Perguntas e respostas de especialistas: Como o setor de saúde pode se preparar para o aumento das ameaças cibernéticas?

Esta sessão de perguntas e respostas foi publicada originalmente em Saúde global. Entrevista conduzida por Ella Thompson.

Os ataques de ransomware na área da saúde aumentaram 328% no primeiro semestre de 2022, de acordo com o Diário da HIPAA. E o custo médio de uma violação na área da saúde é de $10,1 milhões em comparação com uma média de $4,35 milhões em outros setores, de acordo com o Relatório de custo de uma violação da IBM em 2022.

O setor de saúde é um dos principais alvos dos ataques cibernéticos. Então, como as organizações podem se preparar?

Conversamos com Trevor Dearing, diretor de marketing de soluções industriais da Illumio, para discutir como as organizações de saúde podem ser proativas contra ameaças cibernéticas.

Junte-se à Illumio no HIMSS 2023 em Chicago, de 17 a 21 de abril, no estande 2678. Registre-se hoje.

Por que o setor de saúde está no topo das listas de alvos dos cibercriminosos?

A saúde é o principal alvo dos ataques cibernéticos porque um ataque pode colocar em risco o bem-estar — e até mesmo a vida — dos pacientes.

Os cibercriminosos sempre terão como alvo aqueles que oferecem a maior chance de recompensa. Eles sabem que os profissionais de saúde não podem se dar ao luxo de perder tempo de inatividade com a segurança do paciente em risco e têm maior probabilidade de pagar e fazer isso rapidamente. É por isso que o setor se tornou uma das principais vítimas de ataques de ransomware — particularmente nos últimos anos.

Mas não são apenas os ataques de ransomware que as organizações precisam observar. Os profissionais de saúde mantêm grandes volumes de dados pessoais sobre pacientes, o que é uma mercadoria nos mercados da dark web. Esses dados alimentam mais ataques direcionados, chantagens e fraudes.

O setor também se tornou um alvo mais atraente graças ao aumento de dispositivos médicos conectados que expandiram a superfície de ataque. A instabilidade econômica e as pressões de gastos públicos também significam que muitos profissionais de saúde não têm orçamento para igualar as estratégias cibernéticas mais robustas de outros setores.

Exatamente como os ataques de ransomware se desenrolam?

A maioria dos ataques de ransomware segue um padrão semelhante. Os agentes de ransomware obtêm acesso inicial a uma organização e se escondem nas redes (por até meses seguidos) antes de atacar. Eles se moverão furtivamente pela rede da organização, obtendo privilégios de acesso de alto nível para acessar arquivos valiosos e sistemas essenciais antes de implantar o ransomware, bloqueando efetivamente arquivos e aplicativos. A menos que as organizações consigam impedir a propagação, rapidamente todas as atividades serão interrompidas.

Para os profissionais de saúde, o pior cenário pode ser a desconexão de dispositivos médicos, como sensores para monitorar os sinais vitais do paciente e administrar automaticamente o tratamento. Ou poderia bloquear registros e sistemas essenciais de pacientes para gerenciar consultas, paralisando efetivamente a organização.

Também estamos vendo mais ataques usando uma tática de “dupla extorsão” que combina criptografia de dados com exfiltração. O atacante fará cópias dos dados e os criptografará e, em seguida, ameaçará vazar ou vender informações confidenciais, mesmo que a vítima pague o resgate.

Como as organizações de saúde podem se proteger contra ameaças cibernéticas?

As organizações precisam parar de investir tantos recursos na tentativa de evitar que os ataques aconteçam e, em vez disso, investir no gerenciamento do impacto. Isso significa aceitar que os ataques acontecerão e mitigar o impacto por meio da contenção de violações.

Um dos melhores modelos de segurança para melhorar a resiliência cibernética é o Zero Trust. Essa estratégia é baseada no mantra de “nunca confie, sempre verifique”, o que significa que nenhum usuário é automaticamente confiável para acessar arquivos e aplicativos simplesmente porque tem as credenciais adequadas.

Normalmente, o Zero Trust consiste em três pilares: Zero Trust Network Access (ZTNA), Zero Trust Data Security (ZTDS) e Segmentação Zero Trust (ZTS). A última delas é fundamental para a contenção de violações, dividindo a rede em várias seções seladas, com os princípios do Zero Trust governando o movimento entre as zonas.

Pesquisa de Grupo de Estratégia Empresarial (ESG) descobriu que as organizações que adotaram estratégias de Zero Trust evitam uma média de cinco desastres cibernéticos anualmente e economizam uma média de 20 milhões de dólares em tempo de inatividade de aplicativos. E uma emulação de ataque conduzida por Bispo Fox descobriu que o Illumio ZTS pode tornar os invasores ineficazes em menos de 10 minutos, quatro vezes mais rápido do que apenas a detecção e resposta de terminais (EDR).

Por que o setor de saúde deveria mudar sua mentalidade para trabalhar no isolamento dos ataques, não na prevenção deles?

Nos últimos anos, vimos uma grande mudança nos motivos do ataque, do foco no roubo de dados para o impacto na disponibilidade. Isso significa que a segurança cibernética não é mais apenas um problema de segurança; é um problema operacional com impactos que incluem tempo de inatividade operacional prolongado, danos financeiros e de reputação e, para a saúde, possíveis perdas de vidas.

Agora, os ataques têm como objetivo causar o máximo de interrupção, com os agentes de ameaças contando com a capacidade de acessar sistemas e dados críticos antes que as defesas os detectem. Os ataques também estão aumentando em número e os cibercriminosos estão usando táticas cada vez mais sofisticadas para atingir seus objetivos. Isso significa que a prevenção por si só não é mais uma estratégia viável.

Não importa o quão segura seja a rede, o comprometimento é inevitável. Isso é o que chamamos de”presumir violação“mentalidade. Isso pode parecer uma atitude muito derrotista para um especialista em segurança; no entanto, é essa mentalidade que impedirá que uma violação se torne um desastre grave. Se as organizações aceitarem que um invasor violará suas defesas, elas poderão implementar medidas para conter a ameaça e minimizar o impacto.

Conte-nos sobre as medidas que qualquer organização de saúde, independentemente do tamanho e do orçamento, pode adotar para fortalecer sua postura de segurança imediatamente.

O primeiro passo que as organizações devem tomar é mapear as comunicações de todos os sistemas. Depois que um invasor se infiltra em uma organização, ele tenta migrar para os ativos de maior valor. Podem ser dados de pacientes ou dispositivos médicos. As organizações precisam identificar quais sistemas podem se comunicar e como informar quais restrições devem ser implementadas.

Em seguida, as organizações devem usar esse conhecimento para identificar e quantificar os riscos enfrentados por qualquer ativo ou aplicativo. Isso pode ser baseado na vulnerabilidade de cada sistema e na exposição que ele enfrenta ao se conectar a outros sistemas e dispositivos.

A etapa final é aplicar controles com base no menor privilégio para controlar e restringir o acesso entre recursos. A interrupção da comunicação não autorizada permite que um ataque seja contido em um único local e impede que os invasores alcancem ativos e serviços essenciais. Essa abordagem é igualmente aplicável a dispositivos médicos, data centers, nuvem e terminais.

Seguir essas etapas tornará a infraestrutura médica tolerante a violações e garantirá que as organizações possam manter os serviços mesmo sob ataque, sem a necessidade de encerrar os serviços ou transferir pacientes.

Registre-se hoje para o HIMSS 2023 e conheça a Illumio em nosso estande 2678.

Leia mais sobre como a Illumio ZTS pode ajudar a proteger sua organização de saúde.

Entre em contato conosco hoje para uma demonstração e consulta gratuitas.