A tecnologia é o coração de qualquer hospital moderno. Os avanços dos sistemas em nuvem, IoT e da TI têm ajudado as organizações de saúde (HCOs) a melhorar muito a qualidade dos cuidados aos pacientes. Os prontuários eletrônicos são a espinha dorsal de uma rede de atendimento cada vez mais complexa. Mas também os expôs a riscos de roubo de dados e interrupções operacionais ainda maiores.
Um novo relatório da Trend Micro e HITRUST revelou que a qualquer momento existem pelo menos 80.000 sistemas hospitalares expostos em todo o mundo. A maior descoberta é que também encontramos uma desconexão ou falha preocupante entre as percepções atuais versus a realidade.
As equipes de TI dos hospitais devem entender e eliminar estes novos ciber-riscos, especialmente aqueles introduzidos pela cadeia de abastecimento. Os serviços de saúde já têm todos os perigos associados a qualquer empresa e incluem ainda o mais significante de todos: a segurança do paciente. E a segurança está cada vez mais em risco com mais aparelhos IoT em seus cuidados.
Percepção vs. Realidade
O ataque WannaCry, em maio de 2017, teve um grande impacto sobre as empresas de serviços de saúde em todo o mundo, levando a uma estimativa de 19.000 cancelamentos incluindo consultas e cirurgias somente no Reino Unido. Mas o ransomware é apenas uma das muitas ameaças enfrentadas pelos hospitais. Em conjunto colocam em risco as operações deles, a privacidade e, ainda mais importante, arriscam a saúde do paciente. Infelizmente, a blitz do WannaCry não parece ter levado a uma reavaliação dos esforços em ciber-segurança entre as HCOs globalmente.
O principal desafio é a questão dos dispositivos e sistemas expostos, incluindo imagens médicas, protocolos, bases de dados, controles industriais e softwares de sistema de atendimento ao paciente. Descobrimos que, a qualquer momento, há entre 50.000 e 80.000 sistemas expostos em clínicas/hospitais mundialmente. Esta exposição põe os hospitais em risco de ataques DDOs, malware e roubo de dados. Utilizando o modelo de avaliação de ameaças DREAD, o relatório descobriu que os ataques DDOs são a ameaça geral mais grave para as HCOs, seguidos pelo ransomware. Isso ocorre porque os ataques são fáceis de executar e não exigem conhecimento especializado sobre os dispositivos ou sistemas sendo aproveitados.
Curiosamente, os participantes de uma pesquisa que nós realizamos no Twitter acreditam que a maior ameaça envolvendo as HCOs é a manipulação de dados (32%), seguida pela infecção por malware (27%).
De maneira similar, os participantes da pesquisa acreditam que os hacktivistas (29%) eram o tipo mais frequente de agente de ataques das HCOs. Na realidade, apesar de existirem muitas potenciais fontes de ataque, os ciber-criminosos com motivação financeira são a maior ameaça. As recompensas pelo roubo de dados, ransomware e muitos outros colocam sistemas e organizações vistos como pouco protegidos sob a mira deles. Apesar de somente 14% dos participantes da pesquisa no Twitter terem respondido corretamente, a verdade é que as PII (informações pessoalmente identificáveis) são os tipos de dados mais procurados em relação aos serviços de saúde na Dark Web — altamente rentável para fraude de identidade, chantagem e outros crimes.
Risco da cadeia de abastecimento
Outra área de risco para TI dos serviços de saúde revelada pelo relatório refere-se à cadeia de abastecimento. Aproximadamente 30% de todas as infrações reportadas publicamente para o Departamento Humanitário e de Saúde dos Estados Unidos em 2016 foram devidos a infrações de associados comerciais e fornecedores terceirizados. Ainda assim, esta é uma área que não recebe a devida atenção. Desde os provedores de nuvem aos fabricantes e revendedores de produtos IoT, desenvolvedores de aplicativos mobile health entre outros, a complexa rede de fornecedores hospitalares interconectados apresenta uma crescente superfície de ataque.
Falhas/brechas inevitavelmente aparecem quando terceiros falham em encarar a ciber-segurança tão seriamente quanto o próprio HCO. Firmware de dispositivos, aplicativos móveis mHealth, código fonte comprometido, phishing com colaboradores de parceiros e até mesmo ameaças internas são todos riscos reais. Sem a segmentação adequada de rede e a avaliação cuidadosa dos funcionários associados à cadeia de abastecimento, as equipes de TI dos hospitais estão se expondo a danos financeiros e morais, além do risco de compliance.
Defesa de TI para hospitais
A boa notícia é que por meio das melhores práticas, metodologias testadas e comprovadas, os CIOs e CISOs dos hospitais podem trabalhar para eliminar muitos dos riscos destacados no relatório. A simples configuração incorreta, por exemplo, é a causa número um dos dispositivos expostos. O National institute of Standards and Technology (NIST) oferece um framework muito útil para a gestão de risco da cadeia de abastecimento (SCRM).
O foco deve ser assumir o compromisso e agir rapidamente para responder.
Segundo o relatório, os chefes de TI hospitalar devem:
Para saber mais sobre as ciberameaças enfrentadas pelos hospitais e como equilibrar operações de TI eficiente com a segurança da rede, leia hoje nosso relatório Securing Connected Hospitals.Na prática, isto significa aplicar tecnologias como a criptografia para PII sensíveis; escaneamento de vulnerabilidades; segmentação da rede; gestão de patches; IPS/IDS; detecção de violações; antimalware e outros.