Pesquisa de mercado de segurança cibernética em saúde

Um vírus totalmente diferente

Uma breve visão geral da batalha em curso para conter a onda de incursões cibernéticas no setor da saúde.

health-informatics.com Além do hacking subversivo no mundo dos negócios, onde informações privadas podem ser comprometidas e dados confidenciais da empresa podem ser evitados, medidas de segurança cibernética são agora empregadas para negar os efeitos do hacking por entidades estrangeiras, usadas como arma política. É um problema global cada vez mais sério e que exigiu a implementação de metodologias avançadas de segurança cibernética para neutralizar as capacidades cada vez mais sofisticadas dos hackers para subverter estes mesmos sistemas.

“Nos últimos anos, a segurança cibernética tem sido uma preocupação crescente na área da saúde, com ataques cibernéticos e vulnerabilidades de alto perfil causando perturbações para seguradoras, hospitais e fabricantes de dispositivos médicos. Os riscos para os pacientes também são elevados, pois os dados dos pacientes podem ser perdidos ou adulterados, os serviços hospitalares podem ser interrompidos ou os pacientes podem ser prejudicados através de ataques direcionados a dispositivos específicos… “ 1

Intervenção governamental para combater o crime cibernético

A rápida digitalização da indústria da saúde torna este sector particularmente vulnerável a ataques cibernéticos e este facto não passou despercebido ao Congresso dos EUA. O Comité de Energia e Comércio da Câmara reuniu-se recentemente para abordar a segurança cibernética no sector da saúde. Os Centros de Partilha e Análise de Informações (ISACS) podem ser fundamentais para fornecer maior segurança aos prestadores de cuidados de saúde e para frustrar os esforços de possíveis ciberataques.

Através dos esforços interactivos das 24 organizações que compõem o Conselho Nacional de ISACs (NCI), estão a ser feitos grandes esforços para “maximizar o fluxo de informação através das infra-estruturas críticas do sector privado e com o governo. Os setores e subsetores de infraestruturas críticas que não possuem ISACs são convidados a contactar o NCI para saber como podem participar nas atividades do NCI.”2

É, obviamente, um empreendimento hercúleo fortalecer a parceria entre entidades públicas e privadas na área da saúde no que diz respeito à segurança cibernética, considerando a miríade de indústrias e agências governamentais responsáveis pela regulação e prestação desses cuidados de saúde. O Congresso tem sido encorajado a conceder incentivos fiscais e outros incentivos para levar as empresas a envolverem-se no esforço contínuo dos ISACs.

A fraca participação impede a implementação da segurança cibernética

Infelizmente, as baixas taxas de participação entre as unidades de saúde têm sido um problema persistente nos esforços contínuos para implementar medidas eficazes de segurança cibernética em todo o setor. De acordo com Terry Rice, vice-presidente de gestão de riscos de TI e diretor de segurança da informação da Merck, “as empresas podem hesitar em compartilhar informações dentro de um ISAC se temerem que as informações não permanecerão confidenciais para seus membros”.3

“Acho que a estatística mais chocante foi realmente o fato de que 40% dos indivíduos no topo de uma organização – executivos como CEOs e CIOs, e até mesmo membros do conselho – não se sentiam pessoalmente responsáveis pela segurança cibernética ou pela proteção dos dados dos clientes.” Dave Damato, diretor de segurança da Tanium, em Caixa de gritos da CNBC, falando sobre segurança cibernética no setor de saúde 13

O alto custo do crime cibernético na saúde

Além da ameaça óbvia de comprometimento de informações de pacientes e outros incidentes de roubo de dados, as falhas de segurança cibernética são incrivelmente caras, no valor de $6,2 bilhões anualmente, de acordo com um projeto de pesquisa de 2016 conduzido pelo Poneman Institute. Os insights revelados em seus estudos revelaram que “quase 90% das organizações de saúde… sofreram uma violação de dados durante os dois anos anteriores. Quarenta e cinco por cento tiveram mais de cinco violações de dados nesse período, com o custo médio de um ataque cibernético totalizando $2,2 milhões. Os dados contidos nos registros eletrônicos de saúde (EHRs) são frequentemente citados como a razão pela qual os cuidados de saúde são um alvo tão atraente aos olhos de um hacker.”4

Por mais seguras que as pessoas gostem de acreditar que as suas informações de saúde estão na posse do consultório médico ou do hospital, muitas vezes não é esse o caso. A digitalização contínua dos registros de saúde tem sido uma proposta cara para o setor de saúde. Proteger toda essa informação é outra despesa monumental e, por vezes, esta parte da equação da segurança cibernética tem sido negligenciada no interesse da redução de custos ou apenas pela natureza de grande escala do esforço global.

A natureza lucrativa do roubo cibernético na área da saúde

É claro que os registos de saúde são uma mercadoria quente no mercado negro e podem render muito dinheiro a entidades que procuram obter informações pessoais, endereços de facturação e números de cartão de crédito. Hackear pode ser um empreendimento muito lucrativo, de fato. Considere este exemplo. “Os hackers roubaram mais de 2,2 milhões de registros de pacientes da 21st Century Oncology, com sede em Fort Myers, Flórida, em março de 2016. Um mês depois, alguém roubou um laptop com 205.748 registros de pacientes inseguros da Premier Healthcare, LLC.” 5

O Advento do Ransomware

Ransomware é um termo novo para a maioria das pessoas, familiarizando-se com os recentes ataques WannaCry desencadeados globalmente, paralisando sistemas de infra-estruturas críticas e provocando resgates financeiros significativos daqueles que foram vítimas da ansiedade e da potencial perda de dados características de tais ataques. O setor de saúde, em particular, é vulnerável a incursões de ransomware.

“Os hospitais são o alvo perfeito para esse tipo de extorsão porque prestam cuidados intensivos e contam com informações atualizadas dos prontuários dos pacientes. Sem acesso rápido a históricos de medicamentos, diretrizes cirúrgicas e outras informações, o atendimento ao paciente pode ser atrasado ou interrompido, o que torna os hospitais mais propensos a pagar um resgate em vez de correr o risco de atrasos que poderiam resultar em morte e ações judiciais.” 6

O malware ransomware, na verdade, bloqueia um computador e torna os dados inacessíveis, a menos que um resgate seja pago ao perpetrador. Normalmente esse pagamento é feito na forma de bitcoin. Na maioria dos casos, é estabelecido um limite de tempo para o pagamento do resgate, caso contrário os dados do computador serão destruídos. Embora a maioria das partes atingidas não pague o resgate, o suficiente o faz para torná-lo um empreendimento criminoso particularmente lucrativo.

O setor de saúde tem sido vulnerável a ataques de ransomware porque, surpreendentemente, muitos hospitais tomaram medidas inadequadas para evitar violações de segurança cibernética. Em vez disso, a maioria dos hospitais concentrou sua principal preocupação em cumprir a conformidade com a HIPAA e cumprir as diretrizes federais para garantir a segurança das informações dos pacientes. Em última análise, a maioria dos funcionários da área da saúde simplesmente não são treinados o suficiente para reconhecer e impedir ataques cibernéticos antes que eles ocorram. Mesmo quando existem medidas adequadas de formação e de cibersegurança, é um desafio contínuo enganar os perpetradores que permanecem constantemente um passo à frente do jogo.

Dispositivos IoT também estão em risco

Para adicionar uma camada de seriedade à situação atual, os ataques cibernéticos podem afetar não apenas computadores, mas também dispositivos que estão conectados a eles. Ferramentas médicas, monitores cardíacos e de glicose são apenas alguns exemplos de dispositivos vulneráveis a ataques cibernéticos. O vice-presidente Dick Cheney exigiu, notoriamente, que o seu pacemaker fosse protegido contra ataques cibernéticos, para que aqueles mal-intencionados não manipulassem remotamente o funcionamento do seu dispositivo. Francamente, a interferência com tais dispositivos pode ser mortal para os pacientes que dependem deles para viver.

Como exemplo de hacking médico: “Em uma exploração usada atualmente, conhecida como MedJack, os invasores injetam malware em dispositivos médicos para depois se espalharem pela rede. Os dados médicos descobertos nestes tipos de ataques podem ser usados para fraude fiscal ou roubo de identidade, e podem até ser usados para rastrear prescrições de medicamentos ativas, permitindo que hackers encomendem medicamentos online para depois venderem na dark web.” 7

“Até onde eu saiba, nenhum paciente foi morto devido a um marca-passo hackeado, mas pacientes foram mortos devido ao mau funcionamento de seus dispositivos médicos, erros de configuração e bugs de software. Isto significa que a investigação de segurança sob a forma de hacking preventivo, seguida de divulgação coordenada de vulnerabilidades e correções de fornecedores, pode ajudar a salvar vidas humanas.”Marie Moe, pesquisadora de segurança da SINTEF, em“Vá em frente, hackers. Quebre meu coração”(Com fio)13

A FCC sugeriu agora que os fornecedores de IoT de dispositivos médicos incorporem medidas de segurança nos produtos que fabricam; a palavra-chave que está sendo sugerida. Na verdade, instigar práticas e requisitos de segurança obrigatórios para esses fabricantes é um esforço demorado. Além disso, as redes designadas para retransmitir dados entre dispositivos e bases de dados também têm uma necessidade crítica de implementação e monitorização da segurança cibernética.

Um novo presidente, uma nova ordem

Houve muita especulação sobre como a administração Trump abordaria as questões de segurança cibernética. Em 11 de maio de 2017, o presidente assinou uma ordem executiva que determinava uma revisão das capacidades globais do país para combater a ciberatividade criminosa. A ordem coloca o peso da responsabilidade em relação à segurança cibernética sobre as agências federais que deveriam fazer avaliações de risco e entregar seus respectivos relatórios no prazo de 90 dias. Relatórios adicionais examinando os riscos de infra-estruturas críticas deveriam ser entregues seis meses após a emissão da ordem do presidente.

“A ordem exige uma revisão da ameaça representada pelas botnets, que têm como alvo sites com tráfego de spam gerado automaticamente. O Rede de bots Mirai foi responsável por interrupções significativas na Internet no ano passado. Mas a Access Now diz que a ordem também deve abordar o processo do governo para divulgação de vulnerabilidades e sua resposta a violações de dados.”

Avaliações de risco

Recuperação de desastres e planos de contingência

Equipes de segurança dedicadas

Análise minuciosa do parceiro comercial/fornecedor

Melhor treinamento dos funcionários

Defesa em camadas

Melhor higiene tecnológica

Parcerias de segurança cibernética

Software melhor

Consultores forenses

Não existe nenhuma medida preventiva global ou medida que possa eliminar o risco de ataques cibernéticos. Em vez disso, os hospitais, as clínicas e os consultórios privados só podem esperar trabalhar em conjunto e gerir os riscos contínuos no interesse de proteger a informação privada e a segurança geral dos seus pacientes. Ao mesmo tempo, espera-se que os avanços tecnológicos contínuos abordem a vulnerabilidade dos dispositivos médicos e das redes de computadores.

Este esforço para conter os efeitos potencialmente desastrosos do cibercrime no sector da saúde e não só vai muito além dos Estados Unidos. Está actualmente em curso um esforço global para conter a onda de ataques cibernéticos em todo o mundo, ou pelo menos para minimizar o impacto do que parece ser um esforço interminável em nome dos cibercriminosos para se infiltrarem nos sistemas de saúde e causarem estragos e extorquirem sempre que possível , para quaisquer fins nefastos.

Motivações políticas para ataques cibernéticos

Com o clima político hostil que existe entre a Coreia do Norte e praticamente todos os outros países do mundo civilizado, não é surpreendente que a nação desonesta tenha sido citada como provavelmente infratora nos recentes ataques de ransomware WannaCry e em outros esforços mal intencionados empreendidos para razões políticas e para fins de extorsão financeira.

“Pesquisadores de segurança cibernética encontraram pistas técnicas que, segundo eles, poderiam ligar a Coreia do Norte ao ataque cibernético global de “ransomware” WannaCry que… infectou mais de 300.000 máquinas em 150 países. Symantec e Kaspersky Lab disseram… algum código em uma versão anterior do o software WannaCry também apareceu em programas usados pelo Grupo Lazarus, que pesquisadores de muitas empresas identificaram como uma operação de hackers dirigida pela Coreia do Norte.” 10

Nem todos os especialistas acreditam que o ataque do ransomware WannaCry foi motivado por razões financeiras. Alguns, como Matthew Hickey, dos consultores cibernéticos britânicos Hacker House, acreditam que os perpetradores esperavam simplesmente “causar o máximo de danos possível”. Este foi certamente o caso nos países mais afectados pelo ataque, incluindo Índia, Taiwan, Ucrânia e Rússia.

Alguns, como o líder russo, Vladimir Putin, culparam a NSA pelo que ele alegou ser o seu papel nos ataques de ransomware WannaCry. Acredita-se que a tecnologia WannaCry seja “baseada em uma ferramenta vazada que aproveita uma falha de segurança no Windows que parece ter origem na NSA. “Estamos plenamente conscientes de que os génios, em particular os criados pelos serviços secretos, podem prejudicar os seus próprios autores e criadores, caso sejam libertados da garrafa”, disse Putin em Pequim. de acordo com o serviço de notícias estatal russo, Tass.” 11

“Este próximo presidente herdará as culturas de espionagem cibernética mais sofisticadas e persistentes que o mundo já viu. Ele precisa se cercar de especialistas que possam acelerar a alocação de camadas potentes de defesas de próxima geração em torno de nossos silos de infraestrutura crítica direcionados.” James Scott, pesquisador sênior, Instituto de Tecnologia de Infraestrutura Crítica 14

Tendências no Combate à Ciberincursão no Setor da Saúde

Obviamente, a ameaça de violações da segurança cibernética em todos os setores empresariais e industriais não diminuirá. Nos cuidados de saúde, haverá uma necessidade contínua e incessante de melhorar a tecnologia e a vigilância geral para evitar incidentes desastrosos no futuro. Estão a surgir certas tendências de proteção que podem ser vistas como o futuro da dissuasão do cibercrime nos cuidados de saúde.

No topo da lista está uma migração crescente para ferramentas de segurança da informação baseadas na nuvem. Esta mudança “permitirá que as ferramentas sejam atualizadas de forma mais dinâmica para lidar com malware do tipo zero day. Esta mudança para a nuvem deverá, em última análise, tornar mais económico disponibilizar estas ferramentas a todos os prestadores de cuidados de saúde – grandes e pequenos.” 12

Além disso, o sector dos cuidados de saúde será forçado a encorajar uma maior partilha de informação e colaboração entre redes de saúde e entre instalações. Este esforço mútuo de segurança cibernética será difícil de instigar, uma vez que as instituições de saúde são muitas vezes bastante isoladas por natureza. Prevê-se que esta partilha de informação vá além dos cuidados de saúde e inclua muitos sectores empresariais e esforços institucionais para minimizar os riscos para todos os envolvidos.

Em última análise, o esforço para negar os perigos das violações de segurança cibernética, do ransomware e das ameaças novas e emergentes nesta área resumir-se-á à educação e à sensibilização de todos os níveis dos funcionários na área da saúde e não só. Quando todos forem bem educados e forem levados a ver os sinais de alerta dos riscos cibernéticos e o que podem fazer para fazer parte de um esforço abrangente para conter a onda de incursões cibernéticas, o setor de saúde e todos os protetores da informação civilizada compartilham em todo o mundo continuará a fazer progressos significativos no sentido de limitar os efeitos prejudiciais do cibercrime em todos os sectores.

Podemos ajudar em seu esforço de segurança cibernética

A SIS International Research passou décadas interagindo com o setor de saúde em vários níveis, desde práticas familiares independentes até redes de saúde monolíticas e de vários níveis. A nossa compreensão singular dos desafios enfrentados pelas empresas e instituições no setor da saúde é incomparável. Fornecemos pesquisa e inteligência sobre as partes interessadas[/fusion_text][fusion_text]

Nossas soluções incluem:

Hoje, com a complexidade adicional da ameaça imposta pelo aumento da cibercriminalidade dirigida às nossas mais respeitadas instituições de saúde e aos pacientes que elas atendem, consideramos o nosso papel com o mais alto grau de seriedade. Como uma empresa que se orgulha de compreender a importância e a natureza multifacetada do setor de saúde, continuaremos a atender práticas, instalações e organizações relacionadas à saúde com as mesmas capacidades de pesquisa abrangentes e de alta qualidade que nossos clientes adquiriram. esperar e exigir. Desta forma, esperamos fazer a nossa parte para ajudar a comunidade médica a compreender e combater a ameaça muito real e grave dos ataques cibernéticos no sector da saúde.

Os seguintes recursos foram utilizados na compilação desta pesquisa:

• http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf

• https://www.nationalisacs.org/

• http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf

• https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017

• https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017

• https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/

• https://www.wired.com/2017/03/medical-devices-next-security-nightmare/

• https://techcrunch.com/2017/05/11/trump-signs-long-delayed-executive-order-on-cybersecurity/

• http://www.healthcareitnews.com/news/top-10-cybersecurity-must-haves-2017

• http://www.dingit.tv/highlight/1441974?utm_source=Embedded&utm_medium=Embedded&utm_campaign=Embedded

• www.healthcareitnews.com/blog/3-trends-shaping-future-cybersecurity

• https://www.forbes.com/sites/danmunro/2016/12/18/top-ten-healthcare-quotes-for-2016/#5f47fb6b127f

• http://www.goodreads.com/quotes/tag/cyber-security