Segurança

7 dicas para planejar a cibersegurança em empresas do setor da saúde

23/10/2020

Tempo estimado de leitura: 5 minutos

Saiba o que hospitais, clínicas e consultórios devem considerar para fortalecer a cibersegurança e evitar invasões e interrupções de serviços.

Especialistas ouvidos pelo Dark Reading, braço sobre cibersegurança do site InformationWeek, afirmam que ataques de ransomware e tecnologia legada são as maiores ameaças cibernéticas para empresas do setor de saúde, como clínicas e hospitais. Até mais do que ataques DDoS (negação de serviço).

O motivo? Porque cibercriminosos são pessoas de negócios e, para eles, tempo é dinheiro.

“É muito mais difícil [para um hacker] ganhar dinheiro com um ataque DDoS. Eles teriam que fazer o ataque e pressionar [um hospital, por exemplo] por um resgate”, explicou Torsten George, evangelista de segurança cibernética da Centrify, ao Dark Reading.

FIQUE POR DENTRO: Como anda a vulnerabilidade da segurança da sua empresa?

No entanto, basta um clique despretensioso em um link enviado por um e-mail suspeito para um incidente de cibersegurança acontecer. É por isso que uma das preocupações da comunidade médica, levando em consideração o momento de pandemia e distanciamento social, é a telemedicina.

Como manter a segurança dos dados durante uma consulta por videochamada, por exemplo? Sem as medidas necessárias, um ataque a um dispositivo desatualizado pode levar ao erro de diagnóstico ou de tratamento, gerando danos a um paciente.

Nesse sentido, o time de TI e de segurança de hospitais e outras instituições de saúde têm o desafio diário de acompanhar as principais ameaças e saber como evitá-las.

Para ajudar essas empresas a traçarem um plano de cibersegurança, o Dark Reading ouviu vários especialistas da área sobre as melhores práticas para proteger os dados e pacientes.

1. Formalizar treinamento de conscientização sobre cibersegurança

Assim como médicos, enfermeiros e outros profissionais precisam seguir um protocolo de segurança ao entrar em uma sala de cirurgia, George, da Centrify, defende que todos os “itens de higiene cibernética precisam ser cobertos.”

Na definição do evangelista, não basta apenas conscientizar o quadro de funcionários sobre cibersegurança. É preciso formalizar diversos “hábitos saudáveis” de segurança para um colaborador reconhecer uma ameaça em potencial.

Esses hábitos são:

  • Ensinar a criar senhas fortes.
  • Fazer o backup dos dados constantemente.
  • Executar varreduras de vírus nos dispositivos.
  • Promover diversas simulações de ataques.

Por exemplo, uma empresa pode executar um ataque phishing para saber quais pessoas conseguem detectá-lo. Caso um funcionário for pego clicando nessa simulação, a equipe de TI pode solicitar um novo treinamento de segurança a esse colaborador.

A medida é essencial para, quando um funcionário reconhecer um ataque real, a equipe de TI e de segurança consiga monitorar e mitigar alguma invasão e evitar a interrupção da rede hospitalar.

“As empresas precisam fazer simulações de forma consistente para manter as pessoas alerta”, diz George. “As pessoas nunca aprenderão a menos que a empresa faça um acompanhamento.”

2. Realizar o treinamento de pacientes

Essa prática pode ajudar bastante as instituições que ofertam consultas por videochamada. Apesar de um hospital prover as melhores práticas de segurança para a equipe, o mesmo não acontece com os pacientes.

Muitos deles usam dispositivos desatualizados e senhas fracas em aplicativos de saúde, redes sociais (algumas são usadas para logar em serviços de saúde) e até mesmo no modem Wi-Fi instalado em casa.

De um lado, esses pacientes —numa consulta a distância — devem perguntar quais medidas as empresas estão tomando para garantir a segurança dos dados. Do outro, eles podem tomar algumas iniciativas, como usar autenticação de dois fatores, por exemplo.

Os conselhos de Kelvin Coleman, diretor executivo da Aliança Nacional de Cibersegurança (NCSA), aos hospitais e consultórios são:

  • Informar aos pacientes sobre eles atualizarem os dispositivos.
  • Orientar sobre usar senhas longas e fortes nos sistemas de saúde (aplicativo, serviço etc.).
  • Explicar como habilitar biometria ou chaves de segurança nesses aplicativos e outras ferramentas usadas pelos pacientes para receber atendimento.

3. Gerenciar correções baseadas em risco

As instituições se concentram, na maioria das vezes, apenas na segurança. No entanto, deveriam prestar atenção mais no risco, garante George, da Centrify.

Quando as empresas não têm uma visão dos riscos em seus sistemas, fica mais difícil priorizar os esforços para mitigar essas falhas. Por isso, o gerenciamento de vulnerabilidade baseada em risco é aconselhado, porque leva em consideração as ameaças, as brechas e os impactos nos negócios.

Portanto, para instituições do setor da saúde, os sistemas que apresentam um alto impacto nos negócios, como ventiladores, tomógrafos e aparelhos de raio X, bem como aqueles que mantêm informações de saúde protegidas, devem ter prioridade na correção de vulnerabilidades.

Entretanto, por onde começar? A Agência de Segurança Cibernética e Infraestrutura (CISA) e o FBI fizeram uma lista de 10 vulnerabilidades comuns que devem ser priorizadas.

4. Executar uma mesa redonda sobre incidentes de ransomware

Na visão de Corman, da CISA, um debate sobre ransomware não precisa acontecer depois de uma instituição sofrer um ataque. O consultor aconselha a realização de uma simulação, semelhante as de incêndio, com etapas específicas a serem executadas.

O tipo de exercício e a periodicidade vão depender do tamanho da organização. “As menores podem se concentrar em coisas básicas, como conscientização de segurança, backups e patches”, diz Jeff Wilbur, diretor sênior de confiança online da Internet Society.

Porém, o executivo acrescenta que “sejam as instituições grandes ou pequenas, elas vão querer fazer exercícios com frequência, concentrando-se em sistemas específicos a cada mês ou trimestre e deixando grandes exercícios uma vez por ano.”

5. Instalar bons sistemas de backup

Ter o backup dos dados é bom para qualquer situação, ainda mais com ataques ransomware sofisticados. Afinal, se o sistema for invadido e os dados criptografados por um criminoso, ele vai perder vantagem se você consegue restaurar a partir do ponto momentos antes da invasão.

Entretanto, George, da Centrify, ressalta que as companhias precisam ir além: “elas devem testar seus sistemas de backup regularmente para garantir que estejam funcionando”. Por sinal, leia um artigo sobre como um backup dos dados na nuvem é seguro e importante. Clique aqui.

Outro ponto levantado por George é a exfiltração de dados. Nessa técnica, cibercriminosos transferem, de forma não autorizada, os dados armazenados em um sistema. Para o setor da saúde, com tantos dados sensíveis, essa deve ser uma preocupação.

Apesar do backup garantir a continuidade das operações, as instituições não estão isentas desse risco e de ver seus dados publicados on-line.

Para minimizar esse risco de exfiltração de dados, as organizações devem aplicar medidas preventivas, como treinamento de conscientização, lista de permissões de aplicativos, gerenciamento de patches, filtros de spam, antimalware e privilégios mínimos.

6. Seguir uma abordagem baseada em acesso privilegiado

As instituições de saúde também precisam ajustar suas estratégias de segurança para corresponder às ameaças modernas. Isso significa também rever quais pessoas têm acesso aos sistemas e qual o nível delas a essas informações.

Por exemplo, por que um colaborador da área de Recursos Humanos teria dados específicos de um paciente (data de internação, diagnóstico, tratamento e remédios receitados)? Uma abordagem de privilégio mínimo manteria essas informações mais seguras.

Impor “zonas de acesso” é uma prática aconselhada por George, da Centrify. Assim, um colaborador terá o acesso restrito a sistemas que não são de uso dele durante o expediente. Isso dificulta o sucesso de um ataque ransomware, porque algumas áreas vão exigir uma verificação adicional de usuário.

Em seguida, as empresas devem fornecer aos usuários privilegiados permissões para os recursos necessários para eles trabalharem. Finalmente, as organizações devem implementar fluxos de trabalho de solicitação e aprovação de acesso, para saber quem, quando, onde, como e por que esses acessos foram concedidos ou aprovados.

7. Comprar dispositivos IoT com segurança comprovada

Há um número incontável de dispositivos médicos que verificam tudo, desde o número de passos que as pessoas percorrem até a pressão arterial e os batimentos cardíacos.

Para o time de segurança em hospitais e consultórios médicos, “é necessário selecionar os dispositivos para pacientes que atendam aos requisitos médicos do especialista, mas o façam de maneira segura”, diz Wilbur, da Internet Society.

Os dispositivos da Internet das Coisas (IoT) são famosos por virem com senhas padrão, sem criptografia e muitos sem atualizações de software. Entenda neste artigo a importância de prestar atenção na segurança de ecossistemas de IoT. Leia aqui.

A adoção de coisas inteligentes vai exigir um trabalho mais próximo entre médicos, enfermeiros e TI para que os dispositivos recomendados também tenham a segurança como pilar. No Brasil, a Anvisa publicou o guia “Princípios e práticas de cibersegurança em dispositivos médicos”.

O documento quer garantir o uso seguro de dispositivos médicos em toda a cadeia: médicos, pacientes, fabricantes, distribuidores e outros atores. O guia pode ser acessado gratuitamente neste link.

Com essas etapas, instituições do setor da saúde conseguem ter uma visão mais transparente de seus sistemas e entender quais medidas serão necessárias para mitigar possíveis ataques, ao mesmo tempo que consegue acompanhar a sofisticação deles.

Principais destaques desta matéria

  • Ransomware e tecnologia legada são as principais ameaças de empresas do setor da saúde.
  • Porém, instituições encontram dificuldade em identificar onde há brechas de segurança.
  • Confira 7 dicas de especialistas que vão ajudar a planejar a cibersegurança dos ativos de empresas do setor.

Compartilhe:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *