Manter todo o ecossistema das organizações de saúde em funcionamento, independentemente das ameaças cibernéticas, é um novo desafio para o setor. Como fazer com que instalações, dados e dispositivos online permaneçam em operação nos momentos críticos como, por exemplo, a invasão de um ransomware provoca um novo movimento. Agora, a preocupação não está somente em instalar sistemas de segurança, mas de evoluir para a resiliência cibernética, que tem tudo a ver com antecipação aos fatos.
Os hospitais e sistemas de saúde precisam fazer mais do que se proteger contra ataques cibernéticos; precisam se recuperar rapidamente e permanecer operacionais, mesmo com capacidade reduzida, caso ocorra um ataque. A capacidade de resistir a um ataque cibernético tendo o mínimo de interrupção de serviços está no centro da resiliência cibernética, um conceito que ganha agora muita atenção diante da sequência de violações de dados cada vez mais prejudiciais.
Ao avaliar os riscos, melhorar os controles de segurança e investir no aumento da conscientização interna e externa, as organizações podem mitigar danos causados por ataques cibernéticos sem prejuízos aos cuidados do paciente. A resiliência cibernética tem tudo a ver com antecipação. Embora não seja um fornecedor de soluções de segurança cibernética, a ALE a considera primordial em todos os seus produtos desde o desenvolvimento até o ciclo de vida deles. A recomendação é que todos os "atores" dos sistemas de saúde observem quatro passos para melhorar o tempo de recuperação de incidentes cibernéticos e criem redes de TI mais resistentes a ameaças.
Para isso, sugerimos quatro etapas para passar da segurança cibernética para a resiliência cibernética.
1 Identifique todos os pontos fracos
Em primeiro lugar, e mais importante, as instituições de saúde precisam saber onde e como são vulneráveis – se é devido a falhas em produtos, processos, políticas, procedimentos e/ou pessoas. Isso é especialmente importante na área da saúde, já que é um setor onde o custo médio de uma violação de dados bateu o recorde de US? 10,1 milhões, de acordo com o "Cost of a Data Breach 2022 Report", da IBM. Ao contrário de um pagamento comprometido em um cartão bancário que pode ser cancelado, dados roubados de uma instituição de assistência médica provoca danos irreversíveis. Se houver perda ou vazamento de informação, o estrago é definitivo.
2 Estabelecer políticas, regras, meios e ferramentas para deficiências de segurança cibernética
Uma vez que uma organização conhece suas vulnerabilidades cibernéticas, precisa criar ou atualizar políticas e procedimentos para fortalecer sua postura de segurança física e cibersegurança. Isso inclui medidas como planejamento de prontidão e treinamento baseado em cenários para todos os colaboradores, médicos ou parceiros. Não há nada pior do que estar sob ataque e não ter as pessoas certas para responder corretamente a ele. Assim como nos exercícios de incêndio, você treina as pessoas para um plano no caso de emergência cibernética.
3 Gerenciar o fator humano
Mesmo os melhores planos podem ser prejudicados pelo que especialistas em segurança cibernética chamam de elo mais fraco: as pessoas. O passo mais importante para estabelecer resiliência cibernética é treinar usuários regularmente — pacientes, provedores e pagadores — no uso de todas as ferramentas, dispositivos, dados e aplicativos de segurança. Todos em uma organização de saúde devem entender como lidar corretamente com informações pessoais de saúde (PHI, na sigla em inglês), principalmente quando se trata de evitar golpes de phishing projetados para roubar credenciais e acessar informações confidenciais e dados. A recomendação se estende a profissionais focados estrategicamente em tratamentos e cuidados especializados, e não em ameaças cibernéticas. Além disso, os provedores devem incluir seus parceiros de serviços, mesmo os terceirizados, em programas de conscientização de segurança para evitar riscos consideráveis.
Na opinião do especialista Gary Horn — que é vice-presidente de Sistemas e Tecnologias Emergentes e diretor de Segurança da Informação (CISO) para a Advocate Aurora Health's Health Informatics and Technology — é muito importante criar uma organização mais cibernética em função da forte preocupação com a cibersegurança. Deve-se trabalhar para criação de uma cultura que inclui conscientização e treinamento em todos os níveis do nosso sistema de saúde.
4 Faça um treinamento contínuo
É necessário contar com um profissional de treinamento em segurança para reforçar regularmente as melhores práticas de segurança cibernética para todos no trabalho. Funcionários devem ser informados sobre correntes de ameaças emergentes e segurança e as equipes de operações de TI devem aprender com experiências de outras pessoas lidando com violações de dados. O que sabemos num dia está potencialmente desatualizado no dia seguinte.
Esses quatro passos fortalecem as redes, pois os dispositivos conectados à Internet e as aplicações executadas expandem as possibilidades de ataque às instituições.
Recomendações como essas podem auxiliar a todos a recuperar informações e no tempo que isso pode durar, se alguma ameaça invadir com sucesso sua rede. É fundamental para o setor da saúde que profissionais atendam pacientes independentemente das interrupções do sistema de TI e minimizem ao máximo o prazo necessário para restaurar as operações em condições normais. Talvez estejamos no momento em que os líderes de saúde começaram a entender a importância da resiliência cibernética. O tema é retomado rotineiramente por profissionais como parte de sua estratégia na gestão de riscos — algo que raramente acontecia há dois anos. É uma mudança positiva.
Ronaldo Nevola, Solutions Architect para América Latina da Alcatel-Lucent Enterprise LatAm.