[Infográficos] Riscos de TI para a Indústria da Saúde: Expectativas vs. Realidade

Netwrix realizou sua 2018 IT Risks Survey para saber mais sobre como as organizações lidam com seis riscos comuns de TI: danos físicos, roubo de propriedade intelectual, perda de dados, violações de dados, interrupção do sistema e penalidades de conformidade. Extraímos alguns dados interessantes compartilhados por 140 organizações de saúde para aprender mais sobre como a indústria percebe suas ameaças. Principalmente, estávamos ansiosos para descobrir se as expectativas sobre esses riscos correspondem à realidade — ou seja, se os incidentes que mais preocupam as organizações são os mesmos que eles experimentaram ao longo do ano, e se os atores de ameaças que eles temem são realmente responsáveis pelos incidentes reais.

Para ilustrar o quão perigosos esses riscos de TI podem ser para empresas em todo o mundo, decidimos apoiar os resultados da pesquisa com exemplos reais de como eles afetaram organizações de saúde.

Dano físico

Danos físicos são quaisquer danos aos ativos de hardware de uma organização, como seus servidores, laptops e network devices. Ameaças que levam a danos físicos incluem desastres naturais, ambiente de armazenamento inadequado, manutenção de hardware insuficiente ou manuseio descuidado, erros dos funcionários e ataques intencionais por hackers. Para organizações de saúde, danos físicos podem levar à perda de informações pessoais de saúde protegidas (PHI), interrupções do sistema e incapacidade de fornecer serviços médicos. Em alguns casos, danos físicos são uma ameaça direta à vida e ao bem-estar dos pacientes: se equipamentos críticos estiverem fora de ordem, os pacientes podem não receber o nível de cuidado que urgentemente necessitam.

A pesquisa revela que, no geral, as expectativas correspondem à realidade quando se trata de danos físicos. As organizações de saúde consideram falhas de hardware como a ameaça de segurança mais perigosa, e de fato são o tipo de incidente que as organizações mais experimentaram no último ano. No entanto, há uma lacuna entre os atores de ameaças que as organizações consideram perigosos e os atores de ameaças responsáveis por incidentes reais. A maioria (61%) das organizações vê os funcionários que estão de saída como a maior ameaça, enquanto na realidade, são os usuários regulares que são responsáveis pela maioria dos incidentes (58%); ex-funcionários insatisfeitos ficam bem atrás, em terceiro lugar (23%).

Estudo de caso: Hospital de Port Shepstone em chamas

Em maio de 2017, ocorreu um incêndio no Port Shepstone Provincial Hospital na África do Sul. O fogo começou na sala de servidores de TI, destruindo computadores e outros equipamentos. 200 pacientes tiveram que ser transferidos para outros hospitais da região, e vários serviços do hospital (por exemplo, operações eletivas de olho) ficaram temporariamente indisponíveis. Um porta-voz do município, Simon April, disse que o hospital pode ter perdido dados armazenados em seus servidores também: “Considerando que a sala de servidores é o ponto central onde as informações são mantidas, é possível que informações tenham sido perdidas, a menos que eles tenham algum sistema de back-up.”

Roubo de propriedade intelectual

A propriedade intelectual (PI) inclui informações extremamente sensíveis que são protegidas por leis de direitos autorais, marcas registradas ou segredos comerciais; casos em que uma pessoa rouba ou usa indevidamente esses ativos intencionalmente são chamados de roubo de propriedade intelectual. O risco de roubo de PI é uma preocupação particular para empresas farmacêuticas envolvidas na pesquisa e desenvolvimento de novos medicamentos. Como essa pesquisa é extremamente valiosa e a rivalidade entre as empresas farmacêuticas é intensa, não é surpresa que frequentemente vemos notícias sobre hackers ou insiders que roubaram ou tentaram roubar PI para ganho financeiro ou vingança.

O roubo de propriedade intelectual pode ser motivado pela concorrência entre corporações, e também pode ser realizado por hackers e insiders mal-intencionados. Em qualquer caso, as consequências potenciais para organizações de saúde incluem a perda de vantagem competitiva, desaceleração no crescimento dos negócios e perda de planos altamente valiosos relacionados ao desenvolvimento de medicamentos.

A pesquisa revela que as organizações de saúde nem sempre compreendem quais atividades representam uma ameaça à sua propriedade intelectual. No geral, 70% das empresas afirmaram temer a extorsão cibernética, mas os erros humanos foram na verdade responsáveis pela maioria dos incidentes no último ano que afetaram a propriedade intelectual das organizações de saúde; a extorsão cibernética ficou em quarto lugar. Embora o roubo de propriedade intelectual seja frequentemente associado a intenções maliciosas, os erros humanos são mais propensos a levar à perda de segredos comerciais valiosos, patentes e outros dados sensíveis. Por exemplo, membros negligentes da equipe de TI podem conceder direitos de acesso excessivos a funcionários descontentes que estão secretamente prontos para sair, e usuários comuns podem cometer erros como clicar em um link de phishing que baixa malware, colocando a propriedade intelectual em perigo.

No que diz respeito a agentes de ameaças, as expectativas correspondem à realidade. Os resultados mostram que as organizações de saúde compreendem plenamente quem é mais perigoso para elas — são os funcionários que estão de saída que causam mais problemas na realidade e de quem as organizações têm medo.

Estudo de caso: Ex-funcionários da GlaxoSmithKline roubam segredos comerciais

Em 2016, cinco pessoas, incluindo dois ex-cientistas de pesquisa do gigante farmacêutico GlaxoSmithKline (GSK), foram acusadas nos EUA de conspirar para roubar segredos comerciais e vendê-los na China. De acordo com os promotores, os dois cientistas enviaram dados confidenciais sobre uma dúzia ou mais de produtos da GSK para seus associados, que planejavam comercializar os segredos comerciais por meio de uma empresa que eles estabeleceram na China e entrar em concorrência direta com a GSK. Os dados roubados envolviam informações sobre o desenvolvimento de vários produtos biofarmacêuticos, bem como informações sobre pesquisa, desenvolvimento e fabricação de produtos biofarmacêuticos pela GSK. Em 2018, ambos os cientistas se declararam culpados de cometer roubo de propriedade intelectual, mas o valor exato do dano financeiro ainda precisa ser calculado.

Perda de dados

A perda de dados geralmente ocorre quando as informações são destruídas por falhas durante o armazenamento, processamento ou transmissão. A perda de dados pode ser deliberada (por exemplo, apagamento, sequestro de sessão, infiltrações de malware e explorações de IoT), ou resultado de erros humanos. Outro cenário é quando um dispositivo portátil com acesso a dados sensíveis é perdido ou roubado. As consequências de tais incidentes para organizações de saúde podem ser graves. Se os dados extremamente sensíveis de seus clientes e funcionários, que incluem informações pessoais, dados financeiros e resultados de exames clínicos, acabarem nas mãos erradas, podem ser usados para ataques de phishing, chantagem ou fraude. Mesmo que os dados dos pacientes sejam perdidos em vez de roubados, procedimentos vitais de saúde podem ser atrasados e decisões importantes podem ser menos bem informadas. Em qualquer dos casos, a empresa pode experimentar perda de lealdade do cliente, diminuição da velocidade dos negócios ou até mesmo falência.

A perda de outros tipos de dados também é uma grande preocupação para organizações de saúde. Por exemplo, se uma empresa farmacêutica perde informações sobre ensaios clínicos, ela pode ter que começar todo o processo de pesquisa e desenvolvimento novamente e, portanto, falhar em lançar um novo produto antes de um concorrente. Em última análise, a empresa pode perder sua vantagem competitiva e participação no mercado, além do tempo e dinheiro gastos para reproduzir os dados.

Os resultados da pesquisa indicam que a maioria das organizações de saúde teme apagamentos intencionais, enquanto na verdade elas precisam prestar mais atenção aos erros humanos, que são a verdadeira causa número um de incidentes envolvendo perda de dados. Apagamentos intencionais nem sequer estão entre os cinco primeiros; foram mencionados por apenas 11% dos respondentes, o que é muito menos do que outras causas de perda de dados (por exemplo, falhas de hardware e dispositivos perdidos/roubados).

No que diz respeito a agentes de ameaças, novamente vemos que as organizações não compreendem totalmente de quem devem ter medo. Elas temem mais os funcionários que estão de saída do que qualquer outro (63%), enquanto na realidade são os usuários comuns do negócio que causam a maior parte das perdas de dados. Mais uma vez, os funcionários que estão de saída podem parecer perigosos, mas eles não estão nem perto de serem líderes entre outros agentes de ameaça — apenas 21% dos respondentes disseram que funcionários em processo de desligamento participaram de incidentes reais.

Estudo de caso: Um centro de câncer no Texas perde grandes quantidades de dados sensíveis

Em 2018, o Departamento de Saúde e Serviços Humanos dos EUA, Escritório de Direitos Civis, anunciou sua quarta maior penalidade por violação da HIPAA, emitida para o University of Texas MD Anderson Cancer Center. O caso decorre de três incidentes em 2012 e 2013: o laptop de um funcionário foi roubado e dois pen drives desapareceram; todos os dispositivos armazenavam informações de saúde protegidas eletronicamente (ePHI) dos pacientes do MD Anderson.

No total, as informações de saúde protegidas (PHI) de 34.883 pacientes foram perdidas e podem ter sido expostas a indivíduos não autorizados. A análise revelou que os dispositivos portáteis contendo ePHI não estavam criptografados, o que foi uma violação direta da HIPAA. Devido à falha em implementar controles de segurança exigidos pela HIPAA, a MD Anderson foi condenada a pagar $4.348.000 em multas.

Violação de dados

Infelizmente, a indústria da saúde não é estranha a violações de dados. Violações que ganharam as manchetes recentemente incluem os incidentes da Premera Blue Cross e da Anthem, ambos em 2015. Uma violação de dados é um incidente de segurança confirmado no qual dados sensíveis, protegidos ou confidenciais são copiados, transmitidos, visualizados, roubados ou utilizados por um indivíduo não autorizado. No caso da indústria da saúde, as violações de dados frequentemente envolvem o comprometimento de PHI, mas alguns casos incluem outros tipos de dados, como informações de pagamento ou informações pessoais identificáveis (PII).

De acordo com o Verizon 2018 DBIR, o padrão de ameaça mais frequente para violações na área da saúde são erros diversos, principalmente na forma de entrega errada e divulgação não intencional. As consequências de uma violação de dados incluem vazamentos massivos de dados extremamente sensíveis, que podem ser facilmente vendidos no mercado negro ou usados para extorsão e fraude, bem como processos de clientes enfurecidos, multas de conformidade substanciais e danos à reputação.

A maioria dos respondentes da pesquisa (68%) nomeou violações de dados como sua principal prioridade entre os riscos de TI. A maioria das organizações de saúde (79%) apontou o compartilhamento de senhas como o padrão de ameaça mais perigoso. Mas, na realidade, a maioria das violações foi causada por erros humanos (24%), como divulgação não intencional ou cliques em links de phishing. As expectativas coincidiram com a realidade em relação aos atores de ameaças, no entanto: usuários regulares são vistos como o principal ator de ameaça e são o principal ator de ameaça na realidade.

Estudo de caso: Premera Blue Cross está no centro do escândalo de violação de dados

Em 2015, a gigante de seguros de saúde Premera Blue Cross revelou que um banco de dados com informações de mais de 11 milhões de clientes foi comprometido durante uma violação em maio de 2014. Um funcionário da empresa foi vítima de um ataque de phishing que permitiu aos hackers instalar malware na rede da seguradora. Em um comunicado público, a Premera disse que os atacantes podem ter obtido acesso a informações clínicas dos clientes, números de contas bancárias, números do Seguro Social, datas de nascimento e mais.

Em abril de 2014, o U.S. Office of Personnel Management (OPM) alertou a Premera que “encontrou inúmeras falhas de segurança durante uma auditoria de rotina dos sistemas da Premera” apenas um mês antes do incidente ser revelado. Como resultado, a Premera Blue Cross enfrentou um processo coletivo substancial, que argumentava que a Premera não protegeu adequadamente as informações pessoais de seus clientes e não os notificou sobre a violação de dados de maneira oportuna. Além disso, de acordo com documentos judiciais revelados em 2018, a Premera é agora acusada de destruir intencionalmente um computador e registros de software que poderiam ter fornecido evidências de que hackers roubaram dados de seus sistemas após o processo coletivo ter sido aberto.

Interrupção do sistema

Uma interrupção do sistema (ou interrupção do serviço) é a falha de certos sistemas em fornecer ou desempenhar sua função primária por um período de tempo. As razões comuns incluem falhas no sistema (incluindo interrupções de energia), desastres naturais, técnicas maliciosas utilizadas tanto por externos quanto por internos (por exemplo, ataques DDoS, sabotagem e ransomware) e erros humanos. Para organizações de saúde, o tempo de inatividade não planejado significa que elas não podem funcionar efetivamente, já que a interrupção pode afetar todos os aspectos de suas operações, desde o atendimento ao paciente até admissões, cadeia de suprimentos e mais. Por exemplo, uma interrupção do sistema pode impedir uma organização que depende de sistemas de registro eletrônico de saúde (EHR) de registrar pacientes, agendar consultas e acessar resultados de exames. Interrupções do sistema também criam problemas para organizações que fornecem assistência médica clínica a pacientes à distância usando TI (telemedicina) e para empresas farmacêuticas, que podem não ser capazes de continuar suas pesquisas e, portanto, perder tempo e dinheiro preciosos.

Mais uma vez, as expectativas não correspondem à realidade aqui. Embora os erros humanos (72%) sejam considerados a principal causa de interrupção do sistema, a maioria dos incidentes é na verdade resultado de falhas de energia (48%); os erros humanos ficam em segundo lugar (45%). E enquanto as organizações de saúde culpam os hackers pela maior parte das interrupções do sistema, relatam que são os membros da equipe de TI os responsáveis pela maioria dos incidentes reais (36%); os hackers ficam para trás em sexto lugar, mencionados por 29% dos respondentes.

Estudo de caso: NHS sofre o maior ataque de ransomware de todos os tempos

Embora o ransomware não tenha sido a principal causa de interrupções reais do sistema, um caso bem conhecido que ilustra as consequências da interrupção do sistema na indústria da saúde está relacionado ao ransomware. Por ter afetado vários hospitais ao mesmo tempo, houve um enorme clamor público. Você adivinhou — é o caso WannaCry NHS no Reino Unido.

Quando o ciberataque WannaCry se espalhou pelo mundo em 2017, o British NHS foi o mais afetado. Hospitais e cirurgias de clínico geral na Inglaterra e Escócia estavam entre pelo menos 16 organizações de serviços de saúde atingidas pelo ataque de ransomware, que usou um malware chamado Wanna Decryptor para criptografar dados. A exigência de pagamentos de $300 a $600 para restaurar o acesso foi o menor dos problemas — o ataque causou grandes interrupções nos cronogramas de cirurgias no Reino Unido. Como o ataque afetou sistemas essenciais, incluindo telefones, os funcionários foram forçados a voltar a usar caneta e papel e seus próprios celulares para as operações diárias. Eles também tiveram que recusar pacientes e cancelar consultas; os pacientes foram aconselhados a procurar cuidados médicos apenas em emergências.

Penalidades de conformidade

As penalidades de conformidade não são exatamente um risco de TI, mas são uma grande preocupação para as organizações de saúde. Os padrões de conformidade tornam-se mais rigorosos e novos surgem regularmente, tornando cada vez mais desafiador aderir a todos os requisitos. As organizações de saúde têm que cumprir não apenas com padrões específicos para a sua indústria (por exemplo, HIPAA e o HITECH Act), mas também com padrões como o PCI DSS se aceitam pagamentos com cartão de crédito. A consequência mais óbvia da não conformidade são multas elevadas: Por exemplo, as multas por violações do HIPAA podem chegar a $50,000, ou até $1.5 milhões para violações recorrentes.

Padrões de conformidade exigem que as organizações comprovem que o PHI e outros dados pessoais de pacientes e funcionários estão totalmente protegidos em todos os momentos. Nossa pesquisa descobriu que as organizações de saúde se consideram 74% preparadas para uma verificação de conformidade inesperada. Cerca de um terço (31%) das organizações diz que planeja aumentar o número de funcionários responsáveis pela conformidade em algum momento; no entanto, outros (24%) dizem que não planejam contratar pessoas adicionais para tarefas de conformidade no futuro.

Estudo de caso: Anthem concorda em pagar o maior acordo de violação da HIPAA na história

Em dezembro de 2014, hackers comprometeram um banco de dados pertencente à Anthem, o segundo maior segurador de saúde dos EUA. O comprometimento não foi descoberto até 27 de janeiro de 2015, após um administrador de banco de dados descobrir suas credenciais sendo usadas para executar uma consulta suspeita. No interim, os hackers roubaram os dados de 78 milhões de membros do plano, incluindo seus nomes, endereços, datas de nascimento, números de identificação médica, informações de emprego, endereços de email e números do Seguro Social.

Em 2018, a Anthem concordou em pagar uma multa de $16 milhões pelo vazamento de dados de 2015 e empreender um robusto plano de ação corretiva para tratar das questões de conformidade descobertas pelo Office of Civil Rights (OCR) durante a investigação. Essa multa é mais do que o triplo do valor recorde anterior de acordo de violação do HIPAA de $5,55 milhões, aplicado contra a Advocate Health Care em 2016.

Resumo e planos futuros

Os resultados da pesquisa mostram que as expectativas das organizações de saúde nem sempre correspondem à realidade. Na verdade, erros humanos ou ações maliciosas por parte dos usuários de negócios geralmente causam mais danos do que infiltrações de malware e outras atividades de hackers.

Violações de dados estão no topo da lista de riscos de TI que mais influenciam a indústria, o que não é uma surpresa, considerando as graves consequências que as organizações têm que enfrentar se sofrerem uma violação de dados. Estas podem envolver litígios, danos à reputação, perda de lealdade do cliente, suspensão ou perda de licença e, claro, danos financeiros — o estudo de 2018 Ponemon Cost of Data Breach Study diz que a indústria da saúde tem o custo per capita de violação de dados mais alto de todas as indústrias (cerca de $408 para cada registro perdido ou roubado).

As organizações de saúde levam esses riscos a sério. Elas planejam aumentar seus investimentos em segurança em 141% no futuro e consideram a detecção de incidentes de segurança como a principal maneira de melhorar a cibersegurança.

Veja a infografia completa com os resultados da Pesquisa de Riscos de TI de 2018 para a indústria da saúde aqui:

FAQ

Como prevenir violações de dados na saúde?

Prevenir violações de dados de saúde requer uma abordagem de defesa em profundidade que começa com a segurança de identidade. A estratégia mais eficaz combina controles de acesso, monitoramento contínuo e planejamento de resposta a incidentes. Implemente princípios de least privilege access – os profissionais de saúde devem acessar apenas os dados dos pacientes necessários para o seu papel específico. Implemente sistemas de monitoramento em tempo real que possam detectar padrões de acesso incomuns, como um enfermeiro de repente acessando centenas de registros de pacientes fora do seu departamento. Treinamentos regulares de conscientização em segurança são cruciais, já que o erro humano contribui para a maioria das violações na área da saúde. Não esqueça o básico: gerenciamento de patches, criptografia de dados em repouso e em trânsito, e procedimentos seguros de backup. A percepção chave que a maioria das organizações de saúde não percebe: prevenir violações não é sobre ter uma segurança perfeita – é sobre tornar a sua organização um alvo mais difícil do que os concorrentes.

O que é conformidade com a HIPAA e por que ela é importante?

A conformidade com a HIPAA é o quadro de referência da indústria de saúde para a proteção da privacidade dos pacientes e a segurança das informações de saúde protegidas (PHI). É importante porque a conformidade vai além de evitar multas (que podem chegar a milhões de dólares). A conformidade com a HIPAA constrói a confiança dos pacientes, reduz a responsabilidade legal e cria uma cultura consciente de segurança em toda a organização. A regulamentação cobre três áreas principais: a Regra de Privacidade (quem pode acessar a PHI), a Regra de Segurança (como proteger a PHI eletrônica) e a Regra de Notificação de Violação (o que fazer quando as coisas dão errado). Organizações de saúde com visão de futuro veem a HIPAA como uma vantagem competitiva em vez de um fardo – pacientes escolhem cada vez mais prestadores de serviços em que confiam com suas informações mais sensíveis.

Por que a cibersegurança é importante na área da saúde?

A cibersegurança na área da saúde é crítica porque a segurança do paciente e a data privacy são inseparáveis na medicina moderna. Quando ataques cibernéticos interrompem os sistemas hospitalares, eles não apenas comprometem dados – eles podem atrasar tratamentos críticos, cancelar cirurgias e forçar departamentos de emergência a desviar pacientes. As organizações de saúde armazenam alguns dos dados mais valiosos na dark web: históricos médicos completos, números de Segurança Social, informações de seguro e dados financeiros, todos em um só lugar. Ao contrário dos números de cartão de crédito que podem ser rapidamente cancelados, o roubo de identidade médica pode levar anos para ser resolvido e pode ser fatal se registros médicos falsificados levarem a tratamentos incorretos. O aumento dos dispositivos médicos conectados e da telemedicina expandiu exponencialmente a superfície de ataque, tornando a cibersegurança robusta não apenas importante – é essencial para o cuidado do paciente e a sobrevivência organizacional.

Quais são os maiores riscos de TI na área da saúde?

Os maiores riscos de TI em saúde combinam ameaças cibernéticas tradicionais com vulnerabilidades específicas do setor. Ameaças internas lideram a lista – trabalhadores da saúde com acesso legítimo que intencional ou acidentalmente fazem mau uso dos dados dos pacientes representam a maioria dos incidentes. Ataques de ransomware visando especificamente sistemas de saúde cresceram exponencialmente, com os atacantes sabendo que os hospitais não podem se dar ao luxo de ter um tempo de inatividade prolongado. Vulnerabilidades em dispositivos médicos representam uma ameaça emergente à medida que mais dispositivos se conectam às redes hospitalares sem controles de segurança adequados. Ataques à cadeia de suprimentos através de fornecedores terceirizados fornecem aos atacantes portas dos fundos para as redes de saúde. Não ignore o fator humano: ataques de phishing que enganam os funcionários a fornecer credenciais ou baixar malware continuam extremamente eficazes. O risco mais perigoso é a complacência organizacional – assumir que boas intenções e conformidade regulatória por si só são suficientes para prevenir atacantes sofisticados e motivados.

Como implementar as melhores práticas de cibersegurança na saúde?

Implementar as melhores práticas de cibersegurança na área da saúde exige equilibrar a segurança com as realidades operacionais do atendimento ao paciente. Comece com a gestão de identidade e acesso – garanta que cada usuário possua credenciais únicas e implemente autenticação multifator em todos os sistemas. Implemente a segmentação de rede para isolar dispositivos médicos críticos e sistemas de dados de pacientes da infraestrutura geral de TI. Estabeleça um monitoramento contínuo capaz de detectar anomalias sem gerar fadiga de alertas para as equipes de TI, que já estão sobrecarregadas. Crie planos de resposta a incidentes especificamente adaptados a cenários de saúde, nos quais o tempo de inatividade do sistema impacta diretamente a segurança do paciente. Realize avaliações regulares de vulnerabilidade e testes de penetração, com foco tanto nos sistemas de TI quanto nos dispositivos médicos. E, acima de tudo, promova uma cultura de conscientização em segurança, com treinamentos contínuos que ajudem a equipe a compreender como a cibersegurança está diretamente relacionada à qualidade e à segurança do atendimento ao paciente.