Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Segmentação Zero Trust

Atualizações de segurança da HIPAA de 2025: o que as organizações de saúde precisam saber

Trevor Dearing
,
Diretor de marketing de soluções industriais
January 13, 2025
23 leitura mínima

Os ataques cibernéticos estão afetando a saúde com mais força do que nunca. Com a segurança do paciente e dados confidenciais em risco, as novas atualizações propostas das regras de segurança da HIPAA são um forte apelo à ação: resiliência em vez de desculpas.

As atualizações propostas para a Regra de Segurança visam fortalecer a proteção das informações eletrônicas de saúde protegidas (ePHI). Durante anos, as organizações de saúde tiveram dificuldade em seguir as diretrizes de segurança cibernética. Muitos deixaram lacunas críticas em suas defesas.

Agora, o Escritório de Direitos Civis (OCR) está pedindo uma abordagem mais forte e clara para proteger os sistemas de saúde do país. A mensagem? É hora de priorizar a ação sobre a intenção.

Aqui está um resumo do que significam as mudanças propostas e como os profissionais de saúde podem se preparar.

As 3 maiores mudanças de segurança propostas pela HIPAA

As novas propostas da HIPAA não são apenas pequenas mudanças nas regras de segurança existentes. Eles são revolucionários para cibersegurança na área da saúde. Aqui estão as três maiores mudanças para as quais toda organização de saúde precisa se preparar agora.

1. Passando de uma mentalidade de prevenção para resiliência

Uma grande mudança nas atualizações propostas é a mudança do foco apenas na segurança para o foco na resiliência cibernética.

Não basta manter as ameaças afastadas — você precisa estar preparado para conter os ataques e reduzir seu impacto. As organizações de saúde são uma infraestrutura crítica e qualquer interrupção em suas operações pode ser catastrófica. Eles devem ser capazes de se recuperar rapidamente quando os ataques acontecem.

Como explica a proposta, “As entidades regulamentadas devem considerar como suas medidas de segurança apoiam a resiliência diante de um evento adverso”.

Essa é uma mudança poderosa no pensamento. As organizações de saúde estão sendo solicitadas a criar sistemas que possam se adaptar e se recuperar durante crises.

Os novos requisitos significam que a resiliência cibernética não é apenas um bônus. É essencial para proteger pacientes, dados e operações no cenário atual de ameaças.

2. Criação de cibersegurança personalizada e baseada em riscos

Outra atualização importante é a mudança para um abordagem de segurança baseada em riscos.

Em vez de tratar todos os riscos da mesma forma, as organizações devem avaliar suas ameaças específicas e se concentrar em abordar as mais críticas.

O projeto de regra afirma: “As entidades devem reduzir os riscos para seu ePHI a um nível razoável e apropriado para suas circunstâncias específicas”.

Essa abordagem reconhece que nem todas as organizações de saúde são iguais. Uma grande rede hospitalar tem riscos diferentes de uma pequena clínica. Ao adaptar os esforços de segurança às suas situações específicas, os provedores podem garantir que suas defesas sejam eficazes e eficientes.

3. Enfrentando a segurança de dispositivos antigos

Um dos desafios mais difíceis para as organizações de saúde é lidar com dispositivos médicos desatualizados. Esses sistemas legados muitas vezes carecem de recursos de segurança modernos, deixando as redes vulneráveis a ataques.

A nova proposta não suaviza esse problema. O rascunho reconhece: “Algumas entidades regulamentadas podem incorrer em custos com a substituição de dispositivos médicos antigos que não podem ser razoavelmente protegidos contra as ameaças atuais”.

Embora necessárias, essas atualizações podem sobrecarregar fornecedores pequenos e rurais com orçamentos limitados. Mas ignorar o problema não é uma opção. Os ataques cibernéticos direcionados a dispositivos vulneráveis podem custar ainda mais a longo prazo.

Requisitos técnicos propostos pela HIPAA para segurança cibernética na área de saúde

As atualizações propostas não tratam apenas de ideias gerais. Eles incluem ações específicas que as organizações de saúde devem adotar para melhorar a segurança:

  • Resposta ao incidente: As organizações devem criar e testar resposta a incidentes planeja regularmente para garantir que estejam prontos para possíveis eventos cibernéticos.
  • Segurança da cadeia de suprimentos: Os fornecedores precisam avaliar os riscos em seus parceiros de negócios e cadeias de suprimentos para resolver vulnerabilidades de terceiros.

O rascunho também destaca os requisitos técnicos, tornando-os obrigatórios em vez de opcionais:

  • Mitigação de vulnerabilidades
  • Criptografia
  • Autenticação multifator (MFA)
  • Backup e recuperação de dados
  • Restringindo portas abertas
  • Segmentação

A segmentação, em particular, é digna de nota. Embora tenha sido considerada a melhor prática por anos, agora está se tornando um requisito de conformidade e seguro.

Por que a microssegmentação é importante agora para a área de saúde

O rascunho menciona a segmentação de rede, mas as organizações de saúde devem dar um passo adiante com a microssegmentação.

Microsegmentação divide as redes em zonas menores e isoladas. Isso limita o movimento dos atacantes se eles violarem o sistema, também chamado de movimento lateral.

Ao contrário da segmentação tradicional, que depende de defesas perimetrais, a microssegmentação funciona em um nível granular. Ele pode impedir que as ameaças se espalhem e, ao mesmo tempo, manter as operações normais. Para os prestadores de serviços de saúde, isso significa menos interrupções e maior proteção para dados confidenciais.

Em Illumio, vimos como a microssegmentação transforma as estratégias de segurança. Não se trata apenas de cumprir os regulamentos — trata-se de criar um sistema de defesa proativo que esteja pronto para novas ameaças e seja resiliente quando um ataque acontece.

O que vem por aí para a cibersegurança do setor de saúde?

As atualizações propostas pela HIPAA são mais do que ajustes regulatórios — elas são um alerta para o setor de saúde. As organizações de saúde devem ir além das práticas ultrapassadas e adotar uma abordagem inovadora para a segurança cibernética.

A resiliência não é mais opcional; é uma necessidade.

Essas mudanças não serão fáceis. Implementá-los exigirá tempo, dinheiro e uma mudança de mentalidade. Mas o custo da inação é muito maior. Os ataques cibernéticos estão se tornando mais sofisticados e os riscos são altos demais para serem ignorados.

As organizações de saúde devem ver essas atualizações como uma oportunidade, não um fardo. Ao investir em resiliência e adotar as melhores práticas, como a microssegmentação, eles podem construir um futuro mais forte e seguro.

As organizações que enfrentarem esse desafio estarão mais bem preparadas para as ameaças do futuro e ganharão a confiança de seus pacientes e parceiros no processo.

Leia nosso guia sobre como a plataforma de segmentação Zero Trust da Illumio pode ajudar você a atender aos novos requisitos de segurança da HIPAA.

Tópicos relacionados

Assistência médica

Artigos relacionados

Cloud Hopper: uma perspectiva de confiança zero
Segmentação Zero Trust

Cloud Hopper: uma perspectiva de confiança zero

Cloud Hopper: a campanha de hackers suspeita de ter sido orquestrada por agentes chineses patrocinados pelo governo. O Zero Trust poderia ter impedido isso?

Leia mais
Ataques gerados por IA: como se manter protegido com Zero Trust
Segmentação Zero Trust

Ataques gerados por IA: como se manter protegido com Zero Trust

Saiba por que criar a segurança Zero Trust com a segmentação Zero Trust em sua essência é fundamental para defender sua organização contra ameaças de IA.

Leia mais
Principais notícias sobre cibersegurança de julho de 2024
Segmentação Zero Trust

Principais notícias sobre cibersegurança de julho de 2024

Conheça algumas das principais histórias de segurança cibernética deste mês de julho, incluindo o mais novo ataque de ransomware LockBit, uma proposta de lei de segurança cibernética do Reino Unido e o recrutamento de talentos em segurança cibernética.

Leia mais
9 razões pelas quais os profissionais de saúde devem implementar a segmentação Zero Trust
Segmentação Zero Trust

9 razões pelas quais os profissionais de saúde devem implementar a segmentação Zero Trust

Explore os benefícios da segmentação Zero Trust para sua organização de saúde.

Leia mais
Dispositivos médicos conectados: a maior vulnerabilidade de segurança cibernética da área de saúde
Resiliência cibernética

Dispositivos médicos conectados: a maior vulnerabilidade de segurança cibernética da área de saúde

Obtenha informações sobre as vulnerabilidades de segurança de dispositivos médicos de IoT conectados e como resolvê-las com a segmentação Zero Trust.

Leia mais
Por que o setor de saúde deve adotar uma abordagem de contenção de violações para a cibersegurança
Segmentação Zero Trust

Por que o setor de saúde deve adotar uma abordagem de contenção de violações para a cibersegurança

Obtenha informações sobre a rápida transformação digital do setor de saúde no contexto do 75º aniversário do NHS no Reino Unido.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais