Por Eduardo Lopes

/ Em Segurança da Informação /

Postado em

nov 08, 2017

Segurança da informação de pacientes: cuidados desde a prevenção dos dados

A preocupação quando se levanta questões relacionadas à saúde tendem a ser sobre o atendimento, medicamentos, tratamentos e qualidade de vida. Mas por trás de tudo isso está o gerenciamento de uma grande quantidade de informações sensíveis, seja relativa aos atendimentos prestados a cada paciente, como o registro de histórico das consultas, procedimentos, exames, investigação de causas e condutas tomadas ou relativa ao valor financeiro das instituições.

Dados de caráter médico são confidenciais e precisam ser 100% confiáveis, pois em planejamentos cirúrgicos e tratamentos, por exemplo, eles são essenciais para que a vida do paciente não seja colocada em risco. A segurança desses dados passa então a ser mais um fator com que se preocupar.

Porém, uma pesquisa realizada pela KPMG indicou que 81% dos executivos de organizações ligadas à saúde afirmaram que as suas empresas já sofreram ataques virtuais. Somente metade dos gestores entrevistados se sentia preparado para proteger a instituição de futuros ataques e 39% afirmaram não possuir mecanismos confiáveis em segurança da informação para se prevenir de futuras invasões.

Transformação digital na área da saúde

Antigamente, os dados dos pacientes estavam restritos apenas aos datacenters. Hoje existe a necessidade de dispor de informações dos pacientes na rede com acesso principalmente por meios digitais. Ao passo que isso simplifica o acesso, também preocupa o paciente sobre como os seus dados são tratados por meio de tecnologia e como fica a privacidade da informação.

A boa notícia é que um dos objetivos dessa transformação é proporcionar proteção. Especialistas estão sempre procurando implementar práticas em prol da segurança nos pilares de confidencialidade, que garante que a informação seja acessada somente por pessoas autorizadas; integridade, que se certifica que a informação não seja violada; disponibilidade, que libera a informação para as pessoas autorizadas; e autenticidade que valida a identidade e a segurança da origem da informação.

Conformidade HIPAA & ANS

Medidas de segurança são instituídas por órgãos nacionais como a Agência Nacional de Saúde (ANS) e por organizações e leis internacionais como é o caso da Health Insurance Portability and Accountability Act (HIPPA), com normas que asseguram o controle das informações detidas por organizações de saúde.

As normas incluem:

  • Instâncias dedicadas para garantir que o hardware não seja compartilhado.
  • Ferramentas que facilitam a aplicação de requisitos rigorosos de criptografia de dados de saúde protegidos – em repouso e em trânsito.
  • Controles de acesso aprimorados quando implantados por trás de um firewall virtual, com recursos de identificação de usuário habilitados.
  • Retenção de log, auditoria, procedimentos de backup de dados e mecanismos de recuperação de desastres.

Embora estas diretrizes sejam muito importantes para diminuir o número de ataques, muitas vezes elas não conseguem impedir a ação de hackers.

Riscos, ameaças e foco dos cibercriminosos

Um estudo recente do IDC revelou que o setor de saúde respondeu por 9,2% das violações de dados em 2016, com mais de 4,1 mil violações de dados reportadas, resultando na exposição de mais de 4,2 bilhões de registros médicos. Isso mostra que a segurança da informação no setor de saúde deve ganhar cada vez mais importância.

Para começar, o interesse dos hackers no setor de saúde começou com a mudança do perfil de segurança de outro setor: as instituições financeiras. Estas passaram a aumentar significativamente o investimento em tecnologia, processos e pessoas com foco em segurança em toda a cadeia de valor de seus produtos e as fraudes em cartões de crédito e bancos passaram a ser identificadas mais rapidamente. Mas o que causa o movimento para a saúde, visto que informações médicas, apesar de alto valor, não podem ser utilizadas facilmente no mercado?

Primeiro: os cibercriminosos já sabem que a maioria das organizações da saúde utiliza aplicações tradicionais. Algumas até desenvolvidas por fornecedores que nem estão mais no mercado, o que significa a existência de pontos mais vulneráveis de ataque. Além disso, é comum chegar à recepção de uma instituição de saúde e perceber diversos dispositivos móveis conectados ao computador do profissional responsável por fazer o atendimento e a triagem. Rede wifi que se utiliza de criptografia WEP com senha de 6 dígitos (de altíssima insegurança), ausência de módulos de backup e sistemas sem recursos de proteção extra (como autenticação de dois fatores). Os tropeços são diversos.

Já, para entender porque as informações de hospitais são de tamanho valor, é simples. Elas são persistentes e revelam a vida inteira dos afetados. Nos registros médicos podem ser obtidas informações bancárias, dados pessoais que podem ser vendidos no mercado negro, histórico de consumo de medicamentos e doenças, violação de dados privados sensíveis de pessoas públicas ou políticas e muitas outras que permitem fraudes, obtenção ilegal de medicamentos, insumos para identidades falsas e ação direcionada de spearphishing a pacientes de alto valor. As fraudes podem comprometer o andamento de acompanhamentos terapêuticos e ocasionar a administração de medicamentos que não sejam indicados para o paciente (há campos de informação, por exemplo, nos quais constam informações sobre alergias, interações medicamentosas com que se deve tomar cuidado, e assim por diante). Os prejuízos destroem a imagem da instituição e podem gerar indenizações milionárias em juízo.

Outros dados que podem gerar imensas possibilidades de lucro aos invasores e consequências catastróficas às instituições são o planejamento estratégico do hospital, relatórios financeiros sigilosos ou movimentação bancária, propriedade intelectual de técnicas, metodologias, equipamentos ou sistemas e roubo de dados que podem ser vendidos para fraude de seguros. Além do roubo de informações, os criminosos também podem causar indisponibilidade dos serviços, bloquear o acesso às informações e até controlar aparelhos médicos remotamente, com a ascensão do IoT.

O IDC estima que os valores de informações médicas podem valer até 50 vezes mais do que outras informações atualmente roubadas em ações criminais digitais. E que um em cada três pacientes terão seus dados roubados de instituições médicas. A troca de informações pela internet, como resultado de exames disponibilizados aos pacientes e comunicação entre unidades, de hospital para hospital ou hospital para laboratório é mais um facilitador para obter esses dados.

Estratégia de segurança para saúde

Ainda segundo o IDC, os gastos globais em segurança da TI vão crescer cerca de 8,3%, de US$ 73,7 bilhões para US$ 101,6 bilhões até 2020. Os gastos em segurança da informação no setor de saúde devem crescer 10,3% – taxa maior que a de qualquer outro setor.

Com um ambiente de segurança cada vez mais complexo, vários consoles, várias políticas, milhões de alertas por dia e muito trabalho administrativo, é importante saber os reais investimentos que devem ser feitos:

  • Testes recorrentes e avaliação de vulnerabilidades para garantir que todo o ambiente esteja sempre com as aplicações atualizadas, evitando riscos de intrusão.
  • Ter um time especializado responder rapidamente a qualquer incidente que possa ocasionar danos.
  • Ataques de estresse controlados para garantir alto desempenho e funcionamento de sistemas vitais à instituição.
  • Assessment em Políticas de Segurança para garantir conformidade com todas as normas de segurança da HIPAA e ANS.
  • Proteção para a borda da rede com Next Generation Firewall até a camada de aplicações com Web Application Firewall, para detectar e bloquear os tipos de ataques comuns e avançados
  • Assessment e Gerenciamento de antivírus
  • Gerenciamento e análise de instabilidades e alterações em aplicações e servidores
  • Gerenciamento do ambiente de segurança
  • Threat Intelligence para tratamento de vazamento de dados e ameaças avançadas
  • Conscientização de segurança para toda a equipe, incluindo gestores, médicos, enfermeiros, setores administrativos e demais colaboradores.
  • Controle de armazenamento, acesso e compartilhamento de dados dos pacientes com processos específicos.
  • Soluções de segurança para o controle da rede interna e do acesso externo.
  • Processo de backup para evitar perda de dados ou a realização de quaisquer alterações indevidas.
  • Política de Disaster Recovery.
  • Autenticação de 2 fatores como nível de segurança adicional para acesso a sistemas.
  • Computação em nuvem pelo baixo custo e direcionamento do foco ao tratamento de pacientes (ao invés de gerenciamento de datacenters) com proteção implementada desde endpoints até redes.

Por fim, a maneira mais eficaz de promover o controle e a segurança nos ambientes de saúde que trabalham com informação digital é implementar tecnologia de ponta para atuar na proteção do datacenter, transmissão de mensagens, barreira contra fraudes, sinalizações de perigo e intervenção em redes de perímetro, impossibilitando o avanço de ameaças em sistemas de dados.

0
Eduardo Lopes

Autor: Eduardo Lopes

Nos últimos 5 anos participou da implantação de projetos de MSS (Management SecurityServices) em grandes empresas do segmento financeiro, construção civil e órgãos públicos.Trabalha na área e Segurança da Informação há 9 anos com formação em Penetration Testing e Pesquisa Forense, já tendo passado por projetos de auditoria em segmentos de segurança do governo federal, de seguradoras e grupos de cartões de crédito. Dentro das certificações é ISO27001 Lead Auditor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *