Proteção de dispositivos médicos: orientações atualizadas do H-ISAC sobre nova regra da FDA
O quarto trimestre é importante em todo o ecossistema de saúde por inúmeras razões. As entidades pagadoras lidam com o pico de registros em serviços, e os provedores correm para concluir exames anuais em seus painéis de pacientes.
No setor de HCIT, o segundo semestre de 2023 também teve um marco importante: desde 1º de outubro, a FDA (Food and Drug Administration) dos EUA pode usar sua autoridade para recusar as propostas de pré-comercialização enviadas por fabricantes de dispositivos médicos se eles não incluírem um software e recursos de atualização para fins de cibersegurança.
Já estava na hora. De acordo com um relatório recente do FBI, 53% dos dispositivos médicos conectados e outros dispositivos de Internet das coisas (IoT) em hospitais têm vulnerabilidades críticas conhecidas; um terço dos dispositivos de IoT de serviços de saúde apresentam um risco crítico identificado que pode afetar sua operação e funções técnicas.
A invasão de dispositivos é um perigo para pacientes do mundo todo
Em particular, a American Hospital Association citou avisos da FDA de que algumas bombas de insulina podem estar sob o risco de ataque de hackers. Essa não é exatamente uma notícia sem precedentes: em 2011, o problema ganhou as manchetes quando um pesquisador da conferência da Black Hat nos EUA demonstrou como as bombas de insulina sem fio poderiam ser hackeadas remotamente de uma forma que poderia causar mortes de pacientes.
Contudo, dado o crescimento exponencial de dispositivos de HCIT, especialmente da tecnologia de gestão da diabetes, como se observa no relatório semestral de 2023 da FitchSolutions sobre os principais temas e tendências de mercado dos dispositivos médicos, os perigos podem aumentar.
"Essa é uma grande preocupação para o país e para outros países também", disse à WNYW-TV New York o Dr. Mark Jarrett, consultor de saúde sênior da Northwell Health, afirmando que há uma "ameaça de risco à vida" para os pacientes.
Tecnologias legadas mais suscetíveis
Há enormes benefícios clínicos e financeiros a serem obtidos com a integração de dispositivos que realizam o monitoramento remoto de pacientes, fornecem medicamentos e proporcionam cuidados virtuais.
No entanto, como a nova lei da FDA não se aplica aos milhões de dispositivos médicos já em uso, ou seja, tecnologias legadas que não possuem atualizações de segurança ou protocolos de criptografia essenciais, existe uma grande superfície de ataques cibernéticos, que pode ter implicações em todo o ecossistema de serviços de saúde.
"Temos vivido com esse risco e continuaremos vivendo com esse risco", disse também à WNYW o diretor de segurança da informação do Hospital de Cirurgia Especial (HSS), Virkrant Arora.
Planos de contingência de resposta a incidentes
No entanto, ao contrário de muitos outros hospitais menores, que não possuem departamentos para monitorar e atualizar sistemas, e daqueles com instabilidades financeiras que poderiam levar ao seu fechamento , o HHS tem vários planos de contingência.
"No caso de um dispositivo ser comprometido, há um manual sobre como responder ao incidente sem afetar significativamente o atendimento ao paciente", disse Arora.
Esses protocolos estão de acordo com as recomendações do H-ISAC (Centro de Análise e Compartilhamento de Informações de Saúde). O novo white paper do H-ISAC, "Improving Medical Device Security by Moving From Shared to Defined Responsibility", inclui orientações essenciais sobre os complexos processos de atualização, correção e gerenciamento de vulnerabilidades.
Comunicação das principais recomendações
No passado, um desafio significativo era que grupos como organizações de prestação de serviços de saúde e fabricantes de dispositivos médicos entendiam que tarefas como proteção, controle de acesso e gerenciamento de vulnerabilidades seriam tratadas pela outra parte, resultando em vulnerabilidades não resolvidas.
As orientações do H-ISAC incluem uma abordagem mais definida, levantando a importação de mais comunicação e trabalho em equipe para estabelecer uma matriz RACI (responsabilidade/aprovação/consulta/comunicação).
As principais recomendações incluem:
Definir as responsabilidades das tarefas entre as partes interessadas para reduzir o risco geral de falha
Usar uma matriz de atribuição de responsabilidades para definir obrigações em tarefas para todas as partes que trabalham com dispositivos médicos (o H-ISAC fornece um modelo abrangente e personalizável sugerido)
Atualizar continuamente as matrizes e comunicá-las
Entender a distribuição de responsabilidades das soluções de software operacional, desde dispositivos médicos de "caixa preta" até serviços de nuvem
A falta de segurança pode custar dinheiro e até mesmo vidas
O relatório do H-ISAC segue orientações da CISA sobre softwares não suportados ou em fim de vida útil. Embora a falta de investimento de capital em novos equipamentos seja compreensível, especialmente para organizações com restrições de dinheiro que enfrentam custos operacionais astronômicos após a pandemia, a história mostra que os efeitos de não lidar com possíveis ameaças à segurança podem ser críticos.
Ataques de ransomware visam vulnerabilidades
Em 2017, hackers norte-coreanos exploraram uma vulnerabilidade do Windows (chamada de EternalBlue) em ataques do ransomware WannaCry. Embora a Microsoft tenha corrigido a vulnerabilidade, as edições sem suporte, como o Windows XP e o Windows 8, estavam vulneráveis.
Estima-se que 90% do Serviço Nacional de Saúde do Reino Unido (NHS) utilizava o Windows XP, um sistema operacional que a Microsoft parou de atualizar em 2014. Os ataques do WannaCry forçaram unidades do NHS a cancelar milhares de consultas e cirurgias agendadas, com implicações financeiras de um valor estimado de £ 92 milhões.
O perigo de senhas padrão
Apesar dos ataques de alto nível, o IDC declarou recentemente que "não é incomum que os dispositivos médicos ainda tenham suas senhas e configurações padrão, que podem ser facilmente descobertas em manuais publicados online por agentes de ameaça".
O relatório da CISA observa que o uso de senhas e credenciais fixas ou padrão é "perigoso e eleva significativamente o risco à segurança nacional, à segurança econômica nacional e à saúde e segurança públicas nacionais". A agência governamental dos EUA também emitiu o mesmo aviso para o uso de autenticação de fator único para acesso remoto ou administrativo a sistemas destinados à operação de "infraestrutura crítica designada e funções críticas nacionais (NCF)".
Prevenir, proteger e capacitar
A Akamai pode ajudar com essas questões:
Impeça a apropriação indevida de contas e violações de dados de funcionários com o Akamai MFA, nossa MFA (autenticação multifator) à prova dephishing.
Proteja sua força de trabalho híbrida e melhore o acesso com o Akamai Enterprise Application Access
Capacite suas equipes de TI de serviços de saúde com uma abordagem de prevenção em primeiro lugar, em vez de uma abordagem somente alerta, independentemente de os dispositivos serem legados ou novos, com um modelo de segurança Zero Trust: a abordagem mais abrangente de todas quando os dispositivos que provavelmente nunca se destinaram a ser conectados a qualquer coisa agora devem se conectar a quase tudo.
A prevenção pode realmente ser o melhor remédio (de mais uma maneira!) na área de serviços de saúde.
