Os ciberataques gerados por um único indivíduo ou por um grupo politicamente motivado, emergiram como uma grande ameaça à segurança do setor de saúde nos últimos anos. Regulamentações exigentes e o crescente número de dispositivos eletrônicos que armazenam informações de saúde aumentam o desafio dos hospitais em garantir a segurança de dados internos e de pacientes. Qualquer indivíduo pode sair de seu consultório com informações confidenciais de pacientes em um pen drive ou notebook e ter esses itens roubados de seu carro. Portanto, vigilância, sistemas de segurança avançados e programas estruturados de compliance e treinamento são essenciais para os hospitais que buscam evitar investigações ou problemas de responsabilidade.
De acordo com a PwC, cerca de 85% das grandes organizações de saúde sofreram uma violação de dados em 2014 e 18% delas custaram mais de US$ 1 milhão para remediar. A expectativa é que estes números aumentem à medida que mais e mais dispositivos portáteis de cuidados de saúde se conectam à internet. Por conta disso, os hospitais devem rever suas práticas de segurança, atualizá-las, conduzir o treinamento de todos os seus funcionários e determinar com que frequência o hospital exigirá treinamentos de reciclagem. A questão da segurança de dados é complexa, mas para instalações de saúde que estão começando ou renovando seu compromisso com a segurança, as três áreas a seguir devem ser o foco da vigilância extra:
Dispositivos de Internet das Coisas (IoT)
Os avanços em sensores, sistemas abertos de conectividade e software de análise permitem que as instituições de saúde gerenciem o rastreamento em tempo real de pessoas e dispositivos a um custo menor do que nunca. No entanto, no lado da segurança, esta conveniência vem com um preço. Uma vez que esses dispositivos se conectam à internet, recomenda-se mais investimento em gerenciamento de risco cibernético. Nos cenários tradicionais de infraestrutura de saúde, a disponibilidade, processos precisos e equipamentos funcionais são as principais prioridades; em outras palavras, trata-se de confiabilidade. Já no mundo virtual, trata-se de resiliência. Ser ciber resiliente significa mais do que apenas abordar proteção e prevenção. O conceito abrange a capacidade de uma organização reagir rapidamente quando ocorre um ataque cibernético.
Rede segura / firewalls
Ao planejar a proteção contra ciberataques, todos os dispositivos IP recém-adquiridos devem ser auditados para garantir que eles estejam configurados em uma rede segura. A rede deve ser projetada de modo a permitir a segregação de sistemas e acesso. Por exemplo, o sistema de televisão deve estar separado de qualquer Wi-Fi para visitantes. Os fornecedores podem recomendar o desenvolvimento e o uso adequados do LANS virtuais e o gerenciamento de dados recebidos e enviados, para ajudar a fornecer mais resiliência.
Os sistemas de detecção de invasão de rede e firewalls ajudam a apoiar esses esforços, protegendo os limites de rede de ameaças externas. Tais sistemas podem minimizar os danos causados por ataques cibernéticos a partir da busca por anomalias e assinaturas na rede. Quando uma anomalia é identificada, um alerta é encaminhado ao analista para revisão. O analista investiga e determina se o alerta é um falso positivo ou um potencial ataque contra a rede. Em alguns casos, esses sistemas podem bloquear uma anomalia ou assinatura antes que ela possa causar danos.
Data Centers e Racks de Rede
A segurança para essas áreas sensíveis precisa se concentrar no controle e vigilância de humanos que se deslocam dentro e fora dessas instalações. O hardware de segurança deve incluir o controle de acesso (controle de quem está entrando na sala por meio de leitores de cartão ou portas eletrônicas), detecção de invasão (sensores para detectar o status aberto ou fechado dos pontos de entrada protegidos) e sistemas de vigilância visual (geralmente compostos por câmeras e monitores, amplificadores de vídeo, conversores de vídeo, gravadores de vídeo, gravadores de áudio, cabos e acessórios relacionados).
Os fornecedores que apoiam as organizações de saúde com soluções tecnológicas também precisam contribuir com sua experiência em cibersegurança. Alguns incorporaram processos baseados na ISO 27034, que define um Secure Development Lifecycle (SDL, ou Ciclo de Vida do Desenvolvimento Seguro) para seus produtos. No contexto do SDL, revisões da arquitetura de segurança, modelagem de ameaças no conceito de design da segurança, regras de codificação seguras, ferramentas especializadas para analisar código e testes de segurança dos produtos fazem parte do processo. Essas ações ajudam a “fortalecer” os produtos, tornando-os mais resilientes contra os ataques cibernéticos. Desta forma, à medida que novos produtos substituem os antigos, todos os sistemas evoluem para tornarem-se mais ciberseguros.
Para saber mais sobre segurança de dados de saúde e continuidade do negócio, baixe o novo guia de referência da Schneider Electric “Um Guia Prático para Garantir a Continuidade do Negócio e o Alto Desempenho nas Instalações de Saúde”.
Luciano Santos é vice-presidente de ITD na Schneider Electric