Por admin

/ Em Segurança da Informação /

Postado em

set 13, 2019

Registros de saúde, o grande alvo dos hackers

Os registros de saúde eletrônicos (Eletronic Health Record – EHR) são uma alternativa aos prontuários médicos tradicionais em papel, armazenando o histórico médico completo de um paciente com diagnósticos, medicamentos administrados, planos de tratamento, datas de vacinação, alergias, imagens de radiologia, resultados de laboratório, sinais vitais, estatísticas pessoais como idade e peso e também informações de faturamento.

Devido aos EHRs serem digitais, facilitam o gerenciamento, a atualização, o compartilhamento e o acesso aos dados dos pacientes. Porém, cabe aos médicos e demais profissionais da saúde a gestão de cada EHR, como também controlar o acesso e a edição de seus conteúdos. A questão sensível referente ao armazenamento dos EHRs é: como garantir o controle de acesso e a proteção das informações de saúde?

O relatório da Trustware, The Value of Data, apresenta a informação que o preço do registro de saúde pode chegar a valer cerca de 50 vezes mais que um registro de cartão de crédito, em mercados on-line ilegais, como a dark web.

O acesso e divulgação não autorizada desses dados pode ser catastrófico para o paciente e para a reputação da própria instituição. Além disso, enquanto um cartão de crédito roubado tem um valor limitado no tempo (o número do cartão pode ser cancelado, expirado etc.), os registros de saúde estão recheados de dados imutáveis o que os tornam muito mais atrativos.

Adicionando a este cenário, uma infraestrutura complexa, heterogênea, muitas vezes desatualizada e com equipes reduzidas, o setor da saúde se torna um “prato cheio” para quem tem “fome por dados sigilosos e cada vez mais valiosos”.

A quantidade de dados de saúde hackeados e negociados na Deep Web teve um aumento estimado em 133%. Assim, não existe uma solução simples para evitar os ataques cibernéticos na área da saúde ou mesmo em qualquer outro setor, porém ações coordenadas certamente ajudarão a mitigar os riscos da sua organização. Algumas recomendações sugeridas são:

  • Testes recorrentes e avaliação de vulnerabilidades para garantir que todo o ambiente esteja sempre com as aplicações atualizadas;
  • Ataques de estresse controlados para garantir alto desempenho e funcionamento de sistemas vitais à instituição;
  • Prevenção a Perda de Dados (DLP endpoint + Casb) uma vez que os médicos, enfermeiros etc manipulam informações sensíveis;
  • Políticas internas que identifique e trate de forme diferente dados de Pessoas Politicamente Expostas (PPE);
  • Data Discover nas bases de dados e/ou sistemas para identificar aonde estão localizados os dados dos pacientes, médicos e parceiros;
  • Assessment em Políticas de Segurança para garantir conformidade com todas as normas de segurança da HIPAA, ANS e LGPD;
  • Threat Intelligence para tratamento de vazamento de dados e ameaças avançadas;
  • Segundo fator de Autenticação como nível de segurança adicional para acesso aos sistemas;
  • Proteção para a borda da rede com Next Generation Firewall até a camada de aplicações com Web Application Firewall, para detectar e bloquear os tipos de ataques comuns e avançados;  
  • Assessment e Gerenciamento de antivírus;
  • Gerenciamento e análise de instabilidades e alterações em aplicações e servidores;
  • Controle de armazenamento, acesso e compartilhamento de dados dos pacientes com processos específicos;
  • Processo de backup para evitar perda de dados e/ou a realização de quaisquer alterações indevidas;
  • Políticas de Disaster Recover;
  • Ter um time especializado para responder rapidamente a qualquer incidente que possa ocasionar danos;
  • Gerenciamento de todo ambiente de segurança;
  • Por última não menos importante a conscientização de segurança para toda a equipe, incluindo gestores, médicos, enfermeiros, administrativos e demais colaboradores; 

A transformação digital está ampliando o escopo do bem-estar do paciente e nesta nova jornada os profissionais de saúde precisam se preocupar não somente com a saúde de cada indivíduo, mas também em proteger os sistemas de computador, dispositivos médicos e os registros de saúde. 

0

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *