Segurança de Organizações Médicas em tempos de Covid-19

 Artigo original: https://www.linkedin.com/pulse/seguran%C3%A7a-de-organiza%C3%A7%C3%B5es-m%C3%A9dicas-em-tempos-covid-19-david-muniz/

A pandemia causada pelo Coronavirus afetou a vida de pessoas e organizações de maneira sem precedentes na história. Mudanças para o trabalho remoto, busca de maior eficiência operacional e crescente foco no cliente foram algumas das consequências deste período de disrupção e de grande avanço tecnológico e em inovação. Durante os tempos da pandemia os olhos se voltaram para o já sobrecarregado setor de saúde, principalmente no aspecto cibersegurança. As novas regulações de proteção de dados, como GDPR e LGPD, começaram o trabalho de estabelecimento de regras para o tratamento de dados pessoais. Ainda mais, estabeleceram que dados de saúde são considerados sensíveis, e merecem tratamento diferenciado em relação aos demais.

Manter os sistemas do setor de saúde operacionais é, literalmente, questão de vida ou morte.

Durante o período de pandemia, constatou-se uma mudança na forma de trabalho em empresas, organizações educacionais e até governos trabalham. Até setores mais tradicionais, como a advocacia, se renderam às vantagens do home office. Quem diria que juízes e advogados iriam conduzir audiências judiciais diretamente do conforto de suas casas? No entanto, hospitais, clínicas e centros de saúde são uma exceção nessa tendência de migração para o trabalho remoto. Manter os sistemas do setor de saúde operacionais é, literalmente, questão de vida ou morte.

E em tempos de Covid-19, quando essas organizações estavam diretamente no no fronte de batalha contra o coronavírus, observamos um aumento expressivo no volume de dados pessoais, inclusive sensíveis, sendo tratados por organizações de saúde. E, como podemos imaginar, esse setor da infraestrutura crítica foi colocada no centro do alvo de cibercriminosos. Até o presidente do Comitê Internacional da Cruz Vermelha alertou sobre o aumento de ataques cibernéticos que tem como alvo os hospitais. A consequência direta disso é uma ampliação na superfície de ataque, o que também aumenta os riscos cibernéticos e afeta diretamente a continuidade dos negócios.

73% das organizações do sistema de saúde afirmam que suas infraestruturas não estão preparadas para responder a ataques cibernéticos, segundo o Black Book Market Research.

Um dos fatores que contribui para que o aumento dos riscos cibernéticos no setor de saúde é a infraestrutura de TI deficiente e sob pressão neste momento de aumento de internações e tráfego de dados. Uma mistura de alta complexidade com dispositivos legados, muitos deles conectados à internet, associado à falta de pessoal qualificado para garantir a sua adequada proteção. Prova disso é que 73% das organizações do sistema de saúde afirmam que suas infraestruturas não estão preparadas para responder a ataques cibernéticos, segundo o Black Book Market Research. A pesquisa estima que 1.500 provedores de saúde estão vulneráveis a vazamentos de dados de 500 ou mais registros.Outro dado alarmante: de acordo com pesquisa publicada pela BlueVoyant, os ataques cibernéticos direcionados à indústria farmacêutica e de biotecnologia tiveram um aumento de 50% em relação ao ano passado, tendo ransomware a principal ameaça.

Outro fator a ser considerado nas atividades de organizações do setor de saúde são os funcionários terceiros. Esse tipo de organização opera com uma gama de terceiros, como fornecedores, provedores de serviço, agências governamentais e institutos de pesquisa, que necessitam de acesso à sua infraestrutura. Esse modelo de cadeia traz consigo um nível elevado de risco, considerando que é bem difícil assegurar que todos esses terceiros acompanham o mesmo padrão de práticas e nível de consciência cibernética, o que com certeza é explorado por atacantes maliciosos.

Ainda falando de consciência cibernética, que explora o elo mais fraco nessa cadeia de tecnologia, processos e pessoas, vale lembrar que estamos falando de profissionais fadigados pelo aumento na carga de trabalho associados a uma fraca cultura em cibersegurança. Nem os dispositivos médicos estão prontos para garantir a segurança dos dados armazenados, quem dirá as pessoas que os operam. Assim, mais erros operacionais podem ocorrer, colocando a organização inteira em xeque. As consequências disso? Aumento dos riscos em cibersegurança, que afetam diretamente a continuidade dos negócios. Mas quais esses riscos associados?

...enquanto o custo médio dos vazamentos pesquisados foi de 3,86 milhões de dólares, quando o vazamento ocorre em um hospital, clínica ou instituto de pesquisa médica, esse valor chega a 8,6 milhões de dólares.

Um desses riscos é o aumento na quantidade de ataques cibernéticos a organizações de saúde. Esses ataques, especialmente os de ransomware, cresceram vertiginosamente durante o período de pandemia. E o impacto financeiro de um ataque dibernético para esse tipo de organização chega a ser mais que o dobro da média: segundo o relatório 2020 Cost of a Data Breach Investigations Report, enquanto o custo médio dos vazamentos pesquisados foi de 3,86 milhões de dólares, quando o vazamento ocorre em um hospital, clínica ou instituto de pesquisa médica, esse valor chega a 8,6 milhões de dólares, um aumento de 10,5% em relação a 2019.

Em seguida, temos o risco de perda de vidas humanas, que é irreparável. Há algum tempo sendo especulado pelo setor médico, a primeira vítima de ataque cibernético foi registrada em um hospital na cidade de Dusseldorf, Alemanha. Impossibilitada de receber atendimento médico porque os sistemas estavam comprometidos devido a um ciberataque, a paciente morreu a caminho de outro hospital.

Trazendo o jargão do próprio setor médico, prevenir é melhor do que remediar. E isso vale também para cibersegurança. Algumas das recomendações para melhorar a postura de cibersegurança em uma instalação médica é, primeiramente, melhorar a consciência cibernética de funcionários e terceiros. Muitos ataques realizados contra dispositivos médicos se valem da força de trabalho que atua nessa frente. Investir em programas de consciência cibernética, incluindo aí o combate ao phishing, é essencial. Isso reduz as chances de que um funcionário ou terceiro desavisado abra um documento suspeito ou clique em um link malicioso.

Além disso, muitos ataques hackers utilizam portas e protocolos de acesso remoto. Assim, um simples trabalho de higiene de TI pode ser necessário para reduzir consideravelmente a superfície de ataque e mitigar riscos de cibersegurança associados. Segundo estudo da Corvus, portas RDP abertas aumentam a probabilidade de sucesso em um ataque ransomware em 37%.

É possível perceber que as organizações de saúde vêm carregando um pesado fardo em relação a cibersegurança, especialmente em tempos de pandemia de Covid-19. Risco de perda de receitas e da confiança de funcionários, clientes e parceiros de negócio estão diretamente ligados a um ataque hacker. Além disto, empresas de todos os segmentos que sofram vazamentos de dados estão sujeitas às pesadas sanções das novas legislações de privacidade de dados, como LGPD e GDPR. No entanto, felizmente existem algumas ações que essas organizações podem tomar para proteger o seu ambiente e assim mitigar riscos de cibersegurança, garantindo assim a continuidade dos negócios e que continuem a realizar a sua principal função: salvar vidas.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Tempo doido

Imagem
Olá, Hoje é feriado aqui na parte dutch da Bélgica, dia da Comunidade Flamenga, daí algumas empresas (inclusive a minha) deram o dia de folga para os funcionários. . Ontem teve um evento da minha equipe. Descobri que a cada 3 meses a gente tem direito de organizar um evento (jantar, atividades, etc) e que a empresa paga os custos. Fomos eu, o Filip (meu chefe), Steven e Hans jogar 2 partidas de sinuca e depois jantar em um restaurante super legal lá em Mechelen, chamado T'Archief (algo como "o arquivo", ou biblioteca). Essa semana pensei em um tópico para o post, e decidi falar sobre o clima aqui na Bélgica: é coisa de doido! Durante esta semana tirei umas fotos para ilustrar do que estou falando. . Primeira foto tirada às 16:16 do dia 08/07: Segunda Foto tirada às 16:34 do mesmo dia: Terceira foto tirada às 17:52 : Bom, pode ser até que isso aconteça em algumas regiões do Brasil e tal, mas não vem me dizer que é normal não, isso é coisa de maluco!! O verão aqui ou aind...
Leia mais

My Anxious Second Post

Imagem
Bom dia Galera, Tudo bom???? Apesar de estar publicando este post no dia 13, parte dele foi escrito no dia 12 mesmo. Falei pra mim mesmo que não iria postar mais de uma vez num dia, e espero na medida do possível me comportar assim, mas enfim, no dia que não puder esperar, vai dois ou mais no mesmo dia. Estou no fim do semestre, graças a Deus. Acho que é uma das melhores sensações que pode existir. A sensação de dever cumprido, mesmo que muitas vezes nós (e até os professores) tentemos levar o semestre com a barriga. Antes de falar sobre o fim do semestre, deixa eu falar uma coisa pra vocês: ontem, depois que publiquei o primeiro post e arrumei esse negócio direitinho, fiquei pensando: "Será que preciso mesmo de um blog??? Logo eu, que sempre achei essas coisas sem graça???". Pois é, logo eu!! Mas admito que a idéia não é má, como eu falei, a única coisa que me assusta é ter minha vida (ou parte dela) exposta, mesmo que para um número restrito de pessoas. Ontem tive a apresen...
Leia mais

O Homem na Arena

Imagem
 A Brene Brown é uma das minhas escritoras favoritas. Já falei dela aqui e continuarei falando. Quando fui internado ano passado, uma das minhas companhias durante o período que fiquei no hospital foi o livro "A Coragem para Liderar". Ela inclusive quem me apresentou o discurso do Theodore Roosevelt, que trouxe em minha última postagem.  Esse discurso é um dos maiores exemplos de coragem e vulnerabilidade que conheço. Quando nos despimos do nosso orgulho e daquela ideia de "o que as pessoas vão pensar?" para corrermos atrás dos nossos sonhos, do que acreditamos e temos como verdade. Quando tomamos um chá de "fuckemal" (é libertador)!  Em uma de suas palestras, a Brené fala sobre alguns pontos chave da vulnerabilidade, e que falam muito comigo. Primeiramente, que o que importa não é ganhar ou perder. O que importa é aparecermos e sermos vistos! Levantar a nossa cauda de pavão. Literalmente colocarmos a cara a tapa. Botar o corpo na rua! Em no...
Leia mais