Os ataques cibernéticos na área de saúde aumentaram 45% globalmente no final de 2020, de acordo com relatório da Check Point, o dobro da taxa de ataques em outros setores, com os cibercriminosos tirando proveito da tempestade perfeita de novas tecnologias sendo implementadas rapidamente e os esforços da equipe concentrados na pandemia.
Em comparação com o setor financeiro, as organizações de saúde costumam ser mais vulneráveis aos ataques cibernéticos.
As organizações financeiras estão melhor protegidas hoje porque o setor investiu muito tempo e dinheiro para melhorar a situação, elas gastam aproximadamente 15 por cento de seus orçamentos anuais de TI em cibersegurança. Em comparação, a maioria das organizações de saúde que precisam de equipes dedicadas de cibersegurança gastam apenas cerca de 4 ou 5 por cento nesse investimento.
A motivação dos cibercriminosos é financeira. Um registro de saúde contém não apenas os números da previdência social e CPF, mas também detalhes do empregador, detalhes do seguro e dados de prescrição.
Na prática, os cibercriminosos podem usar essas informações para registrar reclamações de seguro fraudulentas, comprar medicamentos ou equipamentos médicos com elas e podem até registrar declarações de impostos fraudulentas.
Os dados no registro de saúde de uma pessoa contêm detalhes suficientes para ajudar a roubar identidades. Se cibercriminosos não estiverem procurando fazer algo sozinhos, eles poderiam vender as informações na dark web.
No entanto, o uso principal não é explorar dados individuais, mas lançar um ataque de ransomware, onde cibercriminosos se infiltram na rede do hospital, obtêm acesso à saúde e bloqueiam o hospital fora do sistema, mantendo os dados do paciente como reféns até que a instituição de saúde pague o resgate.
Desafios de cibersegurança na saúde
Os ataques cibernéticos mais recentes não são necessariamente a maior ameaça cibernética de uma organização. O Relatório de investigações de violação de dados de 2016 da Verizon descobriu que a maioria das violações é sobre dinheiro e os invasores geralmente seguem o caminho mais fácil para obter as informações de que precisam.
Consequentemente, muitos dos ataques cibernéticos comuns continuam a ser problemáticos nos cuidados de saúde, incluindo:
- Malware e ransomware: os cibercriminosos usam malware e ransomware para desligar dispositivos individuais, servidores ou mesmo redes inteiras. Em alguns casos, um resgate é exigido para retificar a criptografia;
- Ameaças da nuvem: uma quantidade cada vez maior de informações de saúde protegidas está sendo armazenada na nuvem. Sem a criptografia adequada, isso pode ser um ponto fraco para a segurança das organizações de saúde;
- Sites enganosos: criminosos cibernéticos inteligentes criaram sites com endereços semelhantes a sites confiáveis. Alguns simplesmente substituem .com por .gov, dando ao usuário incauto a ilusão de que os sites são iguais.
- Ataques de phishing: essa estratégia envia grandes quantidades de e-mails de fontes aparentemente confiáveis para obter informações confidenciais dos usuários;
- Pontos cegos de criptografia: embora a criptografia seja crítica para proteger os dados de saúde, ela também pode criar pontos cegos onde os hackers podem se esconder das ferramentas destinadas a detectar violações;
- Erro do funcionário: os funcionários podem deixar as organizações de saúde suscetíveis aos ataques cibernéticos por meio de senhas fracas, dispositivos não criptografados e outras falhas de conformidade.
À medida que as organizações buscam proteger as informações de seus pacientes contra os ataques cibernéticos crescentes, a demanda por uma infraestrutura de segurança e de profissionais de informática em saúde que estão familiarizados com o estado atual da segurança cibernética na área de saúde está aumentando, mas ainda é um grande desafio.
Estratégias para melhorar a segurança e evitar ataques cibernéticos
Devido ao impacto financeiro significativo das violações de dados na área de saúde, os gestores de saúde estão buscando estratégias e investimentos para garantir que as organizações médicas permaneçam seguras.
De acordo com HealthIT.gov, Escritório do Coordenador Nacional de Tecnologia da Informação em Saúde dos EUA, organizações de saúde individuais podem melhorar sua segurança cibernética implementando as seguintes práticas:
1. Estabeleça uma cultura de segurança visando reduzir ataques cibernéticos
O treinamento e a educação em segurança cibernética enfatizam que cada membro da organização é responsável por proteger os dados do paciente, criando uma cultura de segurança.
2. Proteja os dispositivos móveis
Um número crescente de provedores de saúde está usando dispositivos móveis no trabalho. A criptografia e outras medidas de proteção são essenciais para garantir a segurança de todas as informações nesses dispositivos.
3. Manter bons hábitos de computador
A integração de novos funcionários deve incluir treinamento sobre as melhores práticas para o uso do computador, incluindo software e manutenção do sistema operacional.
4. Use um firewall
Basicamente, qualquer coisa conectada à Internet deve ter um firewall.
5. Instale e mantenha o software antivírus
Simplesmente instalar o software antivírus não é suficiente. Atualizações contínuas são essenciais para garantir que os sistemas de saúde recebam a melhor proteção possível a qualquer momento.
6. Planeje para os ataques cibernéticos inesperados
Os arquivos devem ser copiados regularmente para uma restauração de dados rápida e fácil. As organizações devem considerar o armazenamento dessas informações de backup longe do sistema principal, se possível.
7. Controle o acesso às informações protegidas de saúde
O acesso às informações protegidas deve ser concedido apenas àqueles que precisam visualizar ou usar os dados.
8. Use senhas fortes e altere-as regularmente
O relatório da Verizon descobriu que 63% das violações de dados confirmadas envolviam o aproveitamento de senhas que eram padrão, fracas ou roubadas. Os funcionários da área de saúde não devem apenas usar senhas fortes, mas garantir que sejam alteradas regularmente.
9. Limitar o acesso à rede
Qualquer software, aplicativo e outras adições aos sistemas existentes não devem ser instalados pela equipe sem o consentimento prévio das autoridades organizacionais competentes.
10. Controlar o acesso físico também evita ataques cibernéticos
Os dados também podem ser violados quando os dispositivos físicos são roubados. Computadores e outros aparelhos eletrônicos que contêm informações protegidas devem ser mantidos em salas trancadas em áreas seguras.
Além dessas recomendações, os profissionais de dados de saúde estão continuamente desenvolvendo novas estratégias e melhores práticas para garantir a segurança de dados de saúde confidenciais, protegendo o paciente e a organização de perdas financeiras e outras formas de danos.
A solução CipherTrust Data Security Platform permite que as instituições de saúde protejam sua estrutura contra ataques cibernéticos
De acordo com o IDC, mais de 175 zetabytes de dados serão criados até 2025, e hoje mais da metade de todos os dados corporativos são armazenados na nuvem.
Para lidar com a complexidade de onde os dados são armazenados, a solução CipherTrust Data Security Platform oferece recursos fortes para proteger e controlar o acesso a dados confidenciais em bancos de dados, arquivos e contêineres. Tecnologias específicas incluem:
CipherTrust Transparent Encryption
Criptografa dados em ambientes locais, em nuvem, banco de dados, arquivos e Big Data com controles de acesso abrangentes e registro de auditoria de acesso de dados detalhado que pode impedir os ataques mais maliciosos.
CipherTrust Database Protection
Fornece criptografia transparente ao nível de coluna de dados estruturados e confidenciais que residem em bancos de dados, como cartão de crédito, números de previdência social, números de identificação nacional, senhas e endereços de e-mail.
CipherTrust Application Data Protection
Oferece APIs para que os desenvolvedores adicionem rapidamente criptografia e outras funções criptográficas a seus aplicativos, enquanto o SecOps controla as chaves de criptografia.
CipherTrust Tokenization
Oferece serviços de tokenização de dados ao nível de aplicativo em duas soluções convenientes que oferecem flexibilidade ao cliente – Token sem Vault com mascaramento de dados dinâmico baseado em políticas e Tokenização em Vault.
CipherTrust Batch Data Transformation
Fornece serviços de mascaramento de dados estáticos para remover informações confidenciais de bancos de dados de produção, para que as questões de conformidade e segurança sejam aliviadas ao compartilhar um banco de informações com terceiros para análise, teste ou outro processamento.
CipherTrust Manager
Centraliza chaves, políticas de gerenciamento e acesso a dados para todos os produtos CipherTrust Data Security Platform e está disponível em formatos físicos e virtuais compatíveis com FIPS 140-2 Nível 3.
CipherTrust Cloud Key Manager
Oferece o gerenciamento do ciclo de vida de sua própria chave (BYOK) para muitos provedores de infraestrutura, plataforma e software como serviço na nuvem.
CipherTrust KMIP Server
Centraliza o gerenciamento de chaves para o protocolo de interoperabilidade de gerenciamento de chaves (KMIP) comumente usado em soluções de armazenamento.
CipherTrust TDE Key Manager
Centraliza o gerenciamento de chaves para criptografia encontrada em Oracle, SQL e Always Encrypted SQL.
O portfólio de produtos de proteção de dados que compõe a solução CipherTrust Data Security Platform permite que as instituições de saúde protejam dados em repouso e em movimento em todo o ecossistema de TI e garante que as chaves dessas informações estejam sempre protegidas e apenas sob seu controle.
Ela simplifica a segurança dos dados, melhora a eficiência operacional e acelera o tempo de conformidade. Independentemente de onde seus dados residem.
A plataforma CipherTrust garante que seus dados estejam seguros, com uma ampla gama de produtos e soluções comprovados e líderes de mercado para implantação em data centers, ou aqueles gerenciados por provedores de serviços em nuvem (CSPs) ou provedores de serviços gerenciados (MSPs), ou como um serviço baseado em nuvem gerenciado pela Thales, empresa líder no segmento de segurança.
Portfólio de ferramenta que garante a proteção de dados contra ataques cibernéticos
Com os produtos de proteção de dados do CipherTrust Data Security Platform, sua instituição de saúde pode:
Reforçar a segurança e a conformidade contra ataques cibernéticos
Os produtos e soluções de proteção de dados CipherTrust abordam as demandas de uma série de requisitos de segurança e privacidade, incluindo a identificação eletrônica, autenticação e confiança, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Geral de Proteção de Dados (LGPD), entre outros requisitos de conformidade.
Otimiza a eficiência da equipe e dos recursos
CipherTrust Data Security Platform oferece o mais amplo suporte para casos de uso de segurança de dados no setor, com produtos desenvolvidos para trabalhar em conjunto, uma linha única para suporte global, um histórico comprovado de proteção contra ameaças em evolução e o maior ecossistema de parcerias de segurança de dados do setor.
Com foco na facilidade de uso, APIs para automação e gerenciamento responsivo, a solução CipherTrust Data Security Platform garante que suas equipes possam implementar, proteger e monitorar rapidamente a proteção do seu negócio.
Além disso, serviços profissionais e parceiros estão disponíveis para design, implementação e assistência de treinamento para garantir rapidez e confiabilidade em implementações com o mínimo de tempo de sua equipe.
Reduz o custo total de propriedade
O portfólio de proteção de dados do CipherTrust Data Security Platform oferece um amplo conjunto de produtos e soluções de segurança de dados que podem ser facilmente dimensionados, expandidos para novos casos de uso e têm um histórico comprovado de proteção de tecnologias novas e tradicionais.
Com o CipherTrust Data Security Platform, as instituições de saúde podem preparar seus investimentos para o futuro enquanto reduz custos operacionais e despesas de capital.
Sobre a Eval
Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
