Segurança dos Prontuários Médicos Eletrônicos: Dados dos Pacientes, HIPAA e as ameaças que o setor de saúde não pode se dar ao luxo de ignorar

O que são Prontuários Médicos Eletrônicos e por que são importantes?

Prontuários Médicos Eletrônicos (EHRs) são a representação digital do histórico médico dos pacientes. Esses registros digitais seguros e em tempo real incluem medicação, diagnósticos, resultados laboratoriais e exames de imagem.

Os EHRs permitem que o sistema de saúde moderno proteja e compartilhe informações relacionadas aos pacientes entre profissionais autorizados, como médicos de atenção primária, especialistas e laboratórios. Esses registros têm como objetivo melhorar a coordenação, a segurança e a qualidade dos cuidados de saúde.

O que exatamente é um EHR e em que ele difere de um EMR?

Um Prontuário Médico Eletrônico (EMR) representa digitalmente o histórico médico e de tratamento dos pacientes dentro de um único consultório. Ele é útil para os profissionais de saúde que o criaram. No entanto, não foi projetado para acompanhar o paciente.

Um Prontuário Eletrônico de Saúde (EHR) foi projetado para acompanhar o paciente por diversos ambientes de atendimento médico, desde um médico de atenção primária até um centro de reabilitação. Os EHRs incluem dados de mais de uma fonte, e os profissionais de saúde autorizados podem acessá-los.

Assim, um EHR tem valor clínico, mas pode ser perigoso quando a segurança falha, pois expõe o histórico médico completo dos pacientes. Um EMR é menos perigoso nesse aspecto, pois inclui registros de um único consultório.

Que tipos de dados do paciente são armazenados nos EHRs?

Um EHR normalmente contém dados demográficos e de identificação, incluindo:

• Nome completo
• Data de nascimento
• Endereço
• Número de Seguro Social
• Identificadores de seguro

Ele contém dados clínicos, tais como diagnósticos, medicamentos, alergias, registros de imunização, resultados laboratoriais, exames de imagem, histórico cirúrgico e anotações clínicas detalhadas redigidas por cada profissional de saúde que tratou o paciente.

Um EHR também inclui informações financeiras, como detalhes da cobertura de seguro, registros de faturamento e históricos de pagamento. Além disso, também é possível encontrar dados comportamentais e sociais, tais como anotações sobre uso de substâncias, estado de saúde mental, circunstâncias domésticas e determinantes sociais da saúde subjacentes às decisões clínicas em um EHR.

É possível cancelar um cartão de crédito roubado ou perdido, mas o mesmo não se aplica, na verdade, a um cartão de saúde. É por isso que um EHR é altamente valioso para criminosos.

Por que os EHRs são essenciais para a prestação moderna de serviços de saúde e para os resultados dos pacientes?

Os EHRs são ferramentas administrativas e, ao mesmo tempo, desempenham um papel essencial na tomada de decisões clínicas, afetando a segurança e os resultados dos pacientes.

Por exemplo, as informações completas e precisas sobre medicamentos contidas em um EHR servem de base para a verificação de interações medicamentosas. Além disso, registros acessíveis de alergias auxiliam nos alertas de alergia. Ademais, os resultados de exames de imagem em tempo real em um EHR são essenciais para as ferramentas de apoio à decisão diagnóstica. Por fim, a coordenação dos cuidados de saúde baseia-se em uma visão compartilhada e atualizada do quadro clínico dos pacientes.

Quando os sistemas dos prestadores de serviços de saúde perdem o acesso aos sistemas de EHR devido a ataques de ransomware ou falhas no sistema, as operações clínicas baseadas em papel tornam-se mais lentas, mais propensas a erros — e menos seguras.

Como resultado, resultados críticos de exames podem sofrer atrasos, a coordenação dos cuidados de saúde pode ser prejudicada e os erros de medicação podem aumentar. Assim, sistemas de EHR seguros garantem a segurança do paciente.

Quais riscos de segurança e privacidade ameaçam os sistemas de EHR e os dados dos pacientes?

O setor de saúde enfrenta ameaças, como phishing, ataques de ransomware, negligência e vulnerabilidades de terceiros. Essas violações podem perturbar os sistemas de saúde, causar prejuízos financeiros e levar a graves violações de privacidade dos pacientes.

Quais são as ameaças cibernéticas mais comuns aos EHRs: ataques de extorsão na área da saúde, phishing, ameaças internas?

O phishing continua sendo um dos vetores de ataque iniciais mais frequentemente relatados em incidentes de segurança na área da saúde, devido à força de trabalho numerosa e diversificada que está sob constante pressão de tempo. Por exemplo, hackers podem enviar um e-mail de phishing a um gerente de enfermagem clínica durante um turno movimentado, e o gerente pode respondê-lo sem a devida análise de segurança.

Ameaças internas, deliberadas ou inadvertidas, como roubo para ganho financeiro e o uso de senhas fracas, diferem estruturalmente dos ataques externos. Por exemplo, as organizações de saúde contam com milhares de funcionários com acesso legítimo e amplo aos prontuários dos pacientes.

Esses funcionários podem ter acesso não autorizado motivado pela curiosidade ou por interesses financeiros. Nesse caso, os controles de acesso por si só não são suficientes para impedir tal acesso. Somente um monitoramento comportamental sofisticado é capaz de detectar ameaças internas.

Ataques de terceiros e à cadeia de suprimentos incluem atualizações de software malicioso e ferramentas de acesso remoto, bem como a exploração de dispositivos médicos e da IoT ou da Internet das Coisas na Saúde (HIoT).

Essas ameaças estão em ascensão porque as organizações de saúde dependem cada vez mais de redes de fornecedores de tecnologia, como a Epic e a Cerner, e de prestadores de serviços. Essas organizações nem sempre dispõem de controles robustos. A Epic e a Cerner são as principais plataformas de prontuários eletrônicos (EHR).

Como as violações de dados geralmente ocorrem em ambientes de saúde?

Os ambientes de saúde lidam com enormes volumes de registros físicos e operam em condições desafiadoras, que muitas vezes carecem de medidas de segurança robustas. Laptops, pen drives e registros em papel são as principais fontes de violações.

Além disso, um fornecedor, prestador de serviços ou parceiro que lida com informações de saúde protegidas também pode sofrer uma violação. Especificamente, eles podem atribuir responsabilidade à entidade de saúde abrangida pela Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA), independentemente de a própria entidade abrangida ter sido diretamente culpada.

Quais são as consequências do comprometimento dos dados de prontuários eletrônicos (EHR) para pacientes e prestadores de serviços?

O roubo de identidade médica ocorre quando invasores utilizam credenciais roubadas para obter serviços de saúde, medicamentos ou reembolso de seguro de forma fraudulenta. Isso pode resultar em prontuários médicos corrompidos com informações falsas sobre tratamentos, medicamentos e diagnósticos.

Prontuários de pacientes com registros incorretos de medicação ou diagnósticos atribuídos erroneamente causam riscos clínicos aos pacientes sempre que recebem atendimento. Isso ocorre porque os profissionais de saúde tomam decisões levando em conta as informações incorretas incluídas nesses prontuários.

A fraude de seguro leva a prejuízos financeiros, aumentando significativamente os custos a cargo do paciente e os prêmios dos consumidores. Todo o ecossistema da saúde é prejudicado. Recursos destinados ao atendimento legítimo dos pacientes são esgotados, fazendo com que os indivíduos enfrentem riscos médicos desnecessários.

A exposição de diagnósticos confidenciais, como informações relativas à saúde mental e reprodutiva e ao uso de substâncias, causa danos à reputação. Esses danos reduzem o volume de pacientes, afetam o recrutamento de médicos e diminuem a confiança da comunidade.

Quanto às consequências regulatórias, violações graves podem resultar em multas civis monetárias previstas na HIPAA no valor de milhões de dólares e em uma investigação forense.

O que as organizações de saúde geralmente percebem somente após um incidente de segurança

Análises no setor de saúde após um incidente revelam que as organizações muitas vezes não têm uma visão clara de sua postura de segurança.

Por que hospitais tecnicamente em conformidade ainda sofrem violações

Mesmo que um hospital seja aprovado em uma auditoria da HIPAA e atenda a todos os requisitos documentados, ele ainda pode estar vulnerável a ataques de cibersegurança. Isso porque a HIPAA está associada a requisitos mínimos, sem especificar controles técnicos para uma segurança eficaz.

Por exemplo, um hospital pode ter uma política de senhas que atenda aos requisitos de controle de acesso da HIPAA, mas que os hackers modernos conseguem contornar facilmente.

Por que o fluxo de trabalho clínico frequentemente se sobrepõe à política de segurança escrita

Se políticas de segurança, como uma autenticação multifatorial (MFA) robusta e controles de logout automático, causarem atrito, o fluxo de trabalho clínico frequentemente as ignorará. Por quê? Porque, se for exigido o bloqueio automático da estação de trabalho após 2 minutos de inatividade, é difícil para uma enfermeira que corre de paciente em paciente desbloquear a tela mais de uma vez em um curto espaço de tempo.

As políticas de segurança não devem ignorar as realidades do fluxo de trabalho clínico. Ao se distanciarem da realidade, essas políticas não serão seguidas, enfraquecendo assim a proteção de dados.

Como exceções temporárias se tornam vulnerabilidades permanentes

Quando uma organização de saúde compartilha uma conta criada durante uma migração de sistema, essa conta pode ainda estar ativa três anos depois. Além disso, quando a organização abre uma regra de firewall ao se conectar com um fornecedor durante uma implementação, ela permanece aberta. Por fim, uma concessão de acesso privilegiado durante uma emergência nunca é revogada.

É assim que as organizações de saúde lidam com vulnerabilidades permanentes. Essas fraquezas frequentemente se tornam alvos de ataques.

Por que as falhas de segurança na proteção de prontuários eletrônicos costumam ser operacionais, e não técnicas

A análise pós-incidente mostra que a maioria das violações na área da saúde se deve a condições operacionais, e não técnicas. Especificamente, essas condições incluem acessos que nunca foram revogados, exceções deixadas sem revisão, políticas não aplicadas e monitoramento sem ação corretiva.

Os controles técnicos representam a capacidade que pode ser implantada e mantida de forma eficaz por meio de controles operacionais. Um hospital com tecnologia de segurança sofisticada sofrerá uma violação devido a processos operacionais fracos. Mas um hospital com tecnologia modesta e forte disciplina operacional estará protegido com segurança.

O que as equipes de segurança subestimam sobre ambientes de saúde que operam 24 horas por dia, 7 dias por semana

Consideremos os processos de segurança durante o horário comercial, como revisões de acesso e resposta a incidentes. Esses processos são completamente diferentes em um hospital que opera em três turnos, sem poder programar tempo de inatividade para manutenção do sistema sem uma avaliação de impacto clínico.

As equipes de segurança disponíveis durante o horário comercial podem não ter cobertura total durante a madrugada e nos finais de semana. E hackers sofisticados sabem como usar esses horários a seu favor. Eles podem acessar as informações de que precisam às 2h da manhã de um sábado, antes que a equipe de segurança seja alertada e responda.

Que problemas de segurança as organizações de saúde costumam descobrir após a implantação do EHR?

A implantação do EHR exige enormes recursos, preparação e atenção. As questões de segurança que as organizações enfrentam após a implementação mostram a diferença entre o comportamento do sistema durante testes controlados e sua operação real nos sistemas de saúde.

Por que sistemas seguros de prontuários eletrônicos (EHR) ainda sofrem incidentes de acesso não autorizado?

Os sistemas de prontuários eletrônicos (EHR) são desenvolvidos com controles de acesso que não correspondem necessariamente à realidade clínica. A permissão de acesso para sistemas de controle baseados em funções é normalmente definida com base na função do cargo, o que não é necessariamente descrito com precisão em um ambiente clínico. Por exemplo, uma enfermeira do pronto-socorro pode precisar de acesso a registros que uma função padrão de enfermeira não exige.

Mas, se for necessário um acesso mais amplo para uma decisão pragmática, muitos usuários precisarão de mais acesso do que suas responsabilidades clínicas permitem. E isso pode resultar em violações do controle de acesso.

Quais atalhos no fluxo de trabalho costumam enfraquecer a segurança dos registros eletrônicos de saúde em hospitais?

Os atalhos no fluxo de trabalho, também conhecidos como soluções alternativas, enfraquecem a segurança dos dados dos pacientes em hospitais ao contornar barreiras de segurança e expor os dados dos pacientes. Os profissionais de saúde costumam usar atalhos para economizar tempo ou evitar o design das interfaces.

Especificamente, credenciais compartilhadas são os atalhos de fluxo de trabalho mais comuns em ambientes de prontuários eletrônicos na área da saúde.

Quando os processos de login geram atrito devido a múltiplas etapas de autenticação, senhas complexas ou expiração de sessões, a equipe clínica recorre a soluções alternativas, como credenciais compartilhadas. Ou podem deixar as sessões abertas, permitindo que usuários não autenticados acessem o sistema. Como resultado, os hospitais enfrentam falhas na proteção da segurança cibernética dos prontuários médicos.

Como as estações de trabalho compartilhadas e os ambientes clínicos de ritmo acelerado criam riscos ocultos?

Os membros da equipe, em vários turnos, compartilham estações de trabalho clínicas sob pressão de tempo e com foco principal nos pacientes, em vez de nas medidas de segurança.

As tecnologias de autenticação baseadas em proximidade, incluindo cartões inteligentes, crachás de proximidade e leitores biométricos, ajudam a superar alguns desafios. No entanto, elas trazem suas próprias complexidades operacionais.

Especificamente, os usuários podem perder seus cartões ou deixá-los nos leitores. Além disso, as tecnologias biométricas não reconhecem mãos com luvas ou quando molhadas. Tais falhas causam atritos operacionais, resultando em soluções alternativas.

Quais lacunas de segurança só se tornam visíveis durante operações reais na área da saúde?

Atrasos que geram pressão para soluções alternativas, dificuldade em manter registros completos sob carga de produção e limitações operacionais são lacunas de segurança. Elas se tornam visíveis quando o sistema está operando com carga clínica total. Essas lacunas de segurança não são evidentes durante testes controlados.

A razão é que os sistemas de autenticação podem funcionar sem problemas nos testes. Os sistemas de registro de auditoria que capturam acessos podem operar sem dificuldades nos testes. Por fim, os controles de segurança podem parecer robustos em condições controladas.

O que as falhas de segurança na proteção de prontuários eletrônicos no mundo real costumam ter em comum

Privilégios de acesso excessivos são um fator recorrente em muitos incidentes de segurança na área da saúde. Eles nunca são revisados e aparecem nos registros de acesso. Especificamente, o hacker obtém acesso ao sistema e aos dados como titular legítimo de uma conta. Uma vez legitimado, o acesso nunca foi revisado posteriormente.

A detecção tardia é outra falha amplamente difundida. Geralmente, leva semanas ou meses para detectar uma violação após o acesso inicial. E isso é suficiente para que os invasores localizem e preparem os dados-alvo e se preparem para a criptografia.

Além disso, backups não testados não são confiáveis. Dados de backup cuja integridade não foi validada são restaurados em um estado desatualizado.

Um fornecedor que utilize credenciais legítimas de acesso remoto, mas cuja conta não seja monitorada, pode se tornar o ponto de entrada para um ataque. Os próprios controles de perímetro do hospital teriam protegido os dados.

Além disso, os planos de resposta a incidentes elaborados no papel costumam ser guias inadequados para a resposta efetiva na prática. O pessoal-chave frequentemente não está disponível. As informações de contato geralmente não são atualizadas.

Como a HIPAA e os regulamentos de portabilidade e responsabilidade em seguros de saúde afetam a segurança dos dados dos pacientes?

Devido à HIPAA e aos regulamentos federais associados, as organizações de saúde devem implementar medidas abrangentes de segurança administrativa, física e técnica, tais como criptografia, controles de acesso baseados em funções e trilhas de auditoria. Como resultado, essas organizações podem proteger os dados de saúde e garantir a confidencialidade das informações eletrônicas de saúde protegidas (ePHI).

Como a HIPAA e a Lei de Portabilidade e Responsabilidade em Seguros de Saúde protegem os dados dos pacientes?

A Regra de Privacidade da HIPAA estabelece padrões nacionais para proteger os prontuários médicos dos pacientes e outras informações de saúde. Além disso, essa regra define planos de saúde e centrais de processamento de dados para o uso e a divulgação dessas informações.

De acordo com a Regra, Informações de Saúde Protegidas (PHI) são informações de saúde individualmente identificáveis que as organizações de saúde mencionadas ou seus associados mantêm e transmitem.

Essas entidades devem implementar salvaguardas administrativas, físicas e técnicas para garantir que as informações sejam confidenciais, integradas e estejam disponíveis.

A Regra de Segurança inclui os principais elementos da Regra de Segurança da Lei de Portabilidade e Responsabilidade do Seguro Saúde de 1996¹ (HIPAA). Ela se refere aos pacientes cobertos, às informações protegidas e às medidas de segurança que garantem a proteção adequada das informações de saúde protegidas eletrônicas (ePHI).

A Regra de Segurança concentra-se em resultados, tais como a conformidade da força de trabalho e a proteção contra ameaças previstas. Ela não impõe abordagens técnicas específicas, como controle de acesso e criptografia.

A Regra de Notificação de Violação determina os prazos para que as entidades mencionadas notifiquem os indivíduos afetados, o Secretário do HHS e, em alguns casos, a mídia sobre uma violação de PHI não protegida. O não cumprimento desses requisitos constitui uma violação separada da HIPAA.

Quais medidas de segurança são necessárias para proteger as informações de saúde?

A Regra de Segurança da HIPAA classifica as salvaguardas exigidas em três tipos. Em primeiro lugar, as salvaguardas administrativas referem-se às políticas, procedimentos e treinamentos que as organizações devem adotar para gerenciar a segurança das ePHI.

Em segundo lugar, as organizações devem utilizar salvaguardas físicas para controlar o acesso físico aos sistemas de informação eletrônicos e às instalações utilizadas. Essas salvaguardas podem incluir controles de acesso às instalações, controles de dispositivos e mídias, bem como políticas de uso e segurança das estações de trabalho.

Por fim, as salvaguardas técnicas referem-se à tecnologia e às políticas associadas que protegem as ePHI e controlam o acesso a elas. Essas salvaguardas podem incluir controles de acesso, integridade e auditoria, bem como segurança na transmissão.

Como as organizações de saúde podem demonstrar conformidade com a HIPAA durante auditorias de segurança?

A conformidade com a HIPAA exige documentação abrangente e atualizada por parte das organizações de saúde. Os auditores examinam não apenas a documentação de políticas e procedimentos, mas também evidências que comprovem que essas políticas são implementadas e cumpridas.

A Regra de Segurança exige que as entidades acima mencionadas realizem uma avaliação de riscos precisa e completa no que diz respeito à confidencialidade, integridade e disponibilidade das ePHI. Essas entidades devem documentar e demonstrar a análise de riscos com base no ambiente atual e elaborar um plano de gestão de riscos correspondente.

A conformidade com a HIPAA inclui registros de treinamento da força de trabalho, controle de acesso e registros de auditoria, bem como contratos com parceiros comerciais e documentação de resposta a incidentes. Essa prática operacional contínua ajuda as organizações de saúde a realizar uma auditoria com sucesso e a garantir a segurança adequada.

O que as auditorias de segurança frequentemente deixam passar

As auditorias de segurança frequentemente deixam passar vulnerabilidades causadas por fatores humanos, como logins compartilhados e engenharia social. Além disso, muitas vezes ignoram configurações incorretas do sistema, como permissões amplas para usuários e ausência de registros de auditoria. Por fim, frequentemente deixam passar riscos de terceiros, como integrações de API não verificadas e violações na cadeia de suprimentos de fornecedores.

Vejamos o que as auditorias de segurança oferecem:

Por que ser aprovado em uma auditoria de segurança não garante a proteção dos registros eletrônicos de saúde

Uma auditoria de segurança não avalia de forma abrangente se os controles de segurança funcionam efetivamente contra ameaças realistas. Especificamente, uma auditoria pode confirmar que uma organização estabeleceu e documentou uma política de senhas. No entanto, ela não consegue determinar com confiabilidade se todos os sistemas e usuários seguem essa política de forma consistente.

Além disso, uma auditoria pode confirmar a existência de um contrato de parceria comercial adequado. Mas a auditoria não consegue determinar se os requisitos de segurança especificados no contrato são realmente implementados.

Lacunas de conformidade versus realidade operacional

A estrutura de conformidade concentra-se na existência de controles, enquanto a segurança operacional concentra-se em verificar se esses controles estão funcionando adequadamente.

Organizações que utilizam registros de auditoria como recurso técnico podem não analisá-los com frequência ou com o nível de sofisticação necessário para detectar atividades anômalas.

Quanto aos controles de acesso, eles podem estar documentados na política, mas não serem aplicados de forma consistente. Além disso, os procedimentos de resposta a incidentes podem estar documentados, mas carecer de testes ou atualizações adequados para corresponder às estruturas organizacionais e informações de contato existentes.

Por que as avaliações anuais não detectam ameaças em evolução

Quando uma organização realiza uma avaliação uma vez por ano, ela reflete a postura de segurança da organização naquele dia específico. No entanto, novas vulnerabilidades e ameaças podem surgir durante os outros 364 dias do ano. Assim, as avaliações periódicas de risco não conseguem refletir adequadamente a postura de segurança das organizações.

O problema com os programas de segurança baseados em listas de verificação

Programas de segurança focados no preenchimento de listas de verificação de conformidade exigem que as organizações documentem todos os controles e processos exigidos, o que é satisfatório para os auditores. No entanto, eles não garantem necessariamente uma segurança adequada.

Programas de segurança baseados em listas de verificação oferecem uma resposta organizacional previsível aos requisitos de conformidade, sem avaliar os resultados de segurança.

Um programa de segurança adequado não deve se limitar a documentar e coletar evidências. Ele deve detectar ameaças e responder de forma adequada, sem dedicar a maior parte de seu valioso tempo a atividades de conformidade.

Como o comportamento real dos invasores difere das suposições de auditoria

Quando uma organização da área da saúde realiza auditorias de segurança para avaliar controles em relação a modelos de ameaças documentados, ela pode não obter uma visão completa de como os invasores reais operam. Essas auditorias ajudam a testar se os controles de acesso podem impedir o uso indevido por usuários sem credenciais.

Mas e se não houvesse motivo clínico para prestar atenção a um acesso indevido? Como a análise comportamental o detectaria? Na verdade, essas auditorias não examinam se a organização consegue restaurar com sucesso esses backups dentro do prazo que a recuperação de um ataque de criptografia de dados exigiria.

Os invasores reais têm como alvo pontos fracos específicos em um ambiente específico. Eles não se concentram nos cenários de ameaça previstos pelas estruturas de conformidade.

Quais medidas de segurança ajudam a proteger as informações de saúde em sistemas de prontuários eletrônicos?

As organizações de saúde devem aplicar um modelo de defesa em várias camadas para proteger as informações de saúde em sistemas de prontuários eletrônicos. O modelo deve se basear em salvaguardas técnicas, administrativas e físicas.

Como a criptografia e os controles de segurança de dados podem proteger os dados dos pacientes?

A proteção de ePHI contra acesso não autorizado considera a criptografia como um controle técnico. Especificamente, a criptografia em repouso refere-se a bancos de dados, sistemas de arquivos e mídias de backup. Ela garante que as informações armazenadas não possam ser transformadas em dados legíveis.

Quanto à criptografia em trânsito, ela protege os dados que circulam entre sistemas, usuários e organizações. Isso ajuda a impedir a interceptação e a leitura de PHI.

Infelizmente, a proteção pode se tornar limitada devido a algoritmos obsoletos, comprimentos de chave insuficientes ou armazenamento de chaves mal gerenciado utilizado na criptografia. Assim, os prestadores de serviços de saúde precisam de padrões criptográficos robustos e atualizados e devem revisar e atualizar regularmente as implementações de criptografia.

Além disso, se os prestadores monitorarem a atividade do banco de dados, poderão contar com uma camada adicional de controle. Como resultado, poderão detectar acessos não autorizados, mesmo que esses acessos sejam realizados por meio de credenciais legítimas e direitos de descriptografia.

Qual é o papel do controle de acesso e da autenticação forte? O acesso multifatorial e baseado em funções são suficientes?

O controle de acesso baseado em função (RBAC) desempenha o papel mais vital no gerenciamento do acesso ao EHR. Isso porque sua estrutura sistemática permite que os usuários acessem apenas os dados exigidos por sua função clínica.

A autenticação multifatorial (MFA) melhora significativamente a segurança da autenticação em comparação com o acesso apenas por senha, pois credenciais compartilhadas e autenticação mínima são comuns neste setor. Um invasor que utilize phishing ou roubo de credenciais para obter uma senha precisa comprometer um segundo fator para se autenticar.

O RBAC controla quais dados os usuários podem acessar, sem controlar como eles utilizam esse acesso após a autenticação. A MFA verifica se uma pessoa com fatores de autenticação está tentando fazer login, sem verificar se essa pessoa é o titular legítimo da conta.

Ambos os controles são essenciais para proteger as informações da área da saúde. No entanto, camadas adicionais, como monitoramento comportamental e detecção de anomalias, também devem ser aplicadas.

Autenticação multifatorial na área da saúde: prós e contras

Como a segmentação de rede, as APIs seguras e a proteção de terminais podem mitigar ameaças?

A segmentação de rede restringe o movimento lateral que ocorre após o comprometimento inicial. Em uma rede plana, os sistemas se comunicam livremente. Os hackers, uma vez que tenham entrado no sistema, podem sondar e atacar sistemas adjacentes para alcançar o alvo.

Ao lidar com redes segmentadas, os hackers precisam violar controles adicionais em cada limite de segmento. Isso retarda o avanço, gera atividade detectável e limita a extensão dos danos decorrentes de qualquer comprometimento individual.

As redes da área da saúde apresentam desafios específicos de segmentação, pois os ambientes clínicos utilizam tecnologias diversas, incluindo sistemas tradicionais de TI e dispositivos clínicos de IoT.

Uma segmentação eficaz depende da compreensão de que esses ambientes têm uma natureza diversificada. Além disso, as fronteiras entre os componentes mais vulneráveis das redes devem ser projetadas de forma a não interromper o fluxo de trabalho clínico.

Quanto à segurança de APIs, sua importância vem crescendo em todo o mundo. Isso porque as interfaces nos sistemas de prontuários eletrônicos (EHR) devem ser bem protegidas, uma vez que lidam com ferramentas e processos críticos, incluindo ferramentas de tomada de decisão clínica e trocas externas de informações de saúde.

Como os pontos de extremidade das APIs são alvo de hackers, eles podem ser protegidos por meio de controles de autenticação e autorização, além de limitar a taxa de acesso, validar as entradas e manter padrões de acesso anômalos sob controle.

A proteção de pontos de extremidade de API é uma prática de segurança vital. Ela protege as URLs digitais específicas e os pontos de contato de comunicação onde os aplicativos trocam dados e funcionalidades. A proteção eficaz de pontos de extremidade refere-se à proteção tanto da camada de acesso quanto do projeto central do aplicativo.

Qual é o valor do registro de logs, do monitoramento e do Gerenciamento de Informações e Eventos de Segurança (SIEM)?

A HIPAA exige um registro de auditoria abrangente do acesso às ePHI, o que também constitui um recurso fundamental de segurança. Os registros ajudam a detectar o uso indevido de acesso, investigar incidentes, comprovar a conformidade e compreender como os hackers agem após uma violação.

As organizações da área da saúde podem se beneficiar dos registros, desde que estes sejam coletados e monitorados. Pois é a capacidade analítica que ajuda a extrair inteligência de segurança dos registros em tempo real.

No setor de saúde, a Gestão de Informações e Eventos de Segurança (SIEM) ajuda a diferenciar padrões normais de acesso clínico de acessos anômalos.

Quais políticas de segurança da informação garantem a segurança dos prontuários eletrônicos de saúde?

Políticas eficazes de proteção à segurança dos dados dos pacientes, tais como medidas de segurança administrativas, físicas e técnicas, garantem que os prontuários de saúde sejam confidenciais, integrados e estejam disponíveis.

Como as políticas de governança, classificação e retenção de dados devem ser definidas?

A governança de dados na área da saúde baseia-se na clareza dos dados dos prontuários eletrônicos (EHR), na localização dos dados, na pessoa ou entidade responsável por esses dados e nas regras que regem o uso e a proteção desses dados.

Os dados dos prontuários eletrônicos (EHR) fluem para plataformas de análise clínica, bancos de dados de pesquisa, ferramentas de saúde relacionadas aos pacientes e sistemas de relatórios. Assim, esses dados devem ser governados ao longo de todo o seu ciclo de vida sob controles adequados.

A classificação de dados auxilia as organizações de saúde a aplicar controles levando em consideração a sensibilidade dos dados. Diferentes dados de saúde apresentam diferentes níveis de sensibilidade ou valor regulatório. Especificamente, dados agregados e desidentificados, utilizados para fins de análise de saúde, diferem daqueles relativos a registros clínicos individualmente identificáveis.

Categorias de dados altamente sensíveis, como registros de saúde mental e informações sobre saúde reprodutiva, exigem proteção reforçada de acordo com a legislação estadual.

As políticas de retenção são elaboradas para equilibrar os requisitos clínicos, legais e de segurança. Os registros de dados devem ser retidos por períodos específicos, de acordo com as diretrizes clínicas. Quanto aos requisitos legais, estes variam de jurisdição para jurisdição. Por fim, as diretrizes de segurança exigem que as organizações de saúde minimizem o volume de dados sensíveis.

Para governar com sucesso os dados de saúde, as organizações devem conciliar os requisitos mencionados em uma estrutura de retenção coerente, que vá além das funções clínicas, legais, de conformidade e de segurança.

Quais programas de treinamento e conscientização ajudam a reduzir erros humanos e riscos internos?

Um treinamento de segurança eficaz na área da saúde deve ser elaborado especificamente para cada função, ser relevante para o contexto dos dados e fazer parte dos fluxos de trabalho clínicos. Uma enfermeira que sabe por que o compartilhamento de credenciais é arriscado pode protegê-las com sucesso. O mesmo não se pode dizer de uma enfermeira que tenha concluído um treinamento geral sobre segurança de senhas.

Além disso, programas de simulação de phishing, nos quais a equipe lida com e-mails de phishing realistas, porém inofensivos, proporcionam feedback imediato e treinamento direcionado. Portanto, não há necessidade de aguardar o próximo ciclo de conscientização programado.

Como a gestão de riscos de terceiros e os contratos com fornecedores podem ser estruturados para proteger os dados dos pacientes?

A HIPAA estende seus requisitos a terceiros por meio de Acordos de Parceria Comercial (BAAs). Um BAA documenta os requisitos, mas não garante a conformidade. É por isso que uma gestão eficaz de riscos de terceiros vai além de um BAA.

Uma gestão eficaz de riscos de terceiros deve ser construída com base em uma avaliação de segurança dos fornecedores antes da contratação, além de monitoramento e conformidade. Como resultado, as organizações de saúde podem estar cientes de violações por parte dos fornecedores sem perder tempo.

O ecossistema de fornecedores da área da saúde é diversificado, o que torna a gestão de riscos de terceiros um desafio. Empresas e prestadores de serviços, tais como fornecedores de prontuários eletrônicos (EHR), fabricantes de dispositivos médicos, provedores de serviços em nuvem e serviços gerenciados, e integradores de sistemas clínicos, lidam com as Informações de Saúde Protegidas (PHI) de maneiras diferentes e com recursos de segurança distintos.

Uma avaliação e um monitoramento intensivos de riscos podem ajudar na prática a gerenciar essa complexidade e diversidade com sucesso.

Como as organizações de saúde equilibram a segurança da informação com a eficiência clínica?

As organizações de saúde equilibram a segurança da informação com a eficiência clínica por meio de uma gestão criteriosa e de controles de segurança. Como resultado, elas desfrutam de proteção significativa e minimizam atritos operacionais.

Controles de acesso rigorosos podem retardar o atendimento médico de emergência?

Em situações de emergência, as organizações gastam muito tempo com autenticação, navegação por solicitações de acesso e recuperação de credenciais. Assim, os programas de segurança na área da saúde devem ser elaborados com base em cenários de acesso de emergência e atender tanto aos requisitos de segurança quanto aos clínicos.

Mecanismos de acesso de emergência que permitem às organizações de saúde acessar rapidamente os prontuários médicos podem ajudar a resolver o desafio mencionado. Especificamente, o acesso rápido de emergência envolve o registro, a revisão e a validação em relação ao contexto clínico, o que ajuda a detectar e resolver problemas de segurança de dados.

Por que os profissionais de saúde às vezes contornam os procedimentos de segurança?

Os profissionais de saúde às vezes contornam os procedimentos de segurança devido a um problema de concepção. Quando os custos impostos aos fluxos de trabalho clínicos pelos procedimentos de segurança são avaliados como inaceitáveis em comparação com o benefício de segurança percebido, os profissionais de saúde buscam reduzir esses custos.

Quando os profissionais de saúde contornam regularmente os controles de segurança, o panorama real de riscos reflete esse comportamento de contorno, em vez do controle pretendido. Para alcançar melhores resultados de segurança, as organizações de saúde devem criar controles que os profissionais de saúde realmente utilizem, em vez de contorná-los.

Como as organizações de saúde podem reduzir a fadiga de senhas sem comprometer a segurança?

O gerenciamento de várias senhas complexas e frequentemente alteradas em diversos sistemas clínicos resulta em fadiga de senhas, o que constitui uma sobrecarga cognitiva.

Soluções de logon único (SSO) ajudam a reduzir a fadiga de senhas. Como? Elas exigem uma única autenticação dos profissionais de saúde para acessar vários sistemas clínicos. O SSO, combinado com autenticação forte durante o logon inicial, reduz o atrito e melhora a segurança.

A autenticação por proximidade, baseada em cartões inteligentes, crachás ou leitores biométricos, permite que as organizações de saúde alternem rapidamente entre usuários em estações de trabalho compartilhadas, resolvendo o desafio do gerenciamento de sessões responsável pelo uso compartilhado de credenciais em ambientes clínicos.

A autenticação do tipo “toque para entrar, toque para sair” leva menos de um segundo. Ela gera atrito mínimo e ajuda a atribuir cada sessão ao usuário correto.

Quais políticas de segurança costumam criar atrito para a equipe médica?

Na maioria das vezes, as políticas de tempo limite de sessão criam atrito de segurança em ambientes clínicos. Isso porque, quando breves períodos de inatividade são seguidos por bloqueio automático, o fluxo de trabalho em estações de trabalho compartilhadas é interrompido. Como resultado, os usuários precisam se autenticar novamente, o que acumula o ônus.

Requisitos complexos de senha relacionados ao comprimento e aos caracteres não permitem que os usuários memorizem senhas com facilidade. Assim, eles compartilham credenciais e as reutilizam. Consequentemente, a segurança fica mais fraca e o atrito aumenta.

Como as organizações de saúde devem responder a violações de dados de prontuários eletrônicos (EHR) e aos desafios de segurança?

As organizações de saúde devem ter um plano coordenado para responder imediatamente a violações de dados de prontuários eletrônicos (EHR). Dessa forma, essas organizações podem garantir a conformidade legal e regulatória, bem como a segurança a longo prazo.

O que um plano de resposta eficaz deve incluir após uma violação de dados na área da saúde?

Um plano eficaz de resposta a violações na área da saúde deve definir a autoridade responsável por declarar uma violação, pelos procedimentos de emergência, pelas decisões relacionadas a pagamentos e pela comunicação com órgãos reguladores e o público. Caso contrário, decisões não planejadas e pouco claras causam atrasos onerosos e demorados, além de confusão para as organizações de saúde.

O plano deve incluir recursos externos que possam estar disponíveis em questão de horas. Caso contrário, quando ocorrer uma violação, a investigação forense, as questões jurídicas e as relações públicas enfrentarão atrasos sem esses recursos. Portanto, é vital estabelecer antecipadamente medidas de resposta a violações na área da saúde e a comunicação com os profissionais.

Como as organizações devem investigar, conter e remediar uma violação?

Ao detectar uma possível violação, o primeiro passo é impedir as tentativas do hacker de acessar os sistemas e extrair dados. Para conter uma violação, as organizações isolam os sistemas comprometidos, mesmo que isso possa interromper as operações clínicas. Se um invasor continuar acessando os sistemas enquanto a investigação prossegue, surgem riscos adicionais significativos.

Os investigadores forenses precisam preservar as evidências enquanto as equipes operacionais restauram os serviços. O registro da investigação, incluindo imagens forenses capturadas antes da correção, ajuda os profissionais a compreender o escopo da violação e a demonstrar a resposta da organização aos órgãos reguladores.

Uma correção eficaz ajuda a resolver problemas de configuração incorreta, vulnerabilidades sem patch, privilégios excessivos e a ausência de monitoramento que permitiu que o ataque fosse bem-sucedido.

Quando e como os pacientes, os órgãos reguladores e o público devem ser notificados?

Os pacientes afetados devem receber notificações individuais no prazo de 60 dias a partir da descoberta da violação. A HIPAA estabelece requisitos específicos para notificações de violação. As organizações devem cumprir esses requisitos, independentemente da complexidade.

O Departamento de Saúde e Serviços Humanos dos EUA deve receber notificações sobre violações que afetem 500 ou mais indivíduos no prazo de 60 dias. Se uma violação tiver afetado 500 ou mais residentes de um estado ou jurisdição, as notificações devem ser enviadas aos principais veículos de comunicação daquela região.

O conteúdo da notificação é tão importante quanto o momento em que é enviada. Uma notificação eficaz informa o que aconteceu, quais informações foram comprometidas, quais medidas a organização está tomando a esse respeito, quais medidas os pacientes devem tomar para se protegerem e oferece serviços de monitoramento de crédito e proteção contra roubo de identidade para auxiliar as pessoas afetadas.

Como um ataque moderno de ransomware no setor de saúde geralmente se desenrola

Os hackers obtêm o acesso inicial, normalmente semanas ou meses antes da violação. E-mails de phishing com malware para roubo de credenciais estão entre os meios mais comuns.

Além disso, os invasores exploram remotamente vulnerabilidades relacionadas à internet nos sistemas e hackeiam credenciais de fornecedores terceirizados. É assim que os invasores tentam estabelecer uma presença na rede e, em seguida, avançam.

A etapa seguinte consiste em realizar a exploração da rede e a coleta de informações. Especificamente, os invasores mapeiam a topologia da rede, identificam sistemas de alto valor, localizam a infraestrutura de backup e fazem um inventário dos controles de segurança.

É nesse momento que os invasores ficam mais suscetíveis à detecção. O problema é que as atividades de reconhecimento geram tráfego de rede e consultas ao sistema que se diferenciam dos padrões habituais. Além disso, as equipes de segurança da área da saúde geralmente ignoram essa fase devido às capacidades limitadas de detecção.

Escalação de privilégios e descoberta de prontuários eletrônicos (EHR)

Quando os invasores estabelecem presença nos sistemas, a próxima etapa é concentrar-se na escalação de privilégios para obter credenciais ou acesso com privilégios mais elevados em comparação com a fase inicial. No setor de saúde, isso geralmente significa explorar serviços sem configuração adequada, visar vulnerabilidades ou obter credenciais sem proteção robusta.

Como resultado, eles identificam e acessam fontes valiosas, como sistemas de prontuários eletrônicos (EHR) e servidores de banco de dados. Quando os invasores criptografam dados e ameaçam publicá-los, eles preparam e armazenam dados brutos dos sistemas de prontuários eletrônicos (EHR) para exfiltração e só então aplicam a criptografia. Leva apenas dias ou semanas para transformar gigabytes ou terabytes de dados de pacientes em uma infraestrutura controlada pelos invasores.

Ataques direcionados a backups e interrupção da recuperação

Ataques sofisticados de extorsão em hospitais danificam especificamente os sistemas de backup e, em seguida, aplicam a criptografia. Os hackers podem usar redes para acessar informações de backup por meio de sistemas comprometidos, e essas informações são criptografadas juntamente com os dados primários.

Os invasores comprometem consoles de gerenciamento de backup e excluem catálogos de backup. Seu objetivo é eliminar as opções de recuperação para colocar a organização de saúde sob maior pressão.

A boa notícia é que o armazenamento de backup imutável, no qual é possível encontrar dados que não podem ser modificados ou excluídos, é vital para as organizações de saúde quando se trata de proteger informações.

Backups isolados (air-gapped) ou imutáveis protegem os dados contra a criptografia utilizada em ataques de extorsão no setor de saúde e permitem a recuperação dos dados. Infelizmente, backups conectados ou acessíveis não possuem as vantagens mencionadas.

Quais métricas e estratégias de melhoria contínua medem a eficácia da segurança da informação na área da saúde?

As organizações de saúde acompanham determinadas métricas para avaliar a eficácia da segurança na proteção dos prontuários eletrônicos. Essas métricas podem incluir a conclusão de avaliações de risco e as taxas de sucesso em simulações de phishing, bem como os tempos de resposta a incidentes de segurança.

Análises regulares de risco da HIPAA e varreduras de vulnerabilidades, bem como treinamento contínuo para aumentar a conscientização da equipe sobre segurança cibernética, podem ajudar a melhorar a eficácia.

Quais KPIs e métricas de risco as organizações devem acompanhar?

As organizações de saúde devem acompanhar a métrica Tempo Médio de Detecção (MTTD) para revelar o tempo médio entre o acesso inicial e a detecção da violação. Com isso, elas podem identificar a maior correlação com o impacto da violação.

O fato é que detectar hackers em questão de horas ajuda a evitar danos graves, o que não se pode dizer sobre a detecção de invasores em meses. E a métrica Tempo Médio de Resposta (MTTR) mostra se a organização estrutura sua resposta de forma clara, dispõe de recursos suficientes e possui autoridade decisória inequívoca.

Consideremos outra métrica: a latência de patch. Ela reflete o tempo entre a divulgação da vulnerabilidade e a implantação do patch. Essa métrica ajuda a identificar os pontos fracos da organização em relação às vulnerabilidades.

No setor de saúde, a aplicação de patches exige que as organizações avaliem o impacto clínico e tenham janelas de manutenção programadas. Nesse caso, a latência de patch é maior do que em ambientes com menos restrições operacionais, como os setores financeiro e jurídico. Essa métrica requer atenção organizacional contínua para um acompanhamento e gerenciamento adequados.

Outra métrica, a taxa de conclusão da revisão de acesso, reflete se as organizações de saúde realmente realizam revisões periódicas dos privilégios de acesso dos usuários e tomam medidas com base nessas revisões. Pois, se essas revisões ficarem apenas no papel, não trazem nenhum benefício de segurança.

Com que frequência devem ser realizadas avaliações de segurança, testes de penetração e auditorias?

A conformidade mínima exige que as organizações da área da saúde realizem avaliações anuais. Mas essa avaliação não é suficiente. E as organizações que dependem apenas de avaliações anuais conduzidas por terceiros para avaliar a segurança só conseguem medir sua postura de segurança em relação àquele dia específico em que a avaliação foi realizada.

Testes de penetração que utilizam métodos de invasores reais proporcionam uma avaliação mais valiosa. Essa simulação ajuda a revelar vulnerabilidades exploráveis. Além disso, testa a eficácia da detecção de ameaças e verifica se a organização possui recursos de resposta adequados contra ataques realistas.

Se uma organização deseja aplicar uma avaliação de segurança que corresponda ao ambiente real, ela deve monitorar ameaças constantemente, realizando simultaneamente avaliações periódicas e testes de penetração orientados pelo risco, em vez de calendários de conformidade.

Como as lições aprendidas com incidentes podem ser integradas às atualizações de políticas e tecnologia?

Análises realizadas após ataques ajudam as organizações da área da saúde a aprender com a experiência. Compreender os fatores sistêmicos amplia o aprendizado organizacional.

Quando as organizações examinam por que os controles de segurança não impediram a ameaça, quais vulnerabilidades existiam e por que a detecção da ameaça foi atrasada, elas obtêm uma melhor compreensão das melhorias significativas de segurança que devem implementar.

Em seguida, as organizações devem integrar as lições aprendidas às políticas efetivas e realizar mudanças tecnológicas com base nessas lições. Além disso, as organizações devem acompanhar as recomendações das análises pós-incidente, atribuí-las a responsáveis e verificar se foram implementadas. Se essas recomendações ficarem apenas no papel, não poderão gerar valor em termos de segurança.

Como a Bacula Systems ajuda as organizações de saúde a proteger prontuários eletrônicos e os dados dos pacientes?

O senhor considera o backup de dados da área da saúde uma questão de resiliência de TI? Em última análise, trata-se de uma questão de segurança do paciente. Quando invasores hackeiam e criptografam os sistemas primários de um hospital, e o hospital não consegue mais utilizar a recuperação de backup, as consequências clínicas se manifestam imediatamente.

Especificamente, as cirurgias não são realizadas no prazo, os registros em papel ficam sem dados e as decisões tomadas carecem do histórico do paciente, o que aumenta o risco clínico.

A Bacula Systems foi desenvolvida levando em conta a realidade operacional para ajudar a proteger os dados da área da saúde com sucesso.

A Bacula oferece resiliência a incidentes de ransomware em hospitais por meio da separação entre os sistemas de produção e de backup

Os invasores mais sofisticados que praticam extorsão na área da saúde criptografam os sistemas primários das organizações de saúde e não abandonam as redes invadidas. Eles fazem o possível para identificar e destruir a infraestrutura de backup. O objetivo disso é garantir que os prestadores de serviços de saúde não possam recuperar os dados sem pagar ao invasor.

O Bacula para o setor de saúde oferece uma separação arquitetônica genuína entre os dados de backup e os ambientes de produção.

O Bacula oferece suporte a cópias de backup isoladas fisicamente (air-gapped) e criptografia robusta, de modo que mesmo credenciais comprometidas não possam modificar ou excluir dados. Isso também impede que invasores comprometam a capacidade de recuperação de dados, permitindo que as organizações de saúde evitem consequências catastróficas.

O Bacula oferece conformidade com a HIPAA e capacidade de auditoria

Muitas organizações de saúde ignoram as questões de conformidade associadas ao ePHIA. Trata-se da cópia de backup de um banco de dados de prontuários eletrônicos (EHR), que possui as mesmas obrigações de controle de acesso, criptografia e auditoria da HIPAA que os dados primários.

O Bacula oferece controles de segurança avançados que podem ajudar os prestadores de serviços de saúde a gerenciar o acesso baseado em funções, tornar o registro de auditoria abrangente e garantir a conformidade regulatória. Esses controles de segurança desempenham um papel especial na área da saúde, onde os prestadores lidam com diferentes tipos de registros e populações de pacientes.

O Bacula oferece suporte a ambientes heterogêneos

Soluções gerais de backup não conseguem resolver problemas na infraestrutura heterogênea da área da saúde. Essa infraestrutura não é homogênea: ela compreende sistemas clínicos legados, bancos de dados especializados e aplicativos proprietários.

O Bacula oferece suporte à diversidade mencionada, incluindo SQL Server, Oracle e MySQL. Organizações da área da saúde que utilizam o Epic, o Cerner ou o MEDITECH podem usar o Bacula para restaurar dados, garantindo um sistema clinicamente operacional.

O Bacula oferece suporte a testes de integridade de backup e recuperação verificada

Presumir que tarefas de backup concluídas sejam backups restauráveis é perigoso. O Bacula oferece testes automatizados de integridade para ajudar as organizações a verificar regularmente a recuperabilidade dos dados. Isso também ajuda a armazenar evidências documentadas sobre a recuperação de dados e o tempo necessário para tal.

A base de código aberto do Bacula, disponível como Bacula Community Edition, é uma plataforma que oferece funcionalidade completa e backup e recuperação de nível de produção. A Community Edition fornece um conjunto substancial de recursos sem exigir licenciamento empresarial.

Os recursos empresariais do Bacula ampliam e aprimoram a mesma arquitetura, garantindo a conformidade com as obrigações de backup da HIPAA sem comprometer a arquitetura de segurança exigida pela proteção dos dados dos pacientes.

Por que a falha no backup costuma ser o verdadeiro desastre de segurança na área da saúde

O backup é importante porque sua falha pode ser um verdadeiro desastre de segurança na área da saúde, já que as organizações geralmente tratam o backup como um mecanismo de recuperação de último recurso.

Os backups normalmente falham porque as organizações da área da saúde valorizam mais a segurança de perímetro, a detecção de ameaças e o controle de acesso. Ou seja, testes de restauração negligenciados, corrupção de hardware e erros humanos, como alertas não monitorados ou configurações incorretas, levam à falha no backup.

Especificamente, quando os sistemas primários ficam indisponíveis, o backup é o único recurso. A possibilidade de recuperar dados ou enfrentar uma catástrofe organizacional depende da qualidade da arquitetura de backup, da abrangência completa do backup e da capacidade de recuperação testada das informações de backup.

Os autores de ataques de ransomware têm como alvo os backups antes mesmo de iniciar a criptografia dos sistemas de produção. Seu objetivo é eliminar as opções de recuperação, forçando a organização de saúde a pagar o resgate. Especificamente, os hackers utilizam acesso privilegiado para mapear redes, comprometer servidores de backup e apagar dados.

É necessária uma verificação proativa para identificar backups corrompidos ou incompletos durante uma emergência de dados em andamento.

Certas suposições sobre backups — consideradas razoáveis na era pré-ransomware — são inadequadas no cenário atual de ameaças, significativamente mais intenso. Apenas backups testados podem ser considerados funcionais.

Ao realizar testes, as organizações restauram dados do backup para um ambiente de teste. Em seguida, elas validam se os sistemas e dados restaurados estão completos e operacionais, sem se limitar a afirmar que o processo foi concluído sem erros.

Operadores de incidentes de ransomware em hospitais que conseguem usar os sistemas primários para acessar dados de backup criptografam esses dados. Os invasores exploram as vulnerabilidades relacionadas aos sistemas primários. Especificamente, eles se aproveitam de repositórios de dados conectados a redes, sistemas de gerenciamento de backup e ferramentas de backup em nuvem relacionadas a credenciais.

Se as organizações de saúde utilizarem uma arquitetura de backup eficaz, os hackers não conseguirão acessar os dados de backup comprometendo os sistemas primários. Mesmo que os invasores utilizem credenciais e segmentos de rede distintos, nem o isolamento físico (air-gap), nem a imutabilidade lógica, nem a separação arquitetônica os ajudarão a ter sucesso.

Quanto aos objetivos de recuperação, as organizações de saúde devem testar o Objetivo de Tempo de Recuperação (RTO). Ele indica o tempo que a restauração levará, em relação aos requisitos operacionais clínicos: especificações teóricas não importam.

E se um sistema de prontuários eletrônicos (EHR) em um hospital levar 72 horas para ser restaurado a partir do backup devido a operações clínicas gravemente prejudicadas? Tal cenário deve ser considerado antes do ataque, para que não seja uma surpresa durante ou após o ataque cibernético.

Como a tecnologia da informação na área da saúde mudará o futuro da segurança na proteção de prontuários eletrônicos?

O panorama da tecnologia de segurança para a proteção de prontuários eletrônicos está evoluindo com avanços rápidos, transformando o futuro da segurança da informação na área da saúde. Mudanças fundamentais nesse panorama são resultado do rápido crescimento da inteligência artificial, da expansão da interoperabilidade dos dados de saúde e das soluções criptográficas modernas. Essas mudanças afetam a forma como as organizações de saúde processam e compartilham dados confidenciais de pacientes.

Como a inteligência artificial e o aprendizado de máquina podem melhorar a detecção de ameaças e a preservação da privacidade?

Modelos de análise comportamental e aprendizado de máquina baseados em IA, desenvolvidos a partir de padrões normais de acesso de usuários individuais, podem detectar desvios relacionados a acessos indevidos. Além disso, eles podem identificar credenciais comprometidas com maior precisão do que sistemas de detecção baseados em regras. Isso pode ajudar as organizações de saúde a detectar ameaças e proteger a privacidade dos pacientes com sucesso.

Quais são os desafios na área da saúde? Por exemplo, um médico ou enfermeiro que esteja atuando em um serviço com o qual não está familiarizado pode acessar registros sem intenção maliciosa. Modelos que geram um grande número de falsos positivos podem não agregar valor à segurança, e modelos que reduzem o número de falsos positivos podem deixar de detectar anomalias reais.

Uma abordagem descentralizada de aprendizado de máquina ajuda a detectar ameaças sem utilizar dados confidenciais de pacientes para fins de treinamento. Graças a esse treinamento descentralizado de IA, os modelos de IA treinados com os dados protegidos pelo firewall da organização circulam entre organizações. Apenas as atualizações matemáticas anônimas podem circular globalmente.

Quais são as implicações de segurança do aumento da interoperabilidade e da troca de dados de saúde?

A agenda de interoperabilidade na área da saúde dá origem a um ecossistema de dados de saúde que permite que as informações dos pacientes circulem livremente entre prestadores de serviços de saúde, pacientes e entidades financeiras. Como resultado, as questões de segurança tornam-se muito mais complexas.

Essa agenda baseia-se em determinadas regulamentações, incluindo as regras de bloqueio de informações do Escritório do Coordenador Nacional de TI em Saúde e os requisitos de interoperabilidade dos Centros de Serviços do Medicare e Medicaid (CMS).

Arquiteturas de segurança eficazes protegem os dados além dos ambientes fechados de prontuários eletrônicos (EHR), visando um ecossistema mais aberto sem sacrificar os benefícios clínicos proporcionados pela interoperabilidade.

Especificamente, as APIs Fast Healthcare Interoperability Resources (FHIR), que estão na base da atual expansão da interoperabilidade, apresentam requisitos especiais de segurança. Por exemplo, padrões como estruturas de autorização OAuth 2.0, controles de segurança de gateways de API e práticas de gerenciamento de tokens são novos requisitos no cenário de segurança de APIs da área da saúde que as organizações devem cumprir.

Será que o blockchain, a criptografia homomórfica ou o aprendizado federado poderiam mudar a forma como os EHRs são protegidos?

A criptografia homomórfica permite realizar cálculos em dados criptografados sem descriptografá-los. Isso é teoricamente importante para aplicações na área da saúde, pois a análise de dados confidenciais de pacientes não deve expor os registros subjacentes.

Essa análise de dados criptografados de EHRs ajuda a identificar lacunas nos dados de saúde ou populações de risco sem acessar informações legíveis dos pacientes.

A tecnologia blockchain é um mecanismo potencial para o controle dos dados de saúde pelos próprios pacientes, o gerenciamento de consentimentos e o registro de auditorias.

O uso prático da tecnologia blockchain na área da saúde é valioso para controlar o acesso aos dados dos pacientes, combater ameaças internas e melhorar a resiliência contra ataques à criptografia de dados.

O aprendizado federado, já mencionado, pode ser valioso na prática para o desenvolvimento de modelos colaborativos de IA que preservem a privacidade dos dados. E essa é a categoria tecnológica que melhor auxilia na implementação prática de aplicações de segurança na área da saúde.

Que lista de verificação prática e recomendações as organizações podem seguir agora?

Listas de verificação práticas e recomendações, como a autenticação multifatorial e a validação da arquitetura de backup, ajudam as organizações a combater ataques utilizando o conhecimento sobre ameaças, em vez de enfrentarem outra violação.

Essas recomendações podem ser organizadas como ações imediatas para reduzir os riscos atualmente, investimentos na construção de uma segurança robusta e práticas colaborativas além dos controles de segurança da organização.

Quais medidas de segurança imediatas as organizações da área da saúde devem priorizar para os sistemas de prontuários eletrônicos (EHR)?

A autenticação multifatorial (MFA) em todos os acessos aos prontuários eletrônicos (EHR) pode ajudar as organizações da área da saúde a reduzir significativamente os riscos sem custos de implementação mais elevados. A MFA tem o impacto mais amplo contra phishing, roubo de credenciais e ataques de força bruta. E os invasores do setor da saúde utilizam principalmente esses mecanismos de acesso.

A revisão e a redução de acessos privilegiados são outra medida que as organizações devem priorizar ao lidar com privilégios excessivos, encontrados na maioria das principais violações no setor de saúde. As organizações devem incluir, nessa revisão, serviços, acessos de fornecedores e contas legadas com privilégios acumulados.

Em seguida, vem a validação da arquitetura de backup. Essa medida de segurança ajuda as organizações a testar a capacidade de recuperação dos backups em condições realistas. Ela garante que os dados de backup estejam separados do acesso à rede primária.

Além disso, confirma se o objetivo de tempo de recuperação (RTO) aborda o ponto de falha, determinando se os dados comprometidos são recuperáveis ou se podem levar a consequências catastróficas.

Por fim, a revisão da segmentação de rede permite que as organizações da área da saúde avaliem se os sistemas de prontuários eletrônicos (EHR), dispositivos médicos e redes clínicas estão devidamente separados entre si e das redes de uso geral. Isso ajuda a melhorar a resiliência contra ataques de ransomware em hospitais.

Lista de verificação de segurança em 10 etapas para a proteção de prontuários eletrônicos em organizações da área da saúde

Que investimentos contínuos em governança, treinamento e aspectos técnicos devem ser planejados?

As organizações da área da saúde devem elaborar treinamentos de conscientização em segurança com foco nos obstáculos que dificultam a adesão e a mudança de comportamento da equipe de saúde. As métricas de cumprimento de conformidade são menos importantes.

O foco principal deve estar em conteúdos específicos para cada função, simulações realistas de phishing e lições aprendidas com cada caso específico. Módulos anuais de conscientização geral oferecem menos valor.

As organizações também devem investir em programas de gestão de riscos de terceiros para estabelecer consistência na avaliação de segurança de fornecedores, na gestão do Acordo de Parceria Comercial (BAA) da HIPAA, no monitoramento contínuo e na notificação de violações.

Por fim, é essencial investir em capacidade de detecção de ameaças. Isso significa que as organizações devem implantar o gerenciamento de informações e eventos de segurança (SIEM), aplicar o gerenciamento de logs, analisar o comportamento dos usuários e aprimorar a capacidade de investigação proativa de ameaças. Como resultado, elas poderão preencher a lacuna de detecção responsável por grandes violações no setor de saúde.

Como pacientes e prestadores de serviços de saúde podem colaborar para construir confiança e resiliência nos ecossistemas de prontuários eletrônicos (EHR)?

Os pacientes podem auxiliar significativamente os prestadores de serviços de saúde na construção de confiança e resiliência ao utilizar ativamente os portais do paciente e revisar seus registros pessoais. Com isso, eles ajudarão a reduzir os riscos e as consequências catastróficas decorrentes de violações no controle de acesso e do roubo de identidade médica. E as organizações de saúde devem incentivar esse comportamento dos pacientes.

Além disso, as organizações de saúde devem incentivar a comunicação transparente entre pacientes e prestadores de serviços de saúde sobre práticas de segurança. Especificamente, os prestadores de serviços de saúde devem informar os pacientes sobre as práticas de proteção de dados e sobre como devem relatar atividades suspeitas.

Como resultado, a relação paciente-prestador de serviços de saúde se tornará mais confiável. Os pacientes ficarão mais bem informados sobre como detectar e relatar anomalias.

Perguntas frequentes

Como as organizações de saúde podem detectar o acesso indevido aos dados dos pacientes antes que ocorra uma violação grave?

Para detectar precocemente o acesso não autorizado aos dados dos pacientes, as organizações de saúde devem se concentrar no monitoramento comportamental dos acessos no ambiente de prontuários eletrônicos (EHR).

Especificamente, a análise do comportamento do usuário ajuda a revelar acessos às informações dos pacientes em horários incomuns ou o download de volumes excepcionalmente grandes de registros. Esses são sinais de alerta visíveis antes de uma grande violação de dados.

Além disso, esses padrões de monitoramento da atividade do usuário podem ser combinados com registros de autenticação, tráfego de rede e registros de acesso ao EHR para obter maior eficácia.

Quais são os maiores desafios de segurança na migração de prontuários médicos eletrônicos para ambientes em nuvem?

É fundamental compreender as responsabilidades de segurança tanto do provedor de nuvem quanto da organização de saúde. Muitos prestadores de serviços de saúde muitas vezes desconhecem as responsabilidades de segurança que lhes cabem e só as descobrem após a migração.

Além disso, é fundamental prestar atenção ao gerenciamento de identidade e acesso em ambientes de nuvem. Isso porque as violações relacionadas à nuvem são comumente causadas por armazenamento em nuvem sem configuração adequada e controles de identidade.

Por fim, os prestadores de serviços de saúde devem investir em recursos de segurança nativos da nuvem, em vez de se concentrarem em replicar na nuvem os controles locais.

Como os dispositivos médicos legados e os sistemas hospitalares desatualizados enfraquecem a proteção da segurança cibernética dos prontuários médicos?

Muitas vezes, os sistemas operacionais de dispositivos médicos legados, incluindo bombas de infusão e monitores de pacientes, não são mais suportados por seus fabricantes. Além disso, atualizá-los significa afetar a certificação dos dispositivos. Como resultado, esses dispositivos tornam-se vulneráveis, são incapazes de suportar mecanismos modernos de autenticação e utilizam protocolos sem criptografia. Assim, transformam-se em uma superfície potencial para ataques.

Para gerenciar os riscos, os prestadores de serviços de saúde devem aplicar a segmentação de rede para isolar os dispositivos da rede mais ampla. Além disso, devem monitorar as comunicações de rede dos dispositivos para detectar atividades anômalas e exigir que os fabricantes forneçam atualizações de segurança.

Ademais, os prestadores devem implementar políticas de aquisição para que as compras de novos dispositivos médicos ofereçam recursos de segurança.