Cibersegurança na saúde: Como boas práticas de empresas podem proteger informações

O setor de saúde tem sofrido um número crescente de ciberataques, envolvendo diferentes táticas e motivações. Na verdade, os ciberataques a profissionais de saúde aumentaram 63% em 2016. Esse maior foco dos cibercriminosos no setor da saúde não é uma surpresa. As informações de saúde e outras informações de identificação pessoal (PII) sobre os pacientes que os serviços de saúde armazenam e protegem são exatamente o tipo de dados que eles querem roubar.

 

Depois de violar uma rede de saúde e roubar os dados de pacientes, o cibercriminoso vende esses dados na dark web para fins de roubo de identidade, fraude fiscal, entre outros. Da mesma forma, os cibercriminosos atacam provedores de serviço de saúde usando ransomware (devolução de dados roubados mediante pagamento da vítima) acreditando que existe uma chance maior de receber dinheiro pelas informações críticas que podem salvar vidas.

 

As empresas de saúde de pequeno e médio porte estão vulneráveis. Eles precisam de uma maneira econômica de priorizar seu protocolo de cibersegurança porque, além de proteger as informações dos pacientes, 60% dessas pequenas empresas tiveram que fechar suas portas em seis meses após um ciberataque.

 

Por que as empresas de saúde de pequeno e médio porte estão vulneráveis?

 

Existem três fatores principais que estão aumentando a exposição aos ciberataques nestas companhias:

 

Empresas de pequeno e médio porte que operam em vários setores tendem a cair na armadilha de pensar que são muito pequenas para serem alvos de cibercriminosos. No entanto, é errado pensar assim. Os cibercriminosos não se importam com o porte da empresa, mas sim com os dados que armazenam e o tempo e o esforço necessários para colocar as mãos nesses dados. As pequenas empresas têm as mesmas informações de pacientes que as de grande porte, apenas em menor escala.


As empresas de pequeno e médio porte também enfrentam o desafio de recursos limitados de TI. Hoje, há uma escassez de profissionais experientes em cibersegurança, o que significa que as organizações menores geralmente não têm pessoal de TI suficiente para detectar e responder às atuais ameaças sofisticadas em tempo hábil, e muito menos não têm implementada uma segurança de classe empresarial, muitas vezes necessária para evitar esses ataques.


Por fim, os provedores de serviços de saúde estão aumentando o nível dos serviços fornecidos usando os dados dos pacientes fornecidas pela Internet das Coisas Médicas (IoMT). Embora isso seja bom para os médicos e pacientes, o aumento no número de dispositivos de terceiros acessando a rede, principalmente aqueles que não foram desenvolvidos pensando na segurança, também significa um cenário de ameaças mais amplo.
Em uma pesquisa recente, 55% dos entrevistados de empresas de pequeno e médio porte disseram ter sido vítimas de ciberataques no ano passado, enquanto apenas 14% disseram que suas empresas são altamente efetivas na mitigação desses riscos.

 

Para mitigar esses riscos, as empresas de pequeno e médio porte de serviços médicos devem adotar as melhores práticas de cibersegurança, como permitir o acesso a informações de alto risco somente ao pessoal necessário, realizar backups de dados regularmente e segmentar suas redes privadas e o acesso a convidados. Além disso, precisam garantir treinamento eficaz sobre as melhores práticas de cibersegurança e vetores de ataque comuns aos funcionários. Por exemplo, ameaças como o ransomware geralmente são disseminadas por meio de anexos em e-mails. Este conhecimento fará com que os funcionários pensem duas vezes antes de abrir um anexo de um remetente desconhecido.

 

A falta de uma verdadeira cultura de cibersegurança, o aumento da adoção de dispositivos IoMT e sistemas de rede distribuídos, a falta cada vez maior de habilidades de cibersegurança, além da natureza oportunista dos ciberataques, criaram uma tempestade perfeita para as empresas de pequeno e médio porte de serviços de saúde. Para proteger as informações dos pacientes e o seu negócio digital, é preciso combinar ferramentas de segurança econômicas e altamente eficazes com as melhores práticas de cibersegurança tanto do pessoal de TI como dos funcionários em geral. Uma equipe bem informada e um programa robusto e automatizado de cibersegurança e inteligência de ameaças adequado ao porte da sua empresa reduzirão o impacto dos ciberataques por meio da prevenção e da detecção precoce.


SUSAN BIDDLE
Diretora Sênior de Marketing, Área de Saúde da Fortinet