A pandemia evidenciou a vulnerabilidade dos hospitais. Segundo o relatório IBM X-Force Threat Intelligence Index, o aumento da demanda por serviços de saúde chamou a atenção do cibercrime. Mas o problema da segurança da informação na área da saúde começou já faz tempo.
Há indícios de que a primeira vítima fatal de ransomware tenha sido um recém-nascido nos Estados Unidos em 2019. O Springhill Medical Center foi alvo de um ataque em julho daquele ano, todo o sistema hospitalar foi desligado e os atendimentos permaneceram à moda antiga por alguns dias.
Se a tecnologia contribui para a otimização das operações hospitalares, com o acesso ao histórico médico dos pacientes, o monitoramento constante e a maior integração entre a equipe médica, sua falta pode representar um completo colapso do serviço.
Em função da falta dos dispositivos de controle e cuidado usados normalmente pelos médicos e enfermeiros, a obstetra responsável não foi notificada dos sinais de alerta no monitor cardíaco que indicavam que o bebê estava com o cordão umbilical enrolado em seu pescoço e seguiu com o parto normal.
O recém-nascido teve problemas cerebrais graves e faleceu nove meses depois do nascimento. Segundo uma matéria veiculada no Wall Street Journal, o hospital está sendo processado pela família, que entende que a morte poderia ter sido evitada se o sistema estivesse funcionando corretamente.
Embora o hospital tenha sido vítima de cibercrime, medidas de segurança poderiam ter garantido a proteção de dados e um plano de resposta em caso de incidentes poderia ter salvado uma vida. O julgamento do caso narrado está marcado para 2022, é possível que o hospital Springhill seja condenado por negligência médica.
Mesmo com o conhecimento dos perigos de ataques virtuais, o aumento das internações por covid-19 no ano passado impulsionou o número de casos de ciberataques. Segundo a Coveware Inc., empresa que ajuda a negociar resgates, o setor da saúde foi o mais atacado por esse crime no último trimestre de 2020. No ranking anual, hospitais aparecem como o sétimo setor com maior incidência de ataques.
Prejuízos bilionários
Economizar em cibersegurança hospitalar pode custar muito caro. Estimativas do relatório da Infoblox sugerem que, em 2021, o prejuízo total associado ao malware atingiu US$ 20 bilhões em todo o mundo. Inclusive, publicamos um artigo sobre novos grupos de ransomware ameaçando os hospitais.
Atualmente, os custos de recuperação do sistema são em média dez vezes maiores do que o pagamento do resgate. Mesmo quando o hospital decide pagar os criminosos, é preciso estruturar uma nova rede, novos protocolos, o que é custoso e pode demorar meses.
Além disso, os pacientes são os mais prejudicados. No caso do ataque aos Serviços Universais de Saúde (UHS) em setembro de 2020, as operações hospitalares ficaram comprometidas. Vários exames não puderam ser realizados, cirurgias foram adiadas, houve perda de registros médicos e, claro, um aumento da possibilidade de erro dos profissionais da saúde.
Em dezembro de 2020, o Ministério da Saúde do Brasil foi o alvo da vez, e mais de 240 milhões de dados do SUS foram roubados. Sabe como os hackers mal intencionados atuam?
Para roubar informações, os criminosos precisam se mover na rede e estudá-la para descobrir onde os dados essenciais estão. Isso é feito por meio do movimento lateral, ou seja, de uma máquina (ou servidor) para outra. Normalmente, eles usam credenciais diferentes, roubadas de várias máquinas na rede.
Assim, uma maneira de diminuir a vulnerabilidade do hospital e fortalecer a segurança da informação é parando o movimento lateral com a micro segmentação de rede. Muitos especialistas evitam a segmentação porque, até pouco tempo atrás, ela era feita com um grau de complexidade que dificultava o trabalho da engenharia clínica.
Atualmente, existem programas específicos que facilitam a segmentação de rede ao permitirem a criação de “silos de rede” entre servidores, aplicativos, sistemas operacionais diferentes, instâncias de nuvem, etc, o que reduz drasticamente sua vulnerabilidade.
Seu hospital está seguro?
O avanço da tecnologia permitiu uma evolução das técnicas e procedimentos médicos, mais precisão nos diagnósticos e aumento no número de atendimentos diários. Afinal, os equipamentos de alta tecnologia para hospitais ajudam no tratamento, monitoramento, reabilitação e promoção da qualidade de vida dos pacientes.
Esses aparelhos são conectados e integram dados dos pacientes, ao Big Data e Cloud Computing, por exemplo, para armazenagem e apontamentos estratégicos. Isso foi muito útil durante a pandemia de covid-19, com destaque para as UTIs conectadas e a integração de dados médicos, como a Rede Nacional de Dados em Saúde (RNDS).
No entanto, a conectividade dos aparelhos hospitalares é, também, um dos principais pontos de entrada de cibercriminosos, já que a segurança das informações não é o foco dos desenvolvedores.
Em geral, a segurança dos dispositivos médicos não faz parte da estratégia geral de cibersegurança na área médica. Além de ponto de acesso para uma invasão de toda a rede, esses aparelhos contêm dados pessoais de pacientes.
A cibersegurança hospitalar envolve todos os equipamentos, além dos computadores e dispositivos pessoais conectados. Ela deve ser pensada de forma a diminuir vulnerabilidades digitais, garantir a conformidade legal da instituição e a proteção de dados. Hoje, as multas previstas na LGPD para vazamento de informações pessoais podem chegar a R$50 milhões de reais.
Mudanças que podem garantir a segurança de dados dos hospitais:
- Gerenciamento de acessos: os equipamentos médicos precisam ser acessíveis de forma fácil e rápida pelos profissionais da saúde. Mesmo assim, a equipe de engenharia clínica pode limitar o acesso de pessoas não autorizadas com o auxílio de uma ferramenta de gerenciamento de acessos.
- Zero Trust: política de confiança zero que avalia cada conexão de maneira individual. Todos os usuários são considerados suspeitos e ajustes em relação aos direitos de acesso e outros privilégios são feitos com base em uma avaliação. Pode usar inteligência artificial para melhorar a qualidade da avaliação e não sobrecarregar os engenheiros clínicos.
- Visibilidade da rede: ter o inventário de equipamentos médicos automatizado em tempo real para detectar anomalias com mais facilidade.
- Plano de resposta ao incidente: tendo um inventário de equipamentos e um gerenciamento de acessos, é possível estabelecer um plano para diminuir o tempo de resposta em caso de invasão e evitar que o invasor tenha tempo de acessar dados confidenciais.
Garantir a cibersegurança na área da saúde é uma tarefa complexa porque o fluxo de trabalho não pode ser prejudicado. A Compugraf tem soluções que permitem o funcionamento dos equipamentos sem prejuízo de desempenho, facilitando a detecção de riscos e garantindo a privacidade de dados.
Desenvolvemos um ebook com mais informações para ajudar você a entender e reduzir o nível de vulnerabilidade do seu hospital. Saiba mais aqui.
