Profissional médico usando tablet. Conceito de tecnologia médica.

A verdade sobre a segurança adequada para dados de saúde

jun 2023
Blog Home

As organizações de saúde sempre precisarão armazenar e transferir dados pessoais de saúde, muitas vezes conhecidos como Informações de Saúde Protegidas (PHI). Priorizar a segurança de dados continuará a ser crucial para a proteção contra ataques cibernéticos e perda de dados mantendo a PHI segura. De fato, uma pesquisa da American Medical Association descobriu que 92% dos pacientes acreditam que a privacidade de seus dados de saúde é um direito e que deve ser protegida. Isso é mais fácil de dizer do que fazer com dados que precisam ser portáteis e compartilháveis em algum momento.

Embora a proteção de PHI possa parecer trivial, uma violação pode ter consequências reais. Por exemplo, o Scripps Health atingiu um acordo de $3,5 milhões de dólares após um ataque de ransomware em 2021.

Sem alarmismo – sejamos claros e reconheçamos que o volume de violações envolvendo entidades de saúde está crescendo. Os maus agentes entendem o valor em comprometer os dados de saúde, e os ataques de ransomware estão crescendo rapidamente, tornando os dados de saúde em todo o mundo um alvo estratégico.

Então, o que pode ser feito para garantir uma segurança forte dos dados?

Ícones médicos e de segurança. Conceito de preocupações de segurança de dados para organizações de saúde.

Vamos abordar esses desafios exclusivos e a necessidade de cumprir regulamentos em constante mudança, simplificando as coisas, com o simples requisito de que a criptografia de dados precisa ser uma parte fundamental da estratégia de segurança de qualquer organização de saúde.

Afinal, o que pode ser visto pode ser atacado ou protegido! É importante saber disso ao considerar seu plano de segurança de dados.

Na Kingston, sabemos que a proteção adequada dos dados de saúde é um negócio sério. Há várias coisas a ter em mente ao implementar a segurança de criptografia para dados de saúde. Primeiro, é importante entender o valor da criptografia de dados para conformidade regulatória. A HIPAA e outras regulamentações internacionais, como GDPR e CCPA, têm requisitos para criptografia de dados pessoais. Ao usar criptografia, as organizações de saúde podem se proteger das consequências de uma violação de dados e manter a conformidade com essas regulamentações.

Mas até mesmo a criptografia é complicada, pois geralmente existem dois tipos: Criptografia com base em hardware e em software.

Entender a diferença entre criptografia de software e de hardware traz implicações para a segurança dos dados de saúde dos pacientes. A criptografia de software é muitas vezes mais barata para implementar antecipadamente, mas sua segurança depende do sistema host. Como resultado, é muito mais vulnerável a hackers quando senhas ou chaves de recuperação podem ser encontradas na memória do sistema host, paginação e arquivos de hibernação. Além disso, muitos formatos de arquivo criptografados podem ser atacados usando ferramentas de software encontradas na internet gratuitamente ou por um custo mínimo que podem executar ataques de senha de força bruta para quebrar o processo de autenticação. Os computadores de hoje podem tentar 1 bilhão ou mais de tentativas de senha por segundo. Arquivos criptografados por software também podem ser copiados e atacados em paralelo por uma rede de computadores, reduzindo ainda mais o tempo para realizar ataques de senha por força bruta.

A criptografia de hardware é um ecossistema de segurança dedicado completamente contido no dispositivo de armazenamento, seja um drive USB ou um SSD externo. A criptografia baseada em hardware está sempre ativada, sempre protegendo os dados, enquanto qualquer pessoa pode remover a criptografia de software em um drive apenas reformatando. Para os provedores de saúde, isso significa que um funcionário desonesto pode desativar a proteção e transformar um drive criptografado por software em um dispositivo de armazenamento acessível.

Como resultado, a criptografia de hardware em geral é exponencialmente mais segura, pois não expõe senhas e chaves de criptografia ao sistema host. No entanto, essa segurança adicional tem um custo maior em comparação com unidades de armazenamento não criptografadas. Uma vez que a violação média custou mais de 4,35{{Footnote.A68763}} milhões nos Estados Unidos em 2022, a economia de criptografia de software pode ser ilusória quando há uma melhor opção para dados móveis – pendrives criptografados por hardware e SSD externos com criptografia XTS-AES de 256 bits que incorporam proteções de ataque por força bruta e BadUSB. Se um drive criptografado por hardware for perdido, pode razoavelmente presumir-se que a segurança permaneça e ele continue protegendo os dados PHI com sua forte segurança.

A linha de drive criptografado por hardware XTS-AES de 256 bits da Kingston IronKey inclui drives fáceis de usar que atendem às frustrações do usuário em relação à segurança. O suporte a várias senhas está disponível para permitir que usuários ou provedores recuperem o acesso ao drive caso uma senha seja esquecida. Há agora uma alternativa a senhas complexas que ninguém consegue lembrar – uma senha de frase-passe de até 64 caracteres que pode ser o título de um livro favorito ou uma música, uma lista de palavras, uma frase de uma poesia ou música, ou outras frases que sejam fáceis de lembrar por médicos e outros profissionais de saúde - mas quase impossível para um invasor adivinhar dentro do bloqueio limitado de ataque de senha por força bruta e tentativas que causam a exclusão criptográfica.

As frases-passe estão disponíveis nos drives SSD externos Vault Privacy 50, 50C e Vault Privacy 80. Drives com teclado como o Vault Privacy 80ES e o Keypad 200 são baseados em PIN e são semelhantes ao uso de um telefone celular para casos de uso em que as pessoas preferem um PIN. O drive VP80ES também suporta frases-passe usando um teclado

Layout das vários drives com criptografia de hardware da Kingston IronKey. SSDs e pendrives com criptografia de hardware.

Todos os drives IronKey possuem forte proteção contra ataques de senha por força bruta. Quando um invasor tentar adivinhar senhas, o drive conta as tentativas inválidas e bloqueia as senhas do usuário; quando as tentativas de senha do administrador são esgotadas, o drive apaga criptograficamente de forma automática e todos os dados são perdidos para sempre. A criptografia de software não possui a capacidade de proteger fortemente contra tais ataques.

Drives independentes de SistOp como o Vault Privacy 80ES e o Keypad 200 são ideais para proteger dados transferidos entre computadores e máquinas médicas, que são comumente necessários para muitos dispositivos usados em serviços de saúde. Por exemplo, muitas máquinas de laboratório exigem a transferência manual de dados por técnicos para o sistema de computador do provedor.

Cinco profissionais de saúde se reúnem em um escritório bem iluminado com laptops. Os trabalhadores estão reunidos em torno de uma mesa. Um está de pé enquanto os outros estão sentados.

Além de dispositivos criptografados por hardware, as organizações de saúde devem considerar medidas adicionais de higiene de dados de segurança cibernética, como treinamento de funcionários sobre as melhores práticas, implementação de autenticação por multifator e atualização regular de softwares e sistemas. Mesmo para pequenos provedores de saúde, backups regulares em SSDs externos criptografados por hardware podem ser a diferença entre ser vítima de ataques de ransomware e poder recuperar sistemas rapidamente.

Ao adotar uma abordagem em camadas para a segurança e inserir a proteção de dados nos hábitos diários dos funcionários, as organizações de saúde podem proteger efetivamente os dados dos pacientes. Integrar drives criptografados por hardware da Kingston IronKey como parte da estratégia de segurança de dados é uma maneira eficaz de garantir a conformidade com a HIPAA e outras regulamentações de proteção de dados de saúde.

Você pode encontrar mais produtos Kingston IronKey para atender às necessidades de segurança de dados de saúde ou perguntar a um Especialista da Kingston IronKey que pode te ajudar a manter os dados de seus pacientes seguros.

#AKingstonEstáComVocê #KingstonIronKey

Ícone Pergunte a um Especialista da Kingston em um chipset de placa de circuito

Pergunte a um Especialista

Planejar a solução certa de memória exige um conhecimento das metas de segurança de seu projeto. Deixe que os especialistas da Kingston orientem você.

Pergunte a um Especialista

Vídeos relacionados

Trisha segurando um SSD gigante de 2,5 pol. ao lado de um SSD M.2 com um cadeado e ícone do Windows 5:02

Criptografia baseada em hardware versus baseada em software

Qual a diferença entre criptografia baseada em hardware e a baseada em software?

Artigos relacionados

Blog Home