Violações de dados de saúde: Uma ameaça persistente apesar das reduções de custos

O setor de saúde continua sendo um alvo primordial para os criminosos cibernéticos, apesar de alguns encorajadores desenvolvimentos em custos relacionados a violações. Em 2024, o custo médio de uma violação de dados diminuiu para $9,77 milhões em relação a $10,93 milhões em 2023{{Footnote.N76502}}.

No entanto, esta redução não deve levar à complacência, a saúde continua sendo o setor mais visado para ataques cibernéticos, com consequências potencialmente devastadoras para pacientes e fornecedores.

Vulnerabilidades de segurança de dados do setor de saúde

As instalações de saúde, desde consultórios médicos, clínicas, hospitais, exames de imagem e diagnóstico e instalações de pesquisa, enfrentam um conjunto único de desafios de segurança de dados, devido a vários fatores:

• O fluxo complexo de dados médicos sensíveis entre vários dispositivos e sistemas, como scanners de TC, máquinas de ultrassom e computadores administrativos, cria múltiplos pontos potenciais de vulnerabilidade para a perda de dados.
• Muitas organizações não têm especialistas em segurança cibernética suficientes e estratégias de segurança coerentes, muitas vezes tomando decisões ad hoc sobre compras de equipamentos e software quando surgem excedentes de orçamento, ao invés de seguir um plano de segurança abrangente. Isso é especialmente verdade para práticas menores, mas ainda agravado pela escassez global de profissionais de segurança cibernética.

Essas vulnerabilidades, combinadas com a natureza crítica das operações de saúde, fazem com que seja essencial que as organizações ultrapassem as medidas de segurança reativas e desenvolvam estratégias de proteção abrangentes e proativas. As consequências de não lidar com estes desafios podem ser graves e de longo alcance.

O grande impacto das violações de dados

Quando as organizações de saúde sofrem violações de dados, as consequências vão muito além das perdas financeiras imediatas:

• A confiança do paciente desgasta rapidamente quando os registros médicos são comprometidos, levando potencialmente a graves consequências para a saúde se as informações do tratamento forem alteradas ou tornadas inacessíveis.
• Os fornecedores enfrentam frequentemente danos significativos à reputação, resultando em diminuição de registro de pacientes e instabilidade financeira.
• As interrupções operacionais podem ser extensas, exigindo recursos substanciais para restaurar sistemas e dados, ao mesmo tempo em que gerimos custos aumentados e perda de receita.

Tal é a magnitude desse problema que uma pesquisa{{Footnote.N76503}} da Sophos em 2024 revelou que 37% das organizações de saúde levaram mais de um mês para se recuperar de ataques de ransomware, com quase todas as vítimas relatando tentativas de comprometimento de seus sistemas de backup.

O crescente desafio do ransomware

O ransomware continuou sendo uma das ameaças mais significativas às unidades de saúde em todo o mundo. Em 2023, esses ataques representaram 54% dos incidentes de segurança cibernética na União Europeia. O mais preocupante é que apenas 27%{{Footnote.N76504}} das instalações médicas pesquisadas tinham implementado programas específicos de proteção de ransomware.

As organizações de saúde são alvos particularmente atraentes devido à sua natureza operacional crítica e à sensibilidade dos seus dados. Quando os sistemas de cuidado aos pacientes são comprometidos, as unidades médicas enfrentam uma enorme pressão para restaurar os serviços rapidamente, tornando-os mais propensos a pagar resgates do que organizações de outros setores.

As apostas são excepcionalmente altas. Atrasos no tratamento ou acesso a registros médicos podem afetar diretamente os resultados dos pacientes.

Os modernos ataques de ransomware evoluíram para além da simples criptografia de dados para incluir estratégias de roubo de dados e dupla extorsão, onde os invasores ameaçam publicar informações confidenciais dos pacientes, a menos que sejam feitos pagamentos adicionais.

Isso coloca os profissionais de saúde na difícil posição de avaliar as preocupações de privacidade dos pacientes contra a continuidade dos serviços.

Apesar da gravidade dessas ameaças, a implementação de defesas específicas de ransomware continua inadequada em todo o setor. Muitas instalações não têm segmentação de rede adequada, protocolos de backup robustos ou planos abrangentes de resposta a incidentes adaptados a cenários de ransomware.

Navegando pelos regulamentos globais de segurança cibernética e conformidade

Os governos de todo o mundo reconheceram a necessidade de uma proteção de dados mais forte nos cuidados de saúde. Como resultado, eles estão implementando níveis crescentes de regulação para ajudar a enfatizar a natureza séria das ameaças ao setor.

Em nível básico, a União Europeia aplica o Regulamento Geral de Proteção de Dados (GDPR) para a proteção geral de dados, enquanto a diretiva NIS2 aborda a segurança de redes e informações em setores verticais específicos, incluindo a área da saúde.

Nos Estados Unidos, a Lei de Portabilidade e Responsabilização do Seguro de Saúde (HIPAA) continua evoluindo, com atualizações recentes reforçando as proteções de segurança cibernética para as Informações de Saúde Protegidas Eletrônicas (ePHI).

A Comissão Europeia propôs também um plano de ação sobre a segurança cibernética na área da saúde para reforçar a resiliência do setor contra os ataques, reconhecendo que os regulamentos, por si só, são insuficientes sem a devida educação e suporte.

O cumprimento desses requisitos regulamentares exige soluções técnicas robustas, com a criptografia desempenhando um papel particularmente significativo na proteção de dados confidenciais. No entanto, nem todas as soluções de criptografia oferecem os mesmos níveis de segurança e conformidade.

Por que a criptografia de hardware é essencial para proteger os dados na área da saúde?

Quando se trata de proteger dados de saúde, nem todas as soluções de criptografia são criadas iguais. A criptografia baseada em hardware oferece proteção superior em comparação a alternativas baseadas em software, particularmente contra ataques sofisticados e tentativas de adulteração. Isso se torna especialmente importante na transferência de dados confidenciais em drives externos.

Soluções modernas criptografadas por hardware, como a linha de produtos Kingston IronKey, oferecem recursos de segurança robustos. O drive USB Kingston IronKey Vault Privacy 50, com sua certificação FIPS 197 (pendente), fornece proteção contra BadUSB através de um firmware assinado digitalmente e inclui prevenção de ataques de força bruta.

Para maiores necessidades de armazenamento, o SSD Externo Kingston IronKey Vault Privacy 80 oferece criptografia XTS-AES de 256 bits com certificado FIPS 197 com capacidades de até 7,68 TB. Seu design independente do sistema operacional e a interface da tela touchscreen o tornam ideal para armazenamento e transferência de dados seguros em ambientes na área da saúde. É especialmente útil para instalações pequenas e médias, pois pode fornecer um backup “air-gapped” que pode proteger contra o ransomware e levar a uma recuperação mais rápida de qualquer interrupção.

Passos para proteger os dados dos pacientes

Embora a diminuição do custo das violações de dados na área de saúde possa sugerir progresso, o setor deve se manter vigilante na implementação de medidas abrangentes de segurança cibernética. A proteção de informações sensíveis do paciente requer uma abordagem multifacetada que combina:

• Forte criptografia de hardware para armazenamento e transferência de dados
• Treinamento regular de pessoal sobre práticas de segurança e estabelecimento de higiene de segurança cibernética
• Estratégias abrangentes de segurança planejadas em vez de soluções ad hoc
• Rápida conformidade com as regulamentações em evolução
• Investimento na especialização em segurança cibernética para suprir a lacuna de habilidades do setor

Ao tomar estas medidas, as organizações de saúde podem proteger melhor os dados dos seus pacientes e manter a confiança essencial para fornecer cuidados eficazes. Proteja os seus dados de saúde com a criptografia certa. Obtenha aconselhamento especializado da equipe Pergunte a um Especialista da Kingston.