Como prevenir violações de segurança na área da saúde
A área de saúde é o alvo principal para ataques cibernéticos e outras violações de segurança, e as violações de segurança na área de saúde continuam a ter uma tendência ascendente. De acordo com a Becker's Hospital Review, uma em cada três grandes violações de dados envolve um hospital ou sistema de saúde. Essas violações não só ameaçam a privacidade pessoal dos pacientes, mas também trazem o risco de grandes multas de conformidade, danos duradouros à reputação e à confiança, e podem até mesmo paralisar um hospital ou sistema de saúde, impedindo a capacidade de atendimento e colocando em risco a segurança dos pacientes. A luta contra essa tendência e a prevenção de violações de segurança na saúde requer uma compreensão mais ampla dos riscos e das principais vulnerabilidades – e um programa abrangente de segurança de dados e autenticação de identidade para mitigar esses riscos.
A importância da segurança dos dados na saúde
As violações na área da saúde atingiram um recorde histórico em 2021, continuando uma tendência ascendente em que o número de violações nos registros de saúde dos EUA mais do que triplicou nos últimos três anos. Os registros de saúde são um alvo popular por uma razão simples: Registros médicos valem até 40 vezes mais do que cartões de crédito roubados na darkweb. Isso porque os registros de saúde normalmente incluem tudo, desde números da Previdência Social até informações sobre os beneficiários do plano de saúde e identificadores biométricos, além de muitas vezes incluírem informações sobre contas financeiras.
Mas o que conta é que as crescentes brechas de segurança na área da saúde estão diretamente ligadas à transformação digital da área da saúde. Hoje, a prestação de cuidados de saúde depende totalmente dos dados. Os dispositivos conectados coletam sinais vitais e outras informações sobre a saúde do paciente que informam o cuidado. Os registros eletrônicos de saúde (EHRs) armazenam essas informações e orientam os fluxos de trabalho da autorização de procedimentos até a prescrição de medicamentos. Tudo, desde os tratamentos mais simples até os mais complexos e avançados, é agora entregue utilizando tecnologias digitais. A infraestrutura digital sustenta as instalações e os espaços onde esse atendimento é prestado, mantendo luzes acesas, controlando os complexos sistemas de climatização e controlando o acesso físico e a segurança. Agora, o rápido crescimento da telessaúde adicionou uma camada às necessidades adicionais de segurança de dados. Os profissionais estão integrando tecnologias de terceiros e plataformas baseadas na web para tornar a telessaúde sem descontinuidades e conveniente para os pacientes e eficiente para os profissionais.
A segurança dos dados é fundamental para proteger todo esse ecossistema. Se bem executado, um programa abrangente de segurança de dados oferece três resultados principais:
- Confiança e fidelidade do paciente
Os pacientes de hoje, como consumidores, têm o poder de buscar o “melhor” atendimento e são cada vez mais sensíveis à privacidade dos dados. Um programa eficaz de segurança de dados protege contra os danos à reputação, e as perdas de volume de pacientes resultantes, de uma violação de dados. - Qualidade do atendimento e segurança do paciente
Garantir o acesso ininterrupto às informações de saúde do paciente e o funcionamento de tecnologias e sistemas essenciais é fundamental para o objetivo mais básico dos provedores de saúde: oferecer atendimento de alta qualidade e mitigar riscos de segurança dos pacientes. - Evitar custos associados a violações
O sistema de saúde já está na vanguarda das normas de privacidade de dados e requisitos continuamente enrijecidos significam que mesmo pequenas violações podem levar a multas significativas. Mas as multas são apenas a ponta do iceberg quando se trata do custo total de uma violação de segurança. Por exemplo, um hospital de médio porte pode esperar que um típico ataque cibernético deixe-o fora do ar por, em média, 10 horas e a um custo de US$ 45.700 por hora.
Quais são as principais questões de segurança de dados na área da saúde?
A questão primordial é a digitalização exponencial de todos os aspectos da saúde, como mencionado acima. Sem dúvida, essa transformação digital está trazendo enormes benefícios tanto para os pacientes quanto para os profissionais e continuará a revelar novas e poderosas possibilidades e potenciais nos próximos anos. Mas também apresenta riscos de segurança significativamente maiores, mais simplesmente porque cria um ecossistema digital muito mais amplo e complexo, com muito mais pontos onde um indivíduo com más intenções poderia adquirir acesso ou os dados poderiam vazar ou ser expostos. Um relatório da primavera de 2022 identificou cinco fontes-chave de problemas de segurança de dados na área da saúde:
- IoT conectada/dispositivos médicos “inteligentes”: O número de dispositivos conectados em hospitais e clínicas continua a crescer exponencialmente. Os U.S. Health and Human Services (HHS, Serviços Humanos e de Saúde Humanos dos EUA) relatam que mais da metade dos dispositivos médicos conectados de uso mais comum são vulneráveis a ataques cibernéticos.
- Uso da telessaúde na cirurgia: A mudança induzida pela pandemia para a telessaúde e a saúde móvel está provando que chegou para ficar para sempre. O acesso dos pacientes à saúde fora do “perímetro” tradicional de segurança de dados traz uma série de riscos e desafios à segurança.
- A Cer: A Cure Act de 2016 visa reduzir as barreiras à interoperabilidade de sistemas e dispositivos na área da saúde. Proporciona e acelera diretamente a inovação tecnológica, mas também apresenta pontos adicionais onde os dados podem ser vazados ou roubados em trânsito.
- Departamentos de TI com poucos recursos: A escassez de pessoal e a falta de orçamento estão atingindo todos os departamentos do hospital, e isso pode fazer com algo como patches de segurança sejam ignorados e que pilhas de tecnologia não sejam atualizadas e reforçadas para acompanhar as demandas e os riscos modernos. Além disso, os HHS relatam que o hospital típico é simplesmente “superado” pelos criminosos cibernéticos do ponto de vista de tecnologia e de pessoal.
- Falta de treinamento de segurança dos funcionários: O fator humano ainda é o maior risco de segurança, seja clicando em um link de phishing, perdendo ou compartilhando credenciais, ou deixando visitantes não registrados entrarem nas instalações.
De fato, estima-se que 3 em cada 4 brechas na segurança da saúde decorrem de uma dessas cinco questões centrais.
5 estratégias para prevenir violações na área da saúde
Comece concentrando-se na proteção dos dados dos pacientes
A estratégia mais fundamental de segurança de dados é focar na proteção dos dados do paciente que alimenta a moderna prestação de serviços de saúde, colocando em prática as tecnologias e processos corretos e construindo uma cultura de segurança de dados. Para garantir a disponibilidade e integridade dos dados dos pacientes, os hospitais e sistemas de saúde devem tomar várias medidas:
- Criptografar e proteger com token todos os dados dos pacientes, seja em trânsito ou em repouso, para protegê-los do acesso não autorizado
- Permitir a assinatura digital dos registros de pacientes para manter uma cadeia segura de controle sobre os dados dos pacientes e ajudar a mitigar os riscos de fraude e falsificação
- Ao compartilhar ou mover dados do paciente, todas as informações pessoalmente identificáveis (PII) devem ser protegidas com token para garantir ainda mais a privacidade do paciente
Assinale todas as caixas de conformidade
Além da importância clínica da segurança dos dados dos pacientes, hospitais e sistemas de saúde precisam atingir e manter a conformidade sob uma série de requisitos regulatórios cada vez mais rígidos, desde a HIPAA e a Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH), até o Regulamento Geral de Proteção de Dados (RGPD), a Lei de Privacidade do Consumidor da Califórnia (CCPA), os Serviços de Identificação Eletrônica, Autenticação e Confiança (eIDAS) e muito mais.
Para a maioria das organizações de saúde, facilitar a conformidade com a HIPAA é o maior foco. Veja quatro áreas de foco de segurança de dados para conformidade com a HIPAA:
- Autenticação robusta: A HIPAA atribui alta prioridade à limitação, controle e monitoramento do acesso físico e digital a espaços, ativos e dados. Dar aos usuários autorizados autenticação de alta segurança, baseada em credenciais, que lhes permita autenticar rápida e facilmente a identidade e privilégios de acesso.
- Certificados digitais: Os certificados digitais complementam a autenticação robusta na confirmação da identidade de um dispositivo, servidor ou usuário. Um programa de certificado digital robusto é cada vez mais importante para permitir um ecossistema sem conflitos e totalmente integrado de dispositivos IoT conectados dentro de um hospital ou sistema de saúde.
- Proteção de dados: A HIPAA estipula que as informações de saúde protegidas (PHI) devem ser criptografadas a menos que seja dada uma justificativa “razoável e apropriada”. Além disso, a criptografia de dados eficaz, tanto em trânsito quanto em repouso, pode ajudar as organizações a evitar multas significativas em caso de violação.
Reforce a segurança dos dados em torno da arquitetura digital crítica
Os padrões e melhores práticas de segurança de dados que têm sido usados para proteger estações de trabalho em desktop e tecnologias on-premises ultrapassadas simplesmente não conseguem acompanhar a era dos aplicativos baseados na nuvem, da conectividade habilitada para dispositivos móveis e de pilhas de tecnologia sem perímetro. Os hospitais e sistemas de saúde precisam construir uma pilha de segurança sem obsolescência capaz de permitir o acesso instantâneo e sem conflitos que é necessário, ao mesmo tempo em que impede os riscos crescentes de ataques cibernéticos, fraudes e violações. Veja três áreas a serem enfocadas:
- Tomar medidas para proteger os sistemas de EHR: Certificados digitais para dispositivos IoT; logins sem senha; autenticação baseada em credencial de alta garantia; e módulos de segurança de hardware (HSMs) validados pelas Normas Federais de Processamento de Informações (FIPS) podem ajudar sua organização a proteger a integridade digital do seu sistema de EHR e prevenir violações de segurança na área da saúde.
- Proteger os dispositivos IoT: A criptografia de grau empresarial e as assinaturas digitais, juntamente com uma raiz de confiança protegendo as chaves criptográficas subjacentes, devem ser sempre utilizadas como uma prática recomendada para garantir um ambiente seguro.
- Proteger o hardware e o firmware: Uma infraestrutura digital de alta segurança precisa usar chaves, certificados e criptografia de ponta a ponta para garantir também a autenticidade e a integridade do firmware que alimenta dispositivos IoT inteligentes e conectados.
Use tecnologia inteligente de segurança de dados para permitir uma força de trabalho moderna e produtiva
O “novo normal” remodelou a forma de trabalhar da força de trabalho da área de saúde. Os profissionais interagem com os pacientes virtualmente através de serviços de saúde móveis e de telessaúde. A equipe clínica e administrativa adota modelos de trabalho remoto e híbrido. Habilitar essas novas formas de trabalho é essencial para expandir e melhorar a forma como os cuidados são prestados. Também é fundamental para proteger os resultados econômicos, assim como atrair e reter funcionários diante das implacáveis pressões trabalhistas.
- Integrar tecnologias de última geração: O ritmo da inovação no mundo da produtividade e da tecnologia de colaboração continua acelerando. Veja algumas ferramentas e tecnologias que permitem que os médicos e o pessoal trabalhem de maneiras novas, mais inteligentes e melhores. A capacidade de um hospital ou sistema de saúde de integrar rapidamente novas tecnologias depende de ter uma pilha de tecnologia de segurança ágil e pronta para o futuro, capaz de colocar a autenticação necessária, a criptografia e outras medidas de segurança de dados em torno de novos aplicativos, novas integrações e novos fluxos de trabalho.
- Permitir acesso fácil: O valor das novas tecnologias inovadoras é limitado pela capacidade de acessá-las rapidamente e de alternar entre elas para prestar atendimento e realizar fluxos de trabalho importantes. Atingir todo o potencial da transformação digital, dos benefícios da produtividade, melhoria da qualidade do atendimento à melhor satisfação do paciente e do pessoal, depende de permitir este tipo de acesso fácil.
- Apoiar a flexibilidade da força de trabalho com segurança física: Um dos impactos mais negligenciados de um modelo de trabalho híbrido é que ele frequentemente necessita de mudanças na segurança física e nos programas de controle de acesso. Desde permitir que pessoas autorizadas tenham acesso a instalações fora dos turnos padrão, até facilitar o check-in sem contato para pacientes e visitantes, até a integração e desligamento de funcionários e voluntários, hospitais e sistemas de saúde precisam reavaliar as lacunas e os problemas em seu programa de segurança física que possam apresentar risco à privacidade e segurança dos dados dos pacientes.
Facilite e proteja a prestação de serviços de saúde à distância e transações digitais
A demanda dos pacientes por telessaúde, cuidados móveis e outras opções de prestação de atendimento virtuais e remotas chegou para ficar. As organizações de saúde também reconheceram os muitos benefícios desses novos modos de atendimento. Mas fornecer as experiências convenientes, personalizadas e privadas que os pacientes esperam (e perceber o potencial de expandir o acesso às populações carentes enquanto impulsionam a eficiência) traz um conjunto inteiramente novo de desafios de segurança de dados.
- Recepção e autenticação de pacientes remotos: O desafio mais simples de segurança de dados com o atendimento remoto é simplesmente autenticar a identidade de um paciente que não está fisicamente presente. As organizações de saúde precisam colocar em prática tecnologias que permitam a verificação segura da identidade do paciente pelo autoatendimento. Também precisam construir novos fluxos de trabalho para a recepção de novos pacientes em um cenário de atendimento totalmente virtual.
- Proteção das PHI em atendimentos baseados na nuvem: Conectar os pacientes e o atendimento por aplicativos baseados na web e na nuvem significa que uma quantidade incrível de PHI está agora transitando muito além da segurança e proteção do perímetro tradicional da rede. Uma estratégia abrangente de proteção de dados precisa incluir criptografia avançada de ponta a ponta, certificados robustos e infraestrutura de chave pública (PKI), a fim de facilitar o intercâmbio ininterrupto de dados dos pacientes, protegendo-os de vazamentos ou roubos.
- Segurança de wearables e dispositivos além do perímetro: Além das visitas de cuidados primários básicos, o maior impulsionador do atendimento à distância é o avanço de dispositivos médicos conectados que permitem aos profissionais monitorar e reagir às informações de saúde dos pacientes em tempo real. Isso abrange desde dispositivos de saúde “inteligentes”, como CPAPs, máquinas de diálise e marca-passos, até a expansão dos wearables, como smartwatches e monitores contínuos de glicose. As organizações de saúde precisam não apenas proteger a transferência de PHI destes dispositivos conectados para seus sistemas internos, mas também colocar em prática fortes tecnologias de segurança de dados para proteger o hardware e firmware dos próprios dispositivos conectados.
- Transações e pagamentos digitalizados: As tecnologias sofisticadas de assinatura digital desempenham um papel crítico tanto na frente como nos bastidores dos atendimentos remotos. As organizações de saúde precisam de uma maneira segura e sem problemas para autenticar de forma rápida e confiante os pedidos dos profissionais, como requisições de exames e prescrições de medicamentos. Nos bastidores, precisam garantir a autenticidade dos sinistros de seguros, bem como fornecer a infraestrutura tecnológica para permitir que os pacientes façam pagamentos seguros.