Proteção dos dados digitais dos cuidados de saúde contra ciberataques

Em 2023, o Gabinete dos Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) comunicou 541 casos de violações de dados com impacto em mais de 500 indivíduos. Alguns desses incidentes afectaram milhões, ou mesmo dezenas de milhões de indivíduos, como a violação amplamente divulgada na HCA Healthcare durante o verão. 

No Dia de Ação de Graças do mesmo ano, a Ardent Health Services sofreu um ataque de ransomware, o que levou o sistema de 30 hospitais a encerrar e suspender proactivamente todo o acesso dos utilizadores às suas aplicações IT . Isto resultou em atrasos nos procedimentos não urgentes. 

Em fevereiro de 2024, o HIPAA Journal registou 24 violações de dados envolvendo 10 000 registos de cuidados de saúde. 

Os novos requisitos da indústria relativos à segurança dos dados de saúde estão no horizonte, à medida que os legisladores se esforçam por responsabilizar as organizações pela proteção dos dados. 

A Regra de Privacidade da HIPAA, 45 CFR Parte 160 e Subpartes A e E da Parte 164, delineia as utilizações e divulgações permitidas e obrigatórias de informações de saúde protegidas (PHI). As PHI podem existir sob qualquer forma, incluindo em papel, filme e em formato eletrónico, e são consideradas informações de saúde individualmente identificáveis. 

A Regra de Segurança da HIPAA, 45 CFR Parte 160 e Parte 164, Subpartes A e C, define os requisitos para PHI eletrónico (ePHI). As entidades abrangidas e os seus associados comerciais são obrigados a manter a confidencialidade, integridade e disponibilidade do ePHI. 

A Regra de Notificação de Violação da HIPAA, 45 CFR §§ 164.400-414, exige que as entidades abrangidas pela HIPAA e os seus associados comerciais forneçam uma notificação após uma violação de informações de saúde protegidas não seguras. 

Publicação Especial 800 do NIST O NIST SP 800-66r2, publicado em fevereiro de 2024, fornece orientações para entidades regulamentadas (ou seja, entidades abrangidas pela HIPAA e associados comerciais) sobre a avaliação e gestão de riscos para o ePHI, identifica actividades típicas que uma entidade regulamentada pode considerar implementar como parte de um programa de segurança da informação e apresenta orientações que as entidades regulamentadas podem utilizar, no todo ou em parte, para ajudar a melhorar a sua postura de cibersegurança e ajudar a alcançar a conformidade com a Regra de Segurança da HIPAA. 

Em dezembro de 2023, o Departamento de Saúde e Serviços Humanos (HHS) publicou um documento concetual que descreve a sua estratégia de cibersegurança para o sector dos cuidados de saúde. Essa estratégia enfatiza os esforços de fiscalização intensificados e o estabelecimento de padrões elevados de práticas do setor. Posteriormente, em janeiro de 2024, o HHS revelou os seus Objectivos de Desempenho de Cibersegurança (CPGs) específicos do sector dos cuidados de saúde e da saúde pública. Estes objectivos estão divididos em categorias "essenciais" e "melhoradas", com o objetivo de abordar as vulnerabilidades de cibersegurança prevalecentes no sector dos cuidados de saúde. 

O programa HHS 405(d) oferece orientações práticas para as organizações de cuidados de saúde que enfrentam as complexidades da implementação de medidas robustas de segurança de dados. Esta iniciativa sublinha a integração estratégica dos sistemas de prevenção contra a perda de dados (DLP) como um componente essencial de uma estrutura de segurança de dados abrangente. A adaptação das soluções DLP às necessidades específicas dos fluxos de trabalho dos cuidados de saúde tem o potencial de reduzir significativamente os falsos positivos e melhorar a eficácia global das iniciativas de proteção de dados.  

Leis federais como a Gramm-Leach-Bliley Act (GLBA), a Family Educational Rights and Privacy Act (FERPA) e a Fair Credit Reporting Act (FCRA) salvaguardam a confidencialidade dos dados pessoais. Para além destes regulamentos federais, continuam a surgir novas leis estatais, reforçando ainda mais as medidas de privacidade e proteção dos dados: 

Sendo os dados dos doentes e a segurança de importância primordial, como podem os prestadores de cuidados de saúde ter a certeza de que as suas ferramentas de segurança actuais são eficazes contra as ameaças em evolução? 

Tem havido um aumento notável de ataques dirigidos a prestadores de cuidados de saúde regionais mais pequenos, o que sublinha a necessidade de medidas de cibersegurança fortes. Normalmente, estas organizações armazenam dados extremamente sensíveis, o que as torna alvos privilegiados dos piratas informáticos. A implementação de abordagens de segurança "multi-camadas", incorporando a prevenção da perda de dados e a deteção proactiva de ameaças, é crucial para minimizar os potenciais danos. 

A DLP envolve estratégias destinadas a evitar a divulgação inadvertida ou não autorizada de dados sensíveis, como registos de pacientes ou PHI. Isto é particularmente importante no sector dos cuidados de saúde, onde o comprometimento de PHI pode ter um impacto profundo nos pacientes, podendo levar ao roubo de identidade ou ao comprometimento do tratamento médico. O estabelecimento de uma estratégia DLP robusta é imperativo para as organizações mitigarem as violações de dados e manterem a segurança e a confidencialidade dos dados de cuidados de saúde. 

OPSWAT Proactive DLP detecta e bloqueia dados sensíveis, fora da política e confidenciais em ficheiros e e-mails. Equipado para mitigar potenciais violações de dados, o Proactive DLP emprega um conjunto abrangente de medidas de segurança, incluindo a deteção de malware transmitido por ficheiros, empregando classificação de documentos com IA e tirando partido do Reconhecimento Ótico de Caracteres (OCR) para redigir informações sensíveis. Suporta a conformidade com a HIPAA através de capacidades robustas de prevenção de perda de dados, controlos de acesso e mitigação de riscos.  

OPSWAT MetaDefender A plataforma oferece uma prevenção abrangente contra ameaças, adaptada para que as organizações de cuidados de saúde tratem os dados de saúde de forma segura e económica. MetaDefender A plataforma simplifica os processos de operação de segurança, é facilmente dimensionada e fornece tecnologias líderes de mercado para uma estratégia de defesa em profundidade, tais como: 

• Deep CDR desarma ficheiros potencialmente maliciosos e regenera conteúdos seguros para utilização.
• Multiscanning detecta malware conhecido e desconhecido com mais de 30 mecanismos AV.
• Adaptive Sandbox detecta malware com análise dinâmica e estática.
• O país de origem restringe o acesso aos dados com base na localização e no fornecedor.