Como os provedores de serviços de saúde devem pensar em equilibrar os esforços de inovação com as metas de cibersegurança
Em 2023, pelo 13º ano consecutivo, o setor de saúde teve os maiores custos de violação de dados de todos os setores, com o custo médio atingindo US$ 10,93 milhões, o que representa um salto de mais de 53% desde 2020. Esse desafio é agravado pelas repercussões da COVID-19 que os provedores ainda estão enfrentando.
Muitos prestadores de serviços de saúde estão no limite de suas capacidades devido às limitações de pessoal e de recursos financeiros e a uma alta taxa de rotatividade. Os investimentos, quando disponíveis, são canalizados principalmente para inovações clínicas, como a telessaúde e a crescente Internet das Coisas Médicas (IoMT), com menos gastos organizacionais em funções mais tradicionais, como a evolução das abordagens de cibersegurança, que são essenciais para a resiliência organizacional.
Esta publicação do blog analisará como equilibramos a inovação com a segurança cibernética necessária para evitar os altos custos da violação de dados.
O número de ataques cibernéticos a provedores e hospitais continua a aumentar. A conectividade e a interoperabilidade impulsionadas por aplicativos Web e o uso obrigatório de APIs expõem os provedores e os pacientes a riscos. As vulnerabilidades não corrigidas e a dívida técnica da tecnologia legada são um desafio caro que os grupos de ransomware usam a seu favor.
E a ameaça contínua de ataques distribuídos de negação de serviço (DDoS) a hospitais, atribuída pelo Centro de Coordenação de Segurança Cibernética do Setor de Saúde (HC3) a grupos hacktivistas e ao clima geopolítico, está prejudicando o atendimento aos pacientes. Tudo isso está levando a violações de dados de informações de saúde protegidas (PHI), impactos negativos no atendimento ao cliente e, em alguns casos, problemas de segurança do paciente.
Uma batida constante de ataques atinge as organizações de provedores
A pesquisa da Akamai constatou que, durante o período de 12 meses de março de 2023 a fevereiro de 2024, os ataques a aplicativos Web e APIs contra organizações de provedores continuaram em um ritmo constante (Figura 1). É provável que essa tendência continue a crescer, com flutuações, à medida que os cibercriminosos aproveitam as vulnerabilidades novas e comprovadas inerentes aos modelos de atendimento em evolução, aos métodos de fornecimento e à inovação para atacar e abusar de aplicativos da Web e APIs.
Fig. 1: Os ataques mensais a aplicativos Web e APIs contra organizações de provedores em todo o mundo atingiram uma média de 21 milhões
A coordenação do atendimento possibilitada pelo compartilhamento de dados e pela interoperabilidade por meio do uso de aplicativos Web e APIs permite melhores resultados clínicos e financeiros. No entanto, o setor de saúde corre um risco significativo, pois as implicações de segurança das APIs ainda não são totalmente compreendidas. Felizmente, a Lei de Curas do século XXI de 2016 e sua nova Regra de Bloqueio de Informações estão impulsionando os requisitos de transparência para que os prestadores de serviços de saúde (e o restante do ecossistema) usem APIs.
Equilíbrio entre a coordenação ideal dos cuidados e o risco de vulnerabilidades
Devido ao grande número de registros de pacientes e pontos de conectividade do sistema, os provedores de serviços de saúde precisam otimizar a coordenação do atendimento e, ao mesmo tempo, implementar controles para fornecer visibilidade e reduzir proativamente o risco de vulnerabilidades. Esse equilíbrio costuma ser desafiador ao implantar novas tecnologias e infraestrutura, como APIs.
Os pesquisadores da Akamai também analisaram os ataques DDoS na camada de aplicativo (Camada 7) contra organizações de provedores durante o mesmo período de 12 meses e descobriram uma cadência constante de interrupções (Figura 2). Podemos atribuir isso, em parte, a uma campanha DDoS global do grupo hacktivista pró-Rússia Killnet contra o setor de saúde, com foco em organizações de provedores nos Estados Unidos. Ao longo desses 12 meses, os criminosos cibernéticos continuaram a alavancar ataques DDoS que introduziram riscos ao atendimento ao paciente.
Fig. 2: Os ataques de DDoS de Camada 7 mensais contra organizações de provedores em todo o mundo atingiram uma média de 406 milhões
Ataques DDoS estão estabelecendo novos recordes de escala e velocidade
Diferentemente dos ataques DDoS tradicionais de Camada 3/4 de infraestrutura, que visam sobrecarregar a infraestrutura de rede e de camada de transporte, os ataques DDoS de camada de aplicativo têm como alvo funcionalidades específicas de aplicativos ou o próprio servidor de aplicativos. Eles podem causar danos significativos mesmo com uma quantidade relativamente pequena de tráfego malicioso.
Com mais interações na área de saúde acontecendo por meio de aplicativos, é cada vez mais importante para a experiência do paciente obter informações e cuidados oportunos. Os ataques DDoS na Camada 7, na Camada 3/4 e no DNS (Sistema de Nomes de Domínio) estão estabelecendo novos recordes de escala e velocidade, portanto, é fundamental garantir que haja proteções e processos em vigor.
Ataques em várias frentes mantêm os provedores em alerta
Os ataques de ransomware que limitam o acesso aos registros de saúde e forçam as ambulâncias a mudarem a rota destacam o fato de que, se você não tiver acesso ao histórico médico, não poderá coordenar entre os prestadores de serviços de saúde. O retorno aos registros em papel interrompe o rastreamento das operações de atendimento ao paciente, a comunicação entre os principais departamentos e todos os serviços de pedidos.
Quando dados confidenciais são afetados, as organizações de provedores também precisam lidar com o impacto de uma violação de dados. A exploração de vulnerabilidades em ferramentas de software populares permite que agentes de ameaças não autorizados obtenham acesso a dados de ouro, desde informações de saúde protegidas até seguro de saúde e informações médicas.
E um aumento na atividade de DDoS, atribuído a desenvolvimentos geopolíticos e grupos hacktivistas, causou interrupções que podem ameaçar os resultados dos pacientes. Todo o ecossistema de saúde foi afetado. As organizações de prestadores de serviços foram as mais frequentemente visadas no ataque DDoS em grande escala da Killnet em 2023. O Centro de Coordenação de Segurança Cibernética do Setor de Saúde (HC3) alertou que as interrupções de serviço, mesmo que por apenas algumas horas, podem afetar o espectro das operações diárias, desde as rotineiras até as críticas, com consequências potencialmente significativas.
A proteção do paciente deve incluir proteção de dados
A capacidade de proteger e controlar o acesso aos dados do paciente faz parte do atendimento como um todo. Tradicionalmente, os orçamentos e as equipes de cibersegurança do setor de saúde são escassos, o que contribui para os desafios de proteção de dados. Porém, como os ataques cibernéticos contra grupos de prestadores de serviços de saúde continuam a ser manchetes, os grupos de prestadores continuam a aprimorar as parcerias de proteção terceirizada e a aumentar a cobertura de seguro cibernético.
A dinâmica continuará a crescer à medida que os prestadores de serviços de saúde se beneficiarem das atualizações das políticas do governo dos EUA, que foram criadas para aumentar a resiliência em todos os setores (como o de saúde) considerados infraestrutura crítica.
Defesas em camadas como medida preventiva
Os agentes de ameaças demonstraram que são altamente motivados e sofisticados, e não medirão esforços para executar ataques contra hospitais e outras infraestruturas de saúde. Ao priorizar a cibersegurança e as defesas em camadas, os prestadores de serviços de saúde podem proteger proativamente os pacientes e suas informações de saúde protegidas contra ataques cibernéticos e reduzir os riscos para a organização em várias frentes.
Você está no caminho certo? Esta lista de verificação pode ajudar você a concentrar seus investimentos adequadamente e a evitar os altos custos e os danos de grandes incidentes cibernéticos.
Implemente controles de segurança para seus aplicativos Web e APIs para garantir a visibilidade e a rápida mitigação de ataques cibernéticos
Proteja sua equipe com o Zero Trust Network Access (incluindo autenticação multifator (MFA) para evitar invasões de contas, microssegmentação para minimizar o impacto e um gateway seguro da Web para evitar a exfiltração de dados)
Proteja o acesso à sua infraestrutura com uma ferramenta de atenuação de DDoS para proteger os websites e a infraestrutura de TI, incluindo o DNS
Faça parcerias com fornecedores que ofereçam treinamento e conhecimento para configurar e gerenciar corretamente as soluções de cibersegurança
Saiba mais
Saiba mais sobre como a Akamai faz parceria com organizações de provedores para entender e solucionar ameaças emergentes e em evolução.
*Mark Hagland. Errol Weiss, da Health-ISAC, sobre este momento cibernético perigoso no setor de saúde. Inovação na área da saúde. 23 de janeiro de 2024.