Ciberataques tornaram-se o maior motivo de preocupação para as organizações e indivíduos. Esta preocupação decorre principalmente do fato de que as organizações estão mal preparados para lidar com ameaças cibernéticas. Para acrescentar a isto, os hackers não estão deixando pedra sobre pedra para obter acesso a dados que valem milhões.
Vários segmentos foram os que mais sofreram com as fraudes de dados, e saúde não é exceção. De acordo com a revista SC UK, metade dos ataques em 2017 estavam direcionado para a saúde. Se nós diagnosticarmos melhor a saúde do setor, violação de registros eletrônicos de saúde (EHR) continua inabalável. De acordo com um pesquisa pela Accenture, apesar das medidas de proteção de dados digitais, 26% dos consumidores de saúde experimentaram violação de dados em 2017.
Por que a segurança EHR é essencial
Os dados EHR tornaram-se um dos segmentos mais lucrativos para hackers. Isso é ainda comprovado pelas incessantes violações que estão sendo relatadas em todo o mundo, os EUA sendo altamente afetados. Mas o que torna os dados de EHR dignos de segmentação precisa ser analisado. EHRs são dados de pacientes altamente confidenciais que não apenas contêm informações de saúde do indivíduo, mas também outras informações pessoais, como o endereço do paciente, Número do Cartão de Crédito, número do seguro social e outras credenciais importantes. Esses dados, se vazados, resultarão em fraudes de cartão de crédito, exploração de seguradoras e outros riscos, como duplicidade de cartões de identificação.
É por isso que é de extrema importância para os provedores de saúde e as organizações irem além dos procedimentos convencionais de auditoria e seguir outras medidas disruptivas. As medidas, como monitoramento da integridade do arquivo ou gerenciamento de mudanças, evitar configurações incorretas e conduzir continuamente a conformidade são a chave para o aprimoramento geral da segurança.
Intervenções para proteger a segurança EHR
Monitoramento de integridade de arquivo
Grandes hospitais são uma rede complexa de departamentos, ativos, e dados. A mudança é prolífica quando se trata de alterar ativos, como hardware, atualizações de software além de outras atualizações de dados. Portanto, monitorar mudanças e reconciliar mudanças em arquivos originais é essencial para descobrir adulteração. Por esta, controles básicos ou o monitoramento de integridade de arquivo precisam ser usados para rastrear quais mudanças foram feitas, como isso foi feito e quem fez essas alterações para verificar se há ajustes não autorizados.
Vários produtos de software FIM estão disponíveis e podem ser adotados nos sistemas de TI das organizações de saúde para garantir que a integridade dos dados seja mantida. Alguns dos softwares mais conhecidos incluem tripwire de código aberto, OSSEC entre outros.
Evite configurações incorretas no ecossistema EHR
Começar com, proteger o ecossistema EHR requer quão bem seus ativos sejam configurados e protegidos. Muitas violações de dados EHR acontecem simplesmente por causa de servidores comprometidos, permitindo que dados maliciosos acessem os dados EHR. Um desses incidentes aconteceu na BJC Healthcare at St. Louis, Missouri, os pacientes confidenciais’ dados de saúde foram comprometidos porque foram deixados acessíveis ao público. Outro incidente semelhante aconteceu em abril 2018, quando o banco de dados mal configurado de um provedor de Nova York resultou na violação de 63,400 registros de pacientes. Portanto, erros de configuração precisam ser monitorados continuamente para evitar violações. A respeito disso, produtos de software de monitoramento aberto como Zabbix que têm recursos de correção para reparar e modificar sistemas não compatíveis podem ser colocados em uso.
Conformidade Contínua do Ecossistema
Regente conformidade contínua para uma organização de saúde é difícil, pois exige o cumprimento de uma série de mandatos e regulamentos. Contudo, para eliminar o risco de violações de dados, a conformidade contínua dos dados de saúde precisa ser feita. Investir em conformidade regulatória e do setor de saúde, como regulamentos da Food and Drug Association, HIPAA é obrigatório. Os provedores de saúde precisam ter conformidade automatizada e contínua em um ambiente de TI dinâmico. Por exemplo, Imperva é uma solução automatizada que ajuda a agilizar a auditoria de banco de dados e conformidade.
Gerenciamento de risco de terceiros
Muitas vezes, risco associado a fontes externas, como fornecedores terceirizados, é frequentemente ignorado. Como alguns dos contratos com fornecedores não são de grande relevância, profissionais de saúde negligenciam a necessidade de considerar o risco. Mas é preciso entender que terceiros associados também fazem o instalações médicas vulnerável a ataques cibernéticos. Por exemplo, um farmacêutico que teve acesso ao prontuário do paciente atualizou seu software, e durante o processo, os servidores eram acessíveis ao público. Isso resultou em um ataque cibernético aos dados de EHR que originalmente eram propriedade de uma grande organização de saúde. O risco de terceiros pode ser gerenciado classificando o tipo de risco envolvido e conduzindo devidamente sua triagem, integração e monitoramento da devida diligência.
The Bottom Line
Embora as intervenções mencionadas acima sejam soluções seguras para proteger o banco de dados EHR, o risco interno da equipe também deve ser monitorado. A equipe com acesso ao banco de dados e contas deve ser treinada para identificar o possível malware que pode estar na forma de e-mails de phishing. Além disso, automação é a chave para virar a maré na saúde. Garantir a visibilidade nas camadas de segurança também é essencial, pois essas camadas serão os endpoints que podem se auto-reparar e detectar anomalias no caso de o sistema ser invadido.
Sobre o autor: Emma Salvador
Emma Salvador, um mestre em ciência da computação tem talento para tecnologias de computação. Tem mais de 15 anos de experiência em segurança de sistema e IoT.