Um foco crescente na segurança cibernética de serviços de saúde está surgindo porque o setor de saúde é conhecido entre os criminosos cibernéticos por ser um alvo lucrativo. Isso ocorre porque registros de pacientes, dados de pesquisa e propriedade intelectual podem trazer muito dinheiro na dark web.
Embora os dados financeiros roubados normalmente tenham uma vida útil mínima, as informações pessoais de saúde (PHI) são para sempre. As vítimas podem obter um novo cartão de crédito após uma violação, mas não podem alterar seu tipo sanguíneo ou seu histórico médico. Esse fato por si só aumenta o valor das informações pessoais de saúde para ladrões cibernéticos, que podem manter a informação como pedido de resgate ou vendê-la a terceiros muito depois de ter sido roubada.
Isso não quer dizer que os criminosos cibernéticos estejam ignorando oportunidades de roubar dinheiro de organizações de saúde. Os serviços de saúde representam quase um quinto da economia dos EUA, com grandes somas se movendo eletronicamente todos os dias entre várias partes e organizações – planos de saúde, provedores, fornecedores e pacientes. Pode ser necessário apenas um elo fraco na cadeia para criar uma oportunidade para os agentes de ameaças atacarem.
O setor de saúde vem passando por uma transformação para soluções na nuvem para tudo, desde faturamento até opções remotas de atendimento ao paciente, portais online para pacientes e muito mais. Embora ofereçam eficiência e escalabilidade, também aumentam os riscos associados não apenas à criminalidade cibernética, mas também a eventos de divulgação inadvertidos que podem expor volumes de dados confidenciais.
Os dispositivos médicos estão se tornando cada vez mais interconectados, aumentando assim a superfície de ataque na qual os criminosos podem obter acesso a dados confidenciais ou até mesmo interromper o atendimento ao paciente. Essa proliferação de dispositivos de IoT, juntamente com as ferramentas e técnicas cada vez mais sofisticadas que os agentes usam, significa que os profissionais de saúde precisam proteger mais equipamentos do que nunca – e os desafios nunca foram maiores. O gerenciamento adequado da segurança cibernética na área da saúde requer um parceiro com experiência e conhecimento únicos, saiba mais sobre a Unit 42 agora.
Dado o que eles fazem, hospitais, consultórios médicos e outras organizações de saúde podem menos se dar ao luxo de experimentar interrupções em sistemas e redes essenciais. Como eles dependem cada vez mais do intercâmbio eletrônico de dados, o tempo de inatividade do sistema não só resulta em custos enormes, mas também pode trazer atrasos no acesso a informações críticas de saúde do paciente e manter os serviços que salvam vidas funcionando sem problemas.
A Lei de portabilidade e responsabilidade de seguros de saúde (Health Insurance Portability and Accountability Act - HIPAA) atribui responsabilidade adicional às organizações de saúde para proteger as informações eletrônicas pessoais de saúde dos indivíduos que recebem, usam ou mantêm. A Regra de Segurança da HIPAA exige proteções administrativas, físicas e técnicas apropriadas para garantir a confidencialidade, integridade e segurança das informações eletrônicas de saúde protegidas. Se as organizações de saúde perderem o controle de seus dados, elas são obrigadas a notificar os indivíduos afetados, o governo federal e, em certas circunstâncias, a mídia.
Embora concentrem seu tempo, atenção e recursos na resposta à COVID-19, as organizações de saúde têm visto aumentos nos ataques de segurança cibernética à medida que os agentes de ameaças buscam explorar a emergência. Desde o início da pandemia, houve um aumento significativo nos e-mails de phishing e na distribuição de malware usando a COVID-19 como isca. Enquanto isso, as agências de inteligência relataram que os hackers estão usando malware e sofisticados e-mails de phishing para tentar obter acesso à pesquisa de vacinas e informações sobre cadeias de suprimentos médicos.
A Unit 42 aplica as diretrizes e requisitos da HIPAA para avaliar a postura geral de segurança de uma organização, considerando seus funcionários, processos e tecnologias em uso para proteger a organização e seus ativos. Obtemos uma compreensão do cenário de segurança cibernética, mapeando onde as informações pessoais de saúde e outros dados confidenciais residem e como são armazenados e transmitidos. Também revisamos a documentação existente e fazemos recomendações com base nos padrões do setor de saúde, bem como conduzimos entrevistas com as partes interessadas para obter informações sobre infraestrutura, operações, capacidades, processos e práticas gerais de segurança cibernética em toda a organização. Nossa avaliação HIPAA inclui recomendações detalhadas para remediar as deficiências ou lacunas identificadas na segurança, bem como um roteiro de implementação estratégica detalhando como as deficiências identificadas podem ser abordadas, incluindo o nível percebido de esforço e os custos estimados.
A Unit 42 oferece avaliações direcionadas e serviços técnicos de segurança cibernética para testar e avaliar a postura de segurança cibernética e a resiliência cibernética geral, e para verificar se os controles de segurança estão funcionando de forma ideal e eficiente. Isso inclui testes de intrusão – onde simulamos um ataque do mundo real para avaliar a força de suas contramedidas e identificar vulnerabilidades ocultas – testes de aplicativos da web e móveis, avaliações de segurança direcionadas de suas configurações atuais, exercícios de phishing e exercícios teóricos que incluem cenários personalizados com base em ameaças específicas do setor de saúde.
A proteção começa com o início de defesas e a implementação de recursos de monitoramento contínuo para garantir a prestação de serviços de infraestrutura crítica. Os exemplos incluem a identificação de gerenciamento e controle de acesso, a realização de treinamento de conscientização de risco cibernético para os funcionários e a implementação de processos e procedimentos de proteção da informação. Isso envolve monitorar os desenvolvimentos e eventos de segurança cibernética para verificar a eficácia das medidas de proteção.
A equipe de resposta a incidentes da Unit 42 está pronta a qualquer momento para ajudar as organizações de serviços de saúde a investigar, erradicar e se recuperar de ataques de ransomware, bem como de comprometimento de e-mails comerciais, divulgações inadvertidas de dados e outros tipos de incidente. Nossa missão é interromper imediatamente o ataque, expulsar o intruso, restaurar os sistemas e colocar as operações on-line novamente o mais rápido possível, ao mesmo tempo em que aproveitamos as soluções de análise de dados para investigar a extensão da exposição dos dados pessoais de saúde à luz das obrigações da HIPAA.
FALE CONOSCO
Em breve, um especialista da Palo Alto Networks entrará em contato com você. Esperamos conversar com você em breve!