Más notícias para a comunidade da área de saúde. Um novo estudo revela que empresas de varejo, como Target e Ebay são mais seguras do que muitas organizações de saúde.
Organizações de saúde estão repletas de insegurança, e é só uma questão de quando uma empresa da área sofrerá um ataque, como aconteceu com a Target, colocando milhões de arquivos de informações de saúde dos pacientes em um mercado negro, sugere um novo estudo.
Um ataque em larga escala dentro da indústria da saúde pode colocar em risco a segurança e a vida de pacientes, advertiu Stephen Boyer, CTO da empresa de classificação de segurança BitSight Technology, em uma entrevista. Apesar do aumento de consciência sobre esses riscos, organizações de saúde estão muito atrás de seus equivalentes em outros mercados verticais, disse Boyer, citando um estudo da BitSight entitulado “Will Healthcare Be the Next Retail?”, lançado em 28 de maio.
De quatro indústrias que o estudo analisou, as da área de saúde viram a maior onda de ataques, e a maior lentidão de resposta, levando mais de cinco dias para remediar os problemas de segurança. Por comparação, indústrias da área de finanças levaram 3,5 dias, e empresas de varejo e utilidades combateram seus problemas em aproximadamente quatro dias. Algumas organizações de saúde lideram o mercado, usando melhores práticas e recursos adequados, mas, como setor, a saúde é mais fraca do que as outras.
De acordo com Boyer, contudo, isso pode estar melhorando. ”Eu não sei de uma grande quebra de registros de saúde, mas me mantenho ligado. Eu sei que certamente há uma preocupação com a privacidade. Eu vejo mais transparência acontecendo no processo e eu acho que isso irá colocar os incentivos corretos no lugar”, disse ele. ”A violação da Target foi somente um momento divisor na indústria. Isso está mudando as conversas em todos os lugares que vamos”.
Para esse relatório, a BitSight analisou a performance de segurança de 500 firmas da Standard & Poor, baseada em dados como comunicação com uma botnet, distribuição de malware ou propagação de spam. Foi determinado que no último ano, 82% das organizações sofreram comprometimento da segurança. Entre finanças, utilidades, varejo, saúde e farmacêuticas, a saúde mostrou a pior performance no geral, de acordo com o estudo.
Informações de saúde de pacientes tem valor para ladrões. No mercado negro, segundo Boyer, um relatório eletrônico médico de um paciente pode ser vendido por 20 dólares; por comparação, dados de cartão de crédito são vendidos por 1 dólar cada. Alguns pacientes podem ficar envergonhados se algumas informações da saúde forem a público, abrindo-os para chantagens ou vitimização. Ladrões também vendem informações para pessoas sem seguros ou planos de saúde.
”Você ter cuidados de saúde. Você ter tratamento. Você pode comprar drogas”, disse Boyer. “Obviamente, há fraude. Aquelas visitas e prescrições vão ser fichadas. Isso está transformando o roubo cibernético em vida e morte”.
Diferente de empresas financeiras que tem dinheiro para segurança desde o começo, organizações de saúde são tipicamente comparativamente novas no mundo da proteção de dados. “A missão deles é entregar cuidados, não segurança de dados”, explica Boyer. Portanto, consciência, cognição de todo o leque de inseguranças, e recursos não estão disponíveis através da indústria.
O Departamento de Saúde e Serviços Humanos combateu o problema com uma vara: maiores multas para organizações violadas. No começo desse mês, por exemplo, o HHS Office for Civil Rights estabeleceu uma HIPAA de violação de caso de 4,8 milhões de dólares com o New York and Presbyterian Hospital e a Columbia University. Essa pesquisa minuciosa pode somente melhorar na luz da violação recente dos varejistas, de acordo com Paul Trulove, VP de produtos da SailPoint.
”No calcanhar de tão bem conhecidas violações de dados na Target e ainda (mais recentes) notícias do cyberattack no eBay, os auditores estão colocando ainda mais atenção nas organizações de saúde, já que os dados de suas empresas são mais valiosos do que dados de consumo”, disse ele em uma entrevista.
Regras como a HIPAA e a HITECH Act estão geralmente fazendo um bom trabalho protegendo os dados de pacientes. Frequentemente, erros humanos causam violações, como dito por Michael Raggo, evangelista de segurança da MobileIron, em uma entrevista para a InformationWeek.
”Eu nunca direi nunca, mas a indústria da saúde viu uma instância desproporcionalmente baixa de cyberattacks, e uma maior proporção de perda de dados acidentais dos bem intencionados, mas arriscados comportamentos dos usuários nos dispositivos ou perda de dispositivos. Uma grande razão para uma quantidade baixa de cyberattacks é por causa das diretrizes exigentes da HIPAA, que são uma parte rigorosa da segurança de dados e estratégia de complacência de todas as organizações de saúde dos Estados Unidos”, disse Rago. ”Dito isso, cyberattacks estão aumentando, assim como o número de vetores de ataque que as empresas precisam proteger”.
Boyer também complementou que sistemas mais antigos de saúde podem não incluir os últimos guarda-costas tecnológicos. Na verdade, ele apontou que, um funcionário de saúde recentemente recebeu uma implementação que incluía computadores com o Windows XP, sistema operacional que a Microsoft não oferece mais suporte com atualizações de segurança.
”Eu sei que há algumas conversas chave acontecendo agora em coisas que vão melhorar (a segurança da área de saúde)”, disse ele. ”Eu estou menos otimista de que elas vão acontecer rapidamente. Esse não é um ambiente super ágil dentro de hospitais e organizações de saúde. Será difícil virar o jogo”.
Se uma grande violação acontecer na área de saúde, avisou Boyer, pacientes podem reagir mudando provedores e seguradoras, ou sendo menos próximo de seus médicos, mesmo arriscando suas saúdes.
Texto traduzido e adaptado de : InformationWeek
