz despesas, diminui a exposição a doenças e é mais conveniente. Em março, as visitas de telessaúde aumentaram 50% e os analistas estimam que as visitas virtuais relacionadas ao coronavírus podem chegar a 1 bilhão globalmente em 2020.

Esse aumento complica ainda mais o cenário de segurança se os grupos de hospitais não tiverem a infraestrutura adequada para proteger os dados do consumidor, pois muitas vezes estão aproveitando plataformas de telessaúde que não foram desenvolvidas para a saúde; e expandiram o risco ao herdar as fraquezas e vulnerabilidades existentes dessas plataformas.

Como as organizações podem combater esses ataques?

As organizações devem garantir que sua infraestrutura seja segura usando plataformas projetadas para uso na área de saúde, atendendo aos requisitos legais de privacidade. Os sistemas de infraestrutura devem ser configurados de acordo com os padrões de segurança, com ampla visibilidade e uma estratégia deve ser implementada para dispositivos e terminais de propriedade do paciente. É importante que o profissional de saúde tenha visibilidade do que está acontecendo no ambiente para monitorar sinais de atividades suspeitas em tempo real para que ações imediatas possam ser tomadas.

Além disso, como 48% dos agentes de ameaças na área de saúde são internos, as organizações devem monitorar as mudanças comportamentais nos usuários e seus dados, fornecendo visibilidade para descobrir ameaças baseadas no usuário que, de outra forma, poderiam passar despercebidas. Também deve haver ferramentas de segurança que automatizam as tarefas comuns de investigação e agilizam a correção para interromper uma violação imediatamente e em tempo real. A detecção e a resposta no início do ciclo de vida do ataque cibernético são fundamentais para proteger os registros de saúde e a empresa de um impacto em grande escala.

As organizações que não possuem os recursos de segurança acima em vigor e sofrem com uma violação de dados podem esperar enfrentar penalidades financeiras de acordo com a HIPAA por não proteger com eficácia as informações confidenciais do cliente. Como uma multa pode variar de US $ 100 a US $ 50.000 por violação (ou por registro), é fundamental que as empresas vão além dos requisitos mínimos de segurança para evitar tal destino.

Além disso, um incidente ou violação significativa corrói a confiança do paciente e prejudica a marca, incluindo receitas reduzidas. Dado o cenário atual de ameaças em evolução e o foco cada vez maior na saúde por parte dos cibercriminosos, as empresas devem se comprometer a melhorar suas operações de segurança para proteger os pacientes e a organização.

Fonte:https://www.helpnetsecurity.com/2020/08/18/healthcare-organizations-target