Os sistemas de saúde fazem parte das infraestruturas críticas de um país. No entanto, continuam vulneráveis num momento crítico.
Todos os dias, milhares de uploads de ficheiros mantêm em funcionamento os portais de pacientes, as plataformas de telessaúde, os registos de saúde eletrónicos (EHR) baseados na nuvem e as ferramentas de colaboração clínica. Estes ficheiros confidenciais apoiam diretamente a prestação de cuidados de saúde, mas representam também um ponto único de falha, uma vez que os controlos nativos da nuvem não foram concebidos para proteger os uploads de ficheiros.
Consequentemente, o malware, a fuga de dados e os riscos de conformidade podem passar precisamente pelo canal que mantém o sistema em funcionamento.
Se a infraestrutura de cuidados de saúde é fundamental, a sua camada de carregamento não pode ficar sem controlo: os processos de análise, sanitização e aplicação de políticas têm de ser implementados no momento do carregamento.
Cloud representam um risco crescente para a segurança no setor da saúde
De acordo com a HIMSS, mais de 80 % das organizações de saúde utilizam atualmente serviços na nuvem para armazenar ou processar dados de saúde. Milhares de ficheiros são introduzidos diariamente nos ambientes de saúde a partir de:
- Pacientes que utilizam dispositivos pessoais não geridos
- Fornecedores externos e especialistas
- Laboratórios de diagnóstico e centros de imagiologia
- Seguradoras, parceiros de faturação e redes de encaminhamento
Estes ficheiros parecem inofensivos.
Os ficheiros PDF, formulários digitalizados, imagens, arquivos ZIP e ficheiros DICOM são comuns nos fluxos de trabalho do setor da saúde, pelo que inspiram confiança por natureza a quem os utiliza.
O risco reside precisamente nessa aparente banalidade. Os mesmos ficheiros que contêm dados confidenciais de pacientes ou opções de tratamento podem esconder metadados, scripts ou objetos incorporados que as ferramentas tradicionais não conseguem detetar.
Os cuidados de saúde modernos não conseguem funcionar sem serviços baseados na nuvem.
As plataformas de telessaúde permitem a partilha de documentos antes e depois das consultas virtuais. Os sistemas de registos de saúde eletrónicos (EHR) dependem de integrações na nuvem para a troca de dados entre prestadores de cuidados de saúde.
À medida que o volume de transferências aumenta, o mesmo acontece com a superfície de ataque. Infelizmente, reduzir a superfície de ataque não é uma opção, uma vez que isso implicaria regressar a métodos de comunicação obsoletos. Tal retrocesso é absurdo; além disso, tornaria tudo mais lento e tornaria os cuidados prestados aos doentes muito menos eficientes.
Mesmo com medidas de segurança robustas no setor da saúde, os uploads de ficheiros continuam vulneráveis
Tendo tudo isto em conta, não é que os serviços de saúde sejam ignorantes no que diz respeito à cibersegurança.
Mais por ignorância do que por malícia, estes sistemas dependem da segurança integrada dos seus fornecedores de serviços na nuvem ou de ferramentas de segurança externas que protegem determinadas áreas dos fluxos de trabalho: motores antivírus, DLP, CASB (Cloud Security Brokers) ou controlos de segurança nativos da nuvem.
No entanto, de todas as ferramentas de segurança implementadas, poucas foram concebidas para proteger totalmente o envio de ficheiros.
- Os motores antivírus detetam principalmente ameaças conhecidas, deixando frequentemente escapar malware avançado ou de dia zero oculto em estruturas de ficheiros complexas.
- O DLP (Prevenção de Perda de Dados) consegue identificar e ocultar dados confidenciais, mas não faz nada para detetar ou neutralizar possíveis ameaças nos ficheiros.
- As soluções CASB centram-se no controlo de acesso e na monitorização da utilização, mas não realizam uma inspeção aprofundada nem a limpeza dos ficheiros carregados.
- Os fornecedores Cloud protegem a infraestrutura, mas não assumem qualquer responsabilidade pela segurança do próprio conteúdo dos ficheiros
Isto deixa uma lacuna crítica na fase de carregamento.
Essa vulnerabilidade pode ser ainda mais explorada por atacantes para ocultar códigos maliciosos em ficheiros de aparência inofensiva, introduzir malware de dia zero em ficheiros arquivados ou utilizar o envio de ficheiros maliciosos para invadir o sistema.
Cloud não segurosCloud que conduzem a violações da HIPAA
A lei federal HIPAA impõe normas rigorosas a nível nacional para a proteção das PHI (Informações de Saúde Protegidas). Tanto os médicos como os hospitais e as seguradoras estão sujeitos a estas normas.
No entanto, arquivos com informações de saúde protegidas (PHI) expostas ou com malware oculto entram frequentemente nos sistemas de saúde através de uploads para a nuvem não inspecionados. As informações de saúde protegidas (PHI) podem ser expostas de várias formas:
- Campos visíveis do documento
- Metadados incorporados
- Camadas de imagem
- Objetos escondidos
O malware pode estar incorporado em faturas, formulários de consentimento ou ficheiros de imagem.
Se arquivos contendo informações de saúde protegidas (PHI) ou arquivos contendo malware entrarem nos sistemas de saúde, isso constitui uma violação direta da HIPAA.
A visibilidade, exigida pela HIPAA, também constitui um problema.
Quando os ficheiros são armazenados em plataformas SaaS, as organizações perdem frequentemente a visibilidade sobre a forma como os dados são acedidos, partilhados ou conservados.
A falta de visibilidade conduz a falhas na confidencialidade, integridade e disponibilidade; todos requisitos fundamentais da HIPAA.
Na verdade, as organizações muitas vezes não conseguem avaliar e mitigar os riscos decorrentes das novas tecnologias, incluindo o tratamento de ficheiros na nuvem, tal como salientado pelo Gabinete dos Direitos Civis do Departamento de Saúde e Serviços Humanos (HHS) dos EUA.
O que é necessário é uma abordagem mais rigorosa em matéria de segurança de carregamento de dados, que impeça a fuga de informações de saúde protegidas (PHI), mantenha a visibilidade e evite violações causadas por malware. Sem isso, as organizações enfrentam dificuldades nas auditorias, o incumprimento das obrigações de notificação de violações e a perda da confiança dos pacientes.
A cibersegurança no setor da saúde é uma questão de segurança do doente
Quando os registos de saúde são comprometidos, as consequências que daí advêm vão muito além da fraude financeira para as pessoas cujos dados foram roubados.
As possíveis consequências do roubo de dados de saúde incluem a usurpação de identidade, pedidos de indemnização fraudulentos ou o acesso ilegal a receitas médicas.
Pior ainda, essas violações expõem informações profundamente pessoais. Esta violação da privacidade pode colocar as pessoas que recebem cuidados de saúde mental, serviços de saúde reprodutiva ou apoio no tratamento da dependência química em risco de estigmatização, discriminação e danos emocionais duradouros.
Mesmo os doentes com histórias clínicas comuns podem perder a confiança no sistema, o que os leva a adiar a procura de cuidados médicos ou a ocultar informações essenciais aos profissionais de saúde.
Dito isto, colmatar quaisquer falhas de segurança nas organizações de saúde torna-se uma questão de cuidados de saúde holísticos.
Em situações mais graves, um ataque de ransomware pode bloquear o acesso a registos médicos essenciais ou desativar sistemas críticos, colocando vidas em perigo.
Foi o que aconteceu em 2017, com o ataque WannaCry aos sistemas do Serviço Nacional de Saúde (NHS). O ataque levou ao cancelamento de cirurgias e ao desvio de ambulâncias, comprovando mais uma vez como os incidentes cibernéticos podem rapidamente transformar-se em crises de saúde pública.
Como funcionamCloud Secure Cloud no setor da saúde
Uma vez que os ciberataques no setor da saúde comprometem tanto os cuidados prestados aos doentes como a reputação da organização, os principais prestadores de cuidados de saúde estão a rever a sua abordagem à cibersegurança.
O que antes era «um problema informático», resolvido através de contratos com prestadores de serviços externos, passa agora a ser uma questão de segurança do doente.
Se a proteção dos dados e dos planos de tratamento dos pacientes é a chave para prestar cuidados de saúde de excelência, então o envio de ficheiros não pode continuar a ser, por assim dizer, um foco de infecção.
Os envios Secure exigem várias camadas de verificação, e os ficheiros têm de ser submetidos a vários processos de verificação e análise antes de serem aceites nos sistemas na nuvem.
Uma lista de verificação de segurança para o envio de dados no setor da saúde inclui:
- Análise de malware com vários motores para melhorar a precisão da deteção
- CDR (Content Disarm & Reconstruction) para remover conteúdo ativo sem afetar o ficheiro
- Análise aprofundada de ficheiros antes do armazenamento ou partilha, para detetar malware evasivo ou sofisticado
- Detecção (e ocultação) de dados de saúde protegidos (PHI) e dados sensíveis nos ficheiros
- Aplicação de políticas em conformidade com os requisitos da HIPAA
Esta abordagem transforma os uploads de eventos em que se confia cegamente em processos controlados e auditáveis.
ComoMetaDefender Cloud Cloud no setor da saúde
MetaDefender Cloud funciona como uma camada de segurança dedicada para a receção de ficheiros na área da saúde.
Intercepta e analisa ficheiros antes de estes chegarem às plataformas na nuvem, aos registos de saúde eletrónicos (EHR) ou aos sistemas de colaboração.
A plataforma utiliza métodos avançados de deteção de malware, recorrendo a vários motores de análise em paralelo. Isto melhora a cobertura contra ameaças conhecidas e desconhecidas.
O CDR remove scripts, macros e objetos incorporados dos documentos médicos, preservando simultaneamente a usabilidade clínica.
A inspeção de dados confidenciais ajuda a reduzir a exposição de informações de saúde protegidas (PHI), identificando e ocultando conteúdos confidenciais antes de os ficheiros serem partilhados ou armazenados. Além disso, classifica os tipos de dados confidenciais, determinando a forma como os dados são tratados, armazenados e protegidos.
A integraçãoAPI permiteCloud MetaDefender Cloud seja integrado nos fluxos de trabalho de ficheiros do setor da saúde, incluindo portais de pacientes, plataformas de telessaúde e sistemas de admissão de terceiros.
Casos de utilização na área da saúde
MetaDefender Cloud uma vasta gama de cenários no setor da saúde.
| Caso de utilização | O que acontece | MetaDefender Cloud |
|---|---|---|
| Portais para pacientes | Os pacientes enviam formulários, documentos de identificação e resultados de exames a partir dos seus dispositivos pessoais. | Analisa os ficheiros antes do envio para detetar malware. Proactive DLP e oculta as informações de saúde protegidas (PHI) expostas. |
| Plataformas de telessaúde | Os ficheiros são partilhados durante as consultas virtuais. | Verifica estes ficheiros em segundo plano, sem interromper as visitas. |
| Documentos de laboratórios externos e de encaminhamento | Os parceiros externos enviam ficheiros PDF, digitalizações e ficheiros ZIP. | Desinfeta os ficheiros recebidos antes de estes chegarem às redes internas, reduzindo o risco de propagação de conteúdos maliciosos pelos sistemas clínicos. |
| Colaboração entre prestadores | As equipas de cuidados de saúde partilham ficheiros através de ferramentas na nuvem. | Verifica os ficheiros uma vez antes de os partilhar, para reduzir a propagação de malware. |
Cloud MetaDefender Cloud rapidamente em ambientes na nuvem e adapta-se automaticamente ao volume de pacientes. Funciona em segundo plano e não requer qualquer intervenção manual por parte dos profissionais de saúde.
A solução suporta arquiteturas de cuidados de saúde baseadas no modelo «zero-trust», validando os ficheiros antes de estes entrarem nos sistemas de confiança. Os fluxos de trabalho clínicos permanecem inalterados, ao mesmo tempo que a postura de segurança é reforçada.
Perguntas frequentes: Segurança Cloud no setor da saúde
Que riscos acarretam os ficheiros carregados pelos doentes?
Os ficheiros carregados pelos doentes podem conter malware oculto, informações de saúde protegidas (PHI) expostas ou conteúdo ativo perigoso que contorna os controlos tradicionais.
MetaDefender Cloud podeCloud com portais de pacientes?
Sim. MetaDefender Cloud através de API integrações nativas (por exemplo, Salesforce) para inspecionar e sanitizar ficheiros antes de estes chegarem aos sistemas de back-end.
De que forma é que isto ajuda nas auditorias ao setor da saúde?
Os resultados e relatórios das inspeções constituem prova de medidas de proteção proativas, em conformidade com as exigências da HIPAA.
De que forma o envio de ficheiros para a nuvem pode levar a violações da HIPAA?
Os uploads não verificados podem expor informações de saúde protegidas (PHI) ou comprometer a integridade do sistema, violando os requisitos de confidencialidade e integridade da HIPAA.
Como podem as organizações do setor da saúde proteger o envio de ficheiros?
Através da verificação de ficheiros antes do envio, utilizando o Metascan Multiscanning, aplicando a tecnologia Deep CDR™ e aplicando políticas em conformidade com a HIPAA.
O que é o CDR e por que é importante para os cuidados de saúde?
O CDR remove o conteúdo ativo dos ficheiros, reduzindo o risco de ataques baseados na execução e de ameaças de dia zero, ao mesmo tempo que preserva as informações médicas.
