Três maneiras de usar o Zero Trust para reduzir o risco cibernético no setor de saúde

Sistemas de computação herdados raramente atendem aos padrões de segurança atuais e muitas vezes não há patches de segurança.

A rotatividade de pessoal também pode criar lacunas de conhecimento sobre como manter esses sistemas, o que se tornou especialmente problemático desde a Grande Renúncia. Muitos funcionários com conhecimento herdado se aposentaram ou saíram, e há uma ampla falta de pessoal de segurança cibernética qualificado na área da saúde.

Na realidade, o recente relatório anual de cibersegurança da HIMSS (Healthcare Information and Management Systems Society) conclui que a barreira mais comum para alcançar um programa robusto de cibersegurança em ambientes de saúde é a falta de pessoal qualificado.

Os administradores fora da área de TI também tendem a subestimar o risco de cibercriminosos. Essa subestimação, quando combinada com o uso frequente de fornecedores terceirizados pela área da saúde, que pode introduzir vulnerabilidades e ampliar as superfícies de ataque, aumenta a probabilidade de uma violação de segurança.

Uma das melhores abordagens para combater o crime cibernético em organizações de saúde é o Zero Trust, uma estrutura de segurança que conta com autenticação e autorização fortes para cada dispositivo e cada pessoa antes que qualquer acesso ou transferência de dados ocorra em uma rede privada.

O Zero Trust garante que nenhum usuário ou dispositivo, independentemente do status do usuário na organização, seja confiável como autêntico até a verificação. Isso ocorre mesmo se o usuário já tiver feito login muitas vezes antes e se as tentativas de acessar a rede vêm de dentro ou de fora da organização. O Zero Trust oferece um conjunto abrangente de estratégias de segurança que vão além das medidas tradicionais baseadas em perímetro.

Um aspecto fundamental do Zero Trust é a microssegmentação. Essa estratégia de defesa lateral ajuda as organizações de TI a mapear e entender quais aplicações estão se comunicando com outras aplicações, usuários e dispositivos.

Exemplo. Considere um sistema de monitoramento neonatal que se comunica com um sistema centralizado de coleta de dados. Se a rede falhar, esse monitor pode continuar a ser executado? A microssegmentação permite que o sistema seja arquitetado de forma que, se a rede central falhar, o sistema possa continuar funcionando e os bebês possam continuar a ser monitorados.

Sistemas de registros eletrônicos de saúde, cuja maioria possui portais ou apps em que os pacientes podem solicitar medicamentos ou pagar contas, são enormes alvos clínicos e financeiros para hackers. Como esses recursos exigem medidas rígidas de proteção, as organizações devem adotar uma abordagem Zero Trust para essas soluções, exigindo protocolos de login seguros para a equipe e os pacientes.

Exemplo. Os protocolos Zero Trust e os princípios Zero Trust voltados ao paciente também devem ser aplicados a pacientes que necessitam de cuidados crônicos e usam dispositivos de monitoramento remoto de paciente. As conexões com as redes das organizações devem ser protegidas. As soluções para proteger os dados de saúde devem permitir que as organizações de saúde rastreiem a postura de risco de dispositivos médicos conectados e avaliem vulnerabilidades como recalls da FDA, atualizações de patches e muito mais.

As políticas BYOD (Bring Your Own Device, traga seu próprio dispositivo) podem estabelecer diretrizes claras sobre como os funcionários usam seus dispositivos pessoais para tarefas relacionadas ao trabalho, incluindo quais tipos de dados podem ser acessados e como esses dados devem ser protegidos. Isso pode ajudar a evitar violações de dados e outros ataques cibernéticos que resultam de acesso não autorizado. As políticas BYOD (Traga seu próprio dispositivo) também são importantes para a equipe de suporte e a equipe clínica que trabalham em casa e têm acesso remoto à rede.

Exemplo. As políticas de som devem exigir que os funcionários instalem e atualizem frequentemente softwares de segurança em seus dispositivos, usem redes Wi-Fi seguras, criptografem dados transmitidos por essas redes e relatem imediatamente quaisquer dispositivos perdidos ou roubados. Adotadas em conjunto e aplicadas de forma vigilante, estas políticas podem ajudar a impedir o acesso não autorizado a dados sensíveis e a mitigar o impacto de potenciais ataques cibernéticos.

Como as violações de dados são uma ameaça significativa para organizações de provedores de serviços de saúde, hospitais e aqueles que interagem com eles em todo o ecossistema do setor, é necessário tomar medidas proativas para proteger os dados dos pacientes. Ao investir na infraestrutura de segurança, treinar o pessoal e adotar uma abordagem Zero Trust, as organizações de saúde garantem que os dados dos pacientes sejam protegidos e que suas reputações permaneçam intactas.

Não espere para implementar um modelo Zero Trust de cibersegurança na área da saúde. Proteger a privacidade do paciente e a segurança dos dados é vital para o tempo de atividade contínuo e a capacidade de oferecer um excelente atendimento ao paciente. À medida que os pacientes se tornam mais conscientes dos riscos de violações de dados, os prestadores de serviços de saúde que priorizam a segurança de dados terão uma vantagem competitiva.