Por que os pagadores são essenciais para a segurança de APIs em todo o ecossistema de serviços de saúde
Em sua comemoração aos 10 anos de relatórios SOTI (State of the Internet), a Akamai compartilhará insights dos principais setores que atendemos, incluindo as áreas de saúde e ciências biológicas. Esta é a primeira publicação do blog em uma série SOTI que culminará em um relatório abrangente no final deste ano.
Com acesso robusto a dados clínicos e financeiros, os pagadores fazem a ponte entre o compartilhamento de dados com todo o ecossistema de saúde e dependem cada vez mais das interfaces de programação de aplicações (APIs) para isso. As APIs possibilitam o compartilhamento de dados entre provedores, pagadores, pacientes e outras partes, como sistemas eletrônicos de registros de saúde, empresas de dispositivos médicos e sistemas de troca de informações de saúde.
A busca por interoperabilidade permite melhores resultados financeiros e para os pacientes, mas também tem desvantagens; principalmente, requisitos de conformidade significativos e considerações sobre segurança. Os cibercriminosos e os agregadores estão atacando e violando esses recursos, o que pode resultar em problemas de segurança e privacidade.
Para os pagadores, os ataques habilitados por APIs também podem resultar em interrupções de serviço que afetam operações de cadastro e reivindicação, levam a tempo de inatividade oneroso e prejudicam a marca da empresa.
Nesta publicação do blog, analisamos dados e tendências de ameaças relacionadas a ataques a APIs para entender a extensão dos riscos e apresentar as melhores práticas para sua mitigação.
Análise aprofundada de ataques a APIs
Pesquisas da Akamai identificaram que, de janeiro a dezembro de 2023, quase metade dos ataques a APIs direcionados ao ecossistema de saúde (pagadores, provedores e empresas farmacêuticas e de ciências biológicas) visaram organizações pagadoras. Isso indica que os pagadores enfrentam um maior risco de violação de APIs por invasores do que outros subverticais do setor menos centrados em ferramentas digitais.
Vemos uma tendência semelhante em outros setores regulamentados, especialmente naqueles que lidam com sistemas de pagamento. O setor financeiro, por exemplo, está mais adiantado em sua jornada de transformação digital e já está usando APIs mais integradas como parte de seus modelos de negócio. O Open Banking está ampliando seu uso de APIs, o que tem causado mais riscos à segurança. Portanto, o setor financeiro está sofrendo uma concentração maior de ataques focados em APIs. (Leia mais sobre as tendências de ataque no recente relatório State of the Internet (SOTI) da Akamai, Escondido nas sombras: as tendências de ataque revelam as ameaças às APIs.)
Ao examinar mais de perto os dados de ataque a APIs de pagadores, os pesquisadores da Akamai observaram flutuações na atividade durante o ano. Isso pode refletir a variabilidade na frequência da troca de dados. Embora os pagadores e provedores estejam passando a realizar trocas semanais ou diárias, há muitas áreas em que a troca de dados continua sendo mensal, como as trocas de dados federais-estaduais.
No entanto, o pico de atividade observado pelos pesquisadores da Akamai no início do quarto trimestre de 2023 e um aumento geral na atividade nesse tempo provavelmente podem ser atribuídos a invasores que visavam períodos de registro em serviços para interromper as operações (Figura).
Em 2023, os ataques da Web contra APIs apresentaram uma tendência de aumento em cada trimestre, com um aumento geral no último trimestre do ano
O cenário regulatório exige APIs cada vez mais
A promessa de melhores resultados financeiros e clínicos por meio do intercâmbio de dados e a necessidade de cumprir os requisitos regulatórios que controlam esse intercâmbio caminham lado a lado. O importante é entender e otimizar os dois aspectos.
A mudança para o atendimento baseado em valor (VBC), uma abordagem longitudinal que recompensa os resultados de saúde em relação aos volumes de consultas, é um exemplo primordial da quantidade e variedade de informações que agora precisam ser compartilhadas. Há muito tempo, os pagadores têm acesso aos dados financeiros de pacientes e provedores. Porém, mais pontos de dados de VBC, como adesão a medicamentos e internações hospitalares, exigem um continuum que não seja apenas mais inovador, mas também mais interoperável, além de exigirem um meio de compartilhar esses dados. As APIs são os canais.
Atualmente, não existem regulamentações que abordem especificamente o uso ou a segurança de APIs, mas há uma série de regulamentações existentes que incluem requisitos de API, como o Regulamento Geral de Proteção de Dados (GDPR), a Diretiva de Serviços de Pagamento revisada da União Europeia (PSD2) e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).
Os requisitos para APIs estão evoluindo rapidamente. Em especial, o PCI DSS v4.0 de março de 2024 inclui novos padrões sobre o uso de APIs no desenvolvimento e manutenção de sistemas e software para reduzir o risco de comprometimento.
Além disso, uma nova Regra de Interoperabilidade e Autorização Prévia do CMS exige que os pagadores mantenham três categorias principais de APIs.
API de acesso de pacientes: aumentará o acesso de membros a seus próprios dados médicos e, provavelmente, aumentará sua satisfação
API de diretório de provedores: permite que os membros pesquisem provedores de serviços de saúde e instalações com base em sua localização e especialidade médica, melhorando o acesso ao atendimento
APIs de pagador-provedor e pagador-pagador: podem ajudar a resolver e reduzir as lacunas no atendimento aos pacientes e, possivelmente, evitar serviços duplicados e dispendiosos
A intenção maior é reduzir os onerosos encargos administrativos, especialmente o processamento manual de autorizações prévias, o que pode significar que os pacientes precisem esperar que a seguradora aprove determinados procedimentos médicos antes que eles sejam realizados. Atrasos podem resultar em impactos médicos negativos (e, muitas vezes, caros).
A complexidade administrativa, incluindo processos de autorização prévia, custa US$ 265,6 bilhões por ano ao setor de saúde dos EUA."
Melhor desempenho pode significar maior risco
O desempenho está se tornando uma preocupação maior, pois os pacientes esperam o mesmo nível de experiência do usuário em todas as suas aplicações. Isso significa que o ecossistema de saúde precisa ser protegido contra ataques de negação de serviço e de ataques de violação.
Embora o uso intenso de APIs por parte de pagadores proporcione enormes benefícios, ele também apresenta riscos. A proliferação de APIs pode levar a uma falta de visibilidade que se torna mais obscura à medida que a superfície de ataque se expande. As APIs geralmente fazem parte de projetos complexos de transformação digital e, por isso, podem não estar no radar das organizações da área de saúde. E os programas de segurança, menos ainda. (No entanto, existem alguns padrões de referência excelentes, como a lista OWASP Top 10 API Security Risks).
Para agravar os desafios dos pagadores, os tipos de dados, tanto médicos quanto financeiros, envolvidos nas atividades comerciais diárias são altamente regulamentados e podem ser alvo de cibercriminosos.
Defesa do ecossistema com visibilidade
Do ponto de vista do gerenciamento de riscos e da conformidade, a segurança de APIs é mais importante do que nunca. No entanto, devido à proliferação de APIs, é cada vez mais complexo identificar, catalogar e proteger as APIs do setor de saúde.
Quatro marcos estratégicos
A adoção de um programa sólido de segurança de APIs ajuda a melhorar a visibilidade de todas as suas APIs e a entender sua exposição aos riscos para que você possa aumentar a proteção. Estes são quatro marcos estratégicos para um sólido programa de segurança de APIs.
Elimine os pontos cegos da infraestrutura descobrindo sistematicamente APIs não autorizadas ou de sombra e garanta que cada uma delas seja desativada ou incorporada aos controles de segurança de APIs.
Determine e fortaleça a postura de risco analisando tipos de alertas comuns e corrigindo falhas no código da API, resolvendo problemas de configuração incorreta e implementando processos para evitar futuras vulnerabilidades com base nas lições aprendidas.
Aprimore a detecção e a resposta a ameaças compreendendo o comportamento normal e identificando possíveis violações com base em picos de alertas de segurança de APIs. Em seguida, aplique procedimentos de resposta bem definidos para reduzir o risco e o volume de alertas a níveis normais.
- Desenvolva uma defesa mais forte estabelecendo uma estrutura formal de busca de ameaças a APIs com o objetivo de identificar possíveis ameaças antes que elas se transformem em um cenário reativo.
Agora é hora de agir
A transformação nunca terminará, mas agora é a hora de colocar as APIs sob controle. Organizações de saúde resilientes precisam de recursos para fornecer consciência situacional, facilitar investigações e executar uma resposta rápida.
Saiba mais
Saiba mais sobre como a Akamai faz parcerias com organizações de saúde e ciências biológicas para aprimorar seus programas de segurança.