Caso de uso
Saúde
Pelo 11º ano consecutivo, o mercado de saúde tem os maiores custos médios de violação de dados
Os custos de violação de dados no setor de saúde aumentaram de um custo total médio de US$ 7,13 milhões em 2020 para US$ 9,23 milhões em 2021, um aumento de 29,5%
Um alvo atraente
O setor de saúde foi alvo de centenas de ataques cibernéticos em 2021. A violação de dados relata a exposição de dezenas de milhões de registros de saúde a partes não autorizadas.
Violações de dados em massa causam ataques de ransomware. Os hospitais são alvos perfeitos, pois possuem grandes quantidades de dados que os cibercriminosos podem criptografar e defesas fracas para evitar ataques. Os hackers tendem a atacar o mercado de saúde, pois o setor lida com dados confidenciais considerados valiosos no submundo do crime cibernético.
Um ataque de ransomware envolve invadir uma rede, criptografar seus dados e exigir um resgate. Normalmente é pago com criptomoeda para desbloqueá-lo.
São inúmeros os ataques contra hospitais, planos de saúde, laboratórios farmacêuticos e outros prestadores de serviços nessa área, em diversos países:
- Utah Imaging Associates (UIA): uma violação de dados afetou 582.170 pessoas, expondo suas informações pessoais.
- Registros médicos altamente confidenciais vazaram, incluindo detalhes de abortos, testes de HIV e problemas de saúde mental após um ataque cibernético sofrido pelo NHS, o Serviço Nacional de Saúde Britânico.
- Um ataque maciço de ransomware atingiu nove hospitais e instituições de saúde em Israel, interrompendo a continuidade do serviço.
- Hackers violaram o sistema de saúde do Departamento de Saúde da Flórida (DOH-Broward), expondo dados de mais de 1,3 milhão de pessoas que usaram seus serviços.
- Grupo Fleury no Brasil, alvo de ataque cibernético, causando paralisação de sistemas por vários dias, afetando clientes e hospitais.
Além da fragilidade da Segurança da Informação no setor de saúde, inúmeras ocorrências têm origem nas cadeias de suprimentos, mostrando o quanto hospitais e organizações de saúde estão vulneráveis a ataques de hackers. Em relação aos casos acima, dois deles resultaram de ataques à cadeia de suprimentos:
- Stor-A-File, uma empresa britânica de armazenamento de dados cujos clientes incluem consultórios médicos, fundos de hospitais, conselhos locais, escritórios de advocacia e contadores, foi a fonte do ataque que resultou em um vazamento de dados do NHS.
- No caso do DOH-Broward, os invasores acessaram redes de computadores por meio de um provedor médico terceirizado.
Os regulamentos podem ajudar, mas não são suficientes
Nos EUA, a regra de notificação de violação sob o Health Insurance Portability and Accountability Act (HIPAA) exige que as organizações de saúde divulguem uma violação se ela afetar mais de 500 residentes de um estado ou jurisdição. De acordo com a HIPAA, estima-se que 45 milhões de registros de saúde foram expostos ou roubados em violações relatadas somente em 2021.
Um residente da Flórida entrou com uma ação contra a UF Health Central Florida depois que uma violação de dados potencialmente expôs as informações de mais de 700.000 pessoas. Ele acusou o sistema de não proteger adequadamente as informações de identificação pessoal dos usuários do sistema de saúde.
Os líderes de TI afirmam que a segurança é uma das principais prioridades das organizações. No entanto, o nível de ameaça evoluiu e se intensificou, assim como os métodos utilizados e a sofisticação dos ataques dos cibercriminosos. Ainda assim, por parte dos Conselhos e demais diretores, ainda há o entendimento de que segurança significa custo e não investimento que possa evitar esse tipo de ocorrência, garantindo a continuidade dos negócios e protegendo os interesses dos acionistas e demais stakeholders.
Os ataques de ransomware levaram os Conselhos de Administração e executivos de hospitais a investir mais em recursos humanos, aumentando o orçamento para enfrentar os desafios de segurança cibernética. A mudança de mentalidade em Segurança da Informação em Conselhos, que não possuem a mesma experiência em tecnologia que na área técnica, está evoluindo rapidamente. Essa mudança se deve a vazamentos de dados, cenários de ameaças e paralisação de operações, devido ao potencial de danos causados por ataques a dispositivos médicos conectados às suas redes.
De março de 2020 a setembro de 2021, 82% dos hospitais sofreram ataques cibernéticos direcionados a dispositivos IoT. Mesmo com baixos impactos, esses ataques podem ser altamente destrutivos. As tendências recentes em ataques cibernéticos enfatizam a necessidade inevitável e urgente de fortalecer as estruturas de segurança cibernética nas organizações de saúde.
Essas ameaças sugerem uma metodologia de segurança unificada para TI e OT. Ele deve se defender contra a evolução de cenários perigosos, abordando-os e eliminando pontos vulneráveis.
Zero Trust: para elevar o nível
A adoção do conceito de arquitetura Zero Trust é um caminho que tende a gerar resultados positivos. No conceito Zero Trust, nenhuma confiança é assumida em redes, dispositivos ou usuários, implantando uma autenticação de usuário permanente em tempo real.
Uma pesquisa da Symmetry Systems e da Osterman Research divulgou um relatório de 125 tomadores de decisão de TI e segurança em organizações de médio e grande porte detalhando como planejam implantar a arquitetura Zero Trust: 53% dos entrevistados citaram o ransomware como seu motivador central. Os executivos que participaram da pesquisa dizem que uma arquitetura baseada no Zero Trust pode aumentar as proteções de segurança cibernética para evitar violações de dados em até 144%.
A transformação digital evidenciada pela hiperconectividade devido ao aumento do número de dispositivos móveis, serviços em nuvem e trabalho remoto desafia o conceito Zero Trust, aumentando sua complexidade de adoção.
O caso brasileiro
As primeiras ações visam alguns métodos usuais para realizar um ataque. A adoção da autenticação sem senha, garantindo o não repúdio do usuário, evita uma das principais vulnerabilidades de segurança: o roubo de credenciais por meio de ataques de phishing e malware. Esse método permitirá que médicos, enfermeiros e outros profissionais de saúde acessem o portal do hospital sem usar senhas.
O hospital implementará um método semelhante para que os pacientes possam acessar seus exames no futuro, mitigando ainda mais os riscos de segurança e melhorando a usabilidade, pois não haverá mais a necessidade de usar senhas.
Diante desse cenário desafiador, que tende a se agravar nos próximos anos, o maior hospital do Sul do Brasil adotou o Zero Trust.
Os profissionais de TI acessarão ativos críticos (servidores, sites, bancos de dados, serviços em nuvem e muito mais) em uma interface única e segura. Os usuários acessam apenas os sistemas necessários para realizar suas atividades e não terão acesso às credenciais dos sistemas. Esta solução evita o acesso a sistemas e dispositivos fora da Critical Asset Management Platform. Em uma configuração de segurança mais robusta para sistemas com alto grau de criticidade, pode-se configurar o acesso exclusivo pela Plataforma, evitando assim outros tipos de ataque como DDoS (distributed Denial-of-Service).
Qualquer acesso aos sistemas, independentemente de onde estejam (no escritório ou remotamente), passa por um túnel seguro. Elimina outro risco potencial da VPN (Virtual Private Network), vulnerável e utilizada em diversos ataques recentes. Além disso, reduz a redução de custos pela sobrecarga do gerenciamento de VPN.
A plataforma também possibilita o gerenciamento de rede OT, especialmente novos equipamentos e dispositivos IoT que exigem conexão com a internet. O processamento de dados em um sistema de TI crítico deve ser o mesmo de um equipamento hospitalar, pois, cada vez mais, esses dois mundos começam a coexistir para atender a demanda de transformação digital por meio de uma plataforma única e integrada, facilitando a gestão.
A arquitetura Zero Trust não se restringe apenas aos funcionários do hospital, mas também a toda a cadeia de suprimentos que, de alguma forma, precisa acessar sistemas de TI e equipamentos hospitalares. A cadeia constitui um dos principais problemas, expondo a vulnerabilidade de sua rede naquele ponto.
Além da segurança robusta, a implantação da arquitetura Zero Trust também atende à conformidade com o Regulamento Geral de Proteção de Dados. Ele audita todas as ações por meio de logs, keylogging e gravação de sessões de vídeo, permitindo o rastreamento em sistemas corporativos.
Segurança cibernética:
Um ciclo contínuo
A promoção de uma cultura de cibersegurança, como implementações técnicas, não importa e não pode ser deixada apenas para a TI, mas deve fazer parte da diretriz da organização institucional como um todo e parte de um ciclo contínuo.
A Lei Geral de Proteção de Dados, em suas linhas, obrigou ao correto manuseio e armazenamento de dados sensíveis, tornando-os uma tendência internacional. Sem dúvida, aumenta a proteção de dados de saúde.
Os hospitais guardam informações sensíveis em arquivos, prontuários, exames laboratoriais e de imagem e relatórios diversos, exigindo a adoção de soluções de cibersegurança robustas o suficiente para proteger os direitos dos pacientes e demais interessados, mitigando os riscos associados ao desempenho de suas atividades .
Nos casos mencionados acima, em que as violações e vazamentos de dados continham informações desse tipo, podemos estimar o potencial disruptivo – em termos financeiros e reputacionais – que seu uso indevido poderia causar às instituições de saúde que controlam esses dados. Não importa quando em seus sistemas ou nos provedores de serviços.
Além disso, a Lei Geral de Proteção de Dados determina sanções para o controlador que não mantiver corretamente os dados pessoais de acordo com suas disposições. O regulamento elenca medidas punitivas desde advertência até penalidades até a descontinuidade compulsória dos negócios da organização que desrespeitem seus mandamentos.
Assim, as organizações de saúde devem aderir a soluções que evitem violações e vazamentos de dados. Tal tecnologia deve fortalecer a autenticação de sistemas e dispositivos, protegendo os dados dos pacientes e seu fluxo.
A área de saúde deve adotar medidas técnicas e administrativas seguindo as melhores práticas de Segurança da Informação, utilizando criptografia de dados na fonte, para manter o anonimato e fortalecer a Governança de Dados fomentada pela Lei Geral de Proteção de Dados.
As medidas técnicas visam preservar as operações, proteger dados e serviços de saúde e adequá-los às melhores práticas e políticas de Segurança da Informação. Também garante a conformidade com os regulamentos de proteção de dados pessoais, como o General Data Protection Act e os recentes regulamentos de dados de IoT nos EUA e no Reino Unido. Infelizmente, não há regulamentação semelhante no Brasil, mas em breve deve ocorrer, pois a LGPD seguiu o GDPR.
Retorno do investimento com confiança zero
Reduzindo o risco de violação de dados
Reduzir o risco de violação de dados pode chegar a até 50%
Economia
Em empresas de médio e grande porte, a economia pode chegar a US$ 20 por funcionário por mês. A Auditoria Avançada pode reduzir em até 25%.
Eficiência
As chamadas de suporte técnico podem ser reduzidas em até 50%. A agilidade para entregar nova infraestrutura pode ser reduzida em até 80%.
GDPR – Visão geral de multas e penalidades
2020
€ 1.240.000
Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação
2021
€ 107.000
Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação
2022
€ 152.000
Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação
Como funciona?
1 Acabar com o uso de senha no app mobile
2 Acabar com o uso de login e senha na WEB
3 Validação da transação através de chave criptográfica
4 Criptografia dos dados na origem
4 Transação poderá ser assinada com a chave privada