Atualizações de segurança da HIPAA de 2025: o que as organizações de saúde precisam saber
Os ataques cibernéticos estão afetando a saúde com mais força do que nunca. Com a segurança do paciente e dados confidenciais em risco, as novas atualizações propostas das regras de segurança da HIPAA são um forte apelo à ação: resiliência em vez de desculpas.
As atualizações propostas para a Regra de Segurança visam fortalecer a proteção das informações eletrônicas de saúde protegidas (ePHI). Durante anos, as organizações de saúde tiveram dificuldade em seguir as diretrizes de segurança cibernética. Muitos deixaram lacunas críticas em suas defesas.
Agora, o Escritório de Direitos Civis (OCR) está pedindo uma abordagem mais forte e clara para proteger os sistemas de saúde do país. A mensagem? É hora de priorizar a ação sobre a intenção.
Aqui está um resumo do que significam as mudanças propostas e como os profissionais de saúde podem se preparar.
As 3 maiores mudanças de segurança propostas pela HIPAA
As novas propostas da HIPAA não são apenas pequenas mudanças nas regras de segurança existentes. Eles são revolucionários para cibersegurança na área da saúde. Aqui estão as três maiores mudanças para as quais toda organização de saúde precisa se preparar agora.
1. Passando de uma mentalidade de prevenção para resiliência
Uma grande mudança nas atualizações propostas é a mudança do foco apenas na segurança para o foco na resiliência cibernética.
Não basta manter as ameaças afastadas — você precisa estar preparado para conter os ataques e reduzir seu impacto. As organizações de saúde são uma infraestrutura crítica e qualquer interrupção em suas operações pode ser catastrófica. Eles devem ser capazes de se recuperar rapidamente quando os ataques acontecem.
Como explica a proposta, “As entidades regulamentadas devem considerar como suas medidas de segurança apoiam a resiliência diante de um evento adverso”.
Essa é uma mudança poderosa no pensamento. As organizações de saúde estão sendo solicitadas a criar sistemas que possam se adaptar e se recuperar durante crises.
Os novos requisitos significam que a resiliência cibernética não é apenas um bônus. É essencial para proteger pacientes, dados e operações no cenário atual de ameaças.
2. Criação de cibersegurança personalizada e baseada em riscos
Outra atualização importante é a mudança para um abordagem de segurança baseada em riscos.
Em vez de tratar todos os riscos da mesma forma, as organizações devem avaliar suas ameaças específicas e se concentrar em abordar as mais críticas.
O projeto de regra afirma: “As entidades devem reduzir os riscos para seu ePHI a um nível razoável e apropriado para suas circunstâncias específicas”.
Essa abordagem reconhece que nem todas as organizações de saúde são iguais. Uma grande rede hospitalar tem riscos diferentes de uma pequena clínica. Ao adaptar os esforços de segurança às suas situações específicas, os provedores podem garantir que suas defesas sejam eficazes e eficientes.
3. Enfrentando a segurança de dispositivos antigos
Um dos desafios mais difíceis para as organizações de saúde é lidar com dispositivos médicos desatualizados. Esses sistemas legados muitas vezes carecem de recursos de segurança modernos, deixando as redes vulneráveis a ataques.
A nova proposta não suaviza esse problema. O rascunho reconhece: “Algumas entidades regulamentadas podem incorrer em custos com a substituição de dispositivos médicos antigos que não podem ser razoavelmente protegidos contra as ameaças atuais”.
Embora necessárias, essas atualizações podem sobrecarregar fornecedores pequenos e rurais com orçamentos limitados. Mas ignorar o problema não é uma opção. Os ataques cibernéticos direcionados a dispositivos vulneráveis podem custar ainda mais a longo prazo.
Requisitos técnicos propostos pela HIPAA para segurança cibernética na área de saúde
As atualizações propostas não tratam apenas de ideias gerais. Eles incluem ações específicas que as organizações de saúde devem adotar para melhorar a segurança:
- Resposta ao incidente: As organizações devem criar e testar resposta a incidentes planeja regularmente para garantir que estejam prontos para possíveis eventos cibernéticos.
- Segurança da cadeia de suprimentos: Os fornecedores precisam avaliar os riscos em seus parceiros de negócios e cadeias de suprimentos para resolver vulnerabilidades de terceiros.
O rascunho também destaca os requisitos técnicos, tornando-os obrigatórios em vez de opcionais:
- Mitigação de vulnerabilidades
- Criptografia
- Autenticação multifator (MFA)
- Backup e recuperação de dados
- Restringindo portas abertas
- Segmentação
A segmentação, em particular, é digna de nota. Embora tenha sido considerada a melhor prática por anos, agora está se tornando um requisito de conformidade e seguro.
Por que a microssegmentação é importante agora para a área de saúde
O rascunho menciona a segmentação de rede, mas as organizações de saúde devem dar um passo adiante com a microssegmentação.
Microsegmentação divide as redes em zonas menores e isoladas. Isso limita o movimento dos atacantes se eles violarem o sistema, também chamado de movimento lateral.
Ao contrário da segmentação tradicional, que depende de defesas perimetrais, a microssegmentação funciona em um nível granular. Ele pode impedir que as ameaças se espalhem e, ao mesmo tempo, manter as operações normais. Para os prestadores de serviços de saúde, isso significa menos interrupções e maior proteção para dados confidenciais.
Em Illumio, vimos como a microssegmentação transforma as estratégias de segurança. Não se trata apenas de cumprir os regulamentos — trata-se de criar um sistema de defesa proativo que esteja pronto para novas ameaças e seja resiliente quando um ataque acontece.
O que vem por aí para a cibersegurança do setor de saúde?
As atualizações propostas pela HIPAA são mais do que ajustes regulatórios — elas são um alerta para o setor de saúde. As organizações de saúde devem ir além das práticas ultrapassadas e adotar uma abordagem inovadora para a segurança cibernética.
A resiliência não é mais opcional; é uma necessidade.
Essas mudanças não serão fáceis. Implementá-los exigirá tempo, dinheiro e uma mudança de mentalidade. Mas o custo da inação é muito maior. Os ataques cibernéticos estão se tornando mais sofisticados e os riscos são altos demais para serem ignorados.
As organizações de saúde devem ver essas atualizações como uma oportunidade, não um fardo. Ao investir em resiliência e adotar as melhores práticas, como a microssegmentação, eles podem construir um futuro mais forte e seguro.
As organizações que enfrentarem esse desafio estarão mais bem preparadas para as ameaças do futuro e ganharão a confiança de seus pacientes e parceiros no processo.
Leia nosso guia sobre como a plataforma de segmentação Zero Trust da Illumio pode ajudar você a atender aos novos requisitos de segurança da HIPAA.