Manter todo o ecossistema das organizações de saúde em funcionamento,
independentemente das ameaças cibernéticas, é um novo desafio para o setor.
Como fazer com que instalações, dados e dispositivos online permaneçam em
operação nos momentos críticos como, por exemplo, a invasão de um ransomware
provoca um novo movimento. Agora, a preocupação não está somente em instalar
sistemas de segurança, mas de evoluir para a resiliência cibernética, que tem
tudo a ver com antecipação aos fatos. |
Os hospitais e sistemas de saúde precisam fazer mais do que se proteger
contra ataques cibernéticos; precisam se recuperar rapidamente e permanecer
operacionais, mesmo com capacidade reduzida, caso ocorra um ataque. A
capacidade de resistir a um ataque cibernético tendo o mínimo de interrupção
de serviços está no centro da resiliência cibernética, um conceito que ganha
agora muita atenção diante da sequência de violações de dados cada vez mais
prejudiciais. |
Ao avaliar os riscos, melhorar os controles de segurança e investir no
aumento da conscientização interna e externa, as organizações podem mitigar
danos causados por ataques cibernéticos sem prejuízos aos cuidados do
paciente. A resiliência cibernética tem tudo a ver com antecipação. Embora
não seja um fornecedor de soluções de segurança cibernética, a ALE
a considera primordial em todos os seus produtos desde o desenvolvimento até
o ciclo de vida deles. A recomendação é que todos os “atores” dos sistemas de
saúde observem quatro passos para melhorar o tempo de recuperação de
incidentes cibernéticos e criem redes de TI mais resistentes a ameaças. |
Para isso, sugerimos quatro etapas para passar da segurança cibernética
para a resiliência cibernética. |
1 Identifique todos os pontos fracos |
Em primeiro lugar, e mais importante, as instituições de saúde precisam
saber onde e como são vulneráveis - se é devido a falhas em produtos,
processos, políticas, procedimentos e/ou pessoas. Isso é especialmente
importante na área da saúde, já que é um setor onde o custo médio de uma
violação de dados bateu o recorde de US$ 10,1 milhões, de acordo com o
"Cost of a Data Breach 2022 Report", da IBM. Ao contrário de um
pagamento comprometido em um cartão bancário que pode ser cancelado, dados
roubados de uma instituição de assistência médica provoca danos
irreversíveis. Se houver perda ou vazamento de informação, o estrago é
definitivo. |
2 Estabelecer políticas, regras, meios e ferramentas para
deficiências de segurança cibernética |
Uma vez que uma organização conhece suas vulnerabilidades cibernéticas,
precisa criar ou atualizar políticas e procedimentos para fortalecer sua
postura de segurança física e cibersegurança. Isso inclui medidas como
planejamento de prontidão e treinamento baseado em cenários para todos os
colaboradores, médicos ou parceiros. Não há nada pior do que estar sob ataque
e não ter as pessoas certas para responder corretamente a ele. Assim como nos
exercícios de incêndio, você treina as pessoas para um plano no caso de
emergência cibernética. |
3 Gerenciar o fator humano |
Mesmo os melhores planos podem ser prejudicados pelo que especialistas
em segurança cibernética chamam de elo mais fraco: as pessoas. O passo mais
importante para estabelecer resiliência cibernética é treinar usuários
regularmente – pacientes, provedores e pagadores – no uso de todas as
ferramentas, dispositivos, dados e aplicativos de segurança. Todos em uma
organização de saúde devem entender como lidar corretamente com informações
pessoais de saúde (PHI, na sigla em inglês), principalmente quando se trata
de evitar golpes de phishing projetados para roubar credenciais e acessar
informações confidenciais e dados. A recomendação se estende a profissionais
focados estrategicamente em tratamentos e cuidados especializados, e não em
ameaças cibernéticas. Além disso, os provedores devem incluir seus parceiros
de serviços, mesmo os terceirizados, em programas de conscientização de
segurança para evitar riscos consideráveis. |
Na opinião do especialista Gary Horn – que é vice-presidente de
Sistemas e Tecnologias Emergentes e diretor de Segurança da Informação (CISO)
para a Advocate Aurora Health’s Health Informatics and Technology – é muito
importante criar uma organização mais cibernética em função da forte
preocupação com a cibersegurança. Deve-se trabalhar para criação de uma
cultura que inclui conscientização e treinamento em todos os níveis do nosso
sistema de saúde. |
4 Faça um treinamento contínuo |
É necessário contar com um profissional de treinamento em segurança
para reforçar regularmente as melhores práticas de segurança cibernética para
todos no trabalho. Funcionários devem ser informados sobre correntes de
ameaças emergentes e segurança e as equipes de operações de TI devem aprender
com experiências de outras pessoas lidando com violações de dados. O que
sabemos num dia está potencialmente desatualizado no dia seguinte. |
Esses quatro passos fortalecem as redes, pois os dispositivos
conectados à Internet e as aplicações executadas expandem as possibilidades
de ataque às instituições. |
Recomendações como essas podem auxiliar a todos a recuperar informações
e no tempo que isso pode durar, se alguma ameaça invadir com sucesso sua
rede. É fundamental para o setor da saúde que profissionais atendam pacientes
independentemente das interrupções do sistema de TI e minimizem ao máximo o
prazo necessário para restaurar as operações em condições normais. Talvez
estejamos no momento em que os líderes de saúde começaram a entender a
importância da resiliência cibernética. O tema é retomado rotineiramente por
profissionais como parte de sua estratégia na gestão de riscos – algo que
raramente acontecia há dois anos. É uma mudança positiva. |
Evoluir da segurança cibernética para a resiliência cibernética
Ronaldo Nevola, Solutions Architect para América Latina da Alcatel-Lucent Enterprise LatAm