O setor da saúde é um dos principais alvos de ameaças cibernéticas devido ao vasto repositório de dados sensíveis, incluindo registros pessoais e médicos, informações financeiras e dados de seguros. Essa vulnerabilidade é reforçada por um atraso histórico em medidas de segurança, caracterizado pela adoção lenta de defesas robustas, dependência de sistemas legados e investimento insuficiente. O amplo uso de sistemas interconectados, como registros de saúde eletrônicos (EHRs) e dispositivos médicos, aumentam as lacunas de segurança a serem exploradas pelos cibercriminosos e podem comprometer redes inteiras. E devido ao status de infraestrutura crítica, o setor também atrai ataques de ransomware que podem interromper seus serviços, representando um risco substancial à saúde pública.
A cibersegurança na saúde traz uma série de complicadores. Entre as várias categorias de usuários do setor, como médicos, enfermeiros, técnicos de laboratório, pessoal administrativo, fornecedores e outros, cada um requer acesso a diferentes consoles e aplicativos. Um ambiente típico também envolve uma “cadeia de suprimentos de dados” alojada dentro do sistema de saúde ou, na maioria dos casos, com fornecedores terceiros dos quais derivam, não surpreendentemente, a maioria dos vazamentos de dados.
Além disso, hospitais e entidades de saúde precisam proteger infraestrutura diferentes: TI interna que fornece serviços básicos e acesso de provedores com controles de acesso frouxos; dispositivos alugados ou de propriedade do fabricante (que fornecem diagnósticos e capacidades de entrega essenciais); e elementos gerenciados internamente que estão desconectados da infraestrutura de TI. Essa complexidade torna o desafio de gerenciar a infraestrutura, incluindo patches e atualizações, e prevenir ciberataques quase impossível.
Some-se a isso cerca de 2 milhões de tipos diferentes de dispositivos médicos no mercado mundial, categorizados em mais de 7 mil grupos genéricos de dispositivos. Cada dispositivo da Internet das Coisas Médicas (IoTM) tem seu próprio endereço IP e pode ser um ponto de entrada vulnerável para cibercriminosos caso os controles de segurança adequados não estejam em vigor. Em muitas situações, o fabricante do dispositivo requer acesso para solucionar problemas, instalar atualizações, fazer gerenciamento remoto, etc., aumentando o risco do fornecedor terceirizado.
A Estratégia Nacional de Segurança Cibernética adotada pelo governo brasileiro (decreto 10.222/2020), por exemplo, não inclui a saúde no rol de infraestrutura crítica, ainda que a considere no âmbito análogo, uma vez que suas instituições representantes prestam serviços essenciais à sociedade, sendo válidas e adequadas as mesmas recomendações sobre cibersegurança dedicadas aos setores contemplados pelo plano. A Lei Geral de Proteção de Dados (LGPD) também cumpre um papel importante no setor ao estabelecer regras sobre como as informações são coletadas, acessadas, trocadas e armazenadas. Porém, tais regulamentações também enfrentam limitações.
Baseado em uma política de privilégio mínimo, o Acesso de Rede Zero Trust (ZTNA) tem se destacado como uma das principais alternativas para resolver a complexidade inerente do acesso seguro, ocultar redes e reduzir as vastas superfícies de ataque nos sistemas de saúde.
O ZTNA oferece a capacidade de personalizar permissões de acesso com base na função individual do usuário e impor o acesso mínimo necessário a sistemas e aplicativos para realizar o trabalho de cada profissional. O processo de verificação de confiança é contínuo, o que significa que as concessões de acesso mínimo são automaticamente modificadas em tempo quase real em caso de mudança de contexto ou de risco.
Prática comum, a troca de informações críticas, como resultados de exames, envolve transferência de arquivos que exige alto desempenho, especialmente em situações médicas sensíveis ao tempo. Profissionais de saúde também precisam acessar dados e aplicativos de diferentes locais, a fim de dar continuidade ao atendimento sem comprometer a segurança, e equilibrar a disponibilidade física de informações sob demanda via console, telefone ou tablet, enquanto se garante protocolos de acesso seguros, torna-se uma tarefa bastante difícil. Com o ZTNA, as equipes de segurança de rede podem monitorar o acesso aos dados e verificar se os mesmos estão sendo gravados ou apenas lidos, de modo a simplificar o acesso às informações críticas, facilitando a transferência rápida e confidencial de dados entre laboratórios, médicos e especialistas.
Uma solução ZTNA também pode se estender aos dispositivos IoTM, que são administrados de forma eficaz por políticas e controles que restringem a superfície de ataque por dispositivo individual. Isso ajuda a minimizar o risco de movimentação lateral, ocultando a infraestrutura e incorporando restrições de isolamento e acesso sem impactar negativamente o desempenho de cada dispositivo.
Proteger a ampla gama de identidades, recursos e aplicativos dispersos e dispositivos IoTM, e ao mesmo tempo evitar a não conformidade com regulamentações de saúde, requer uma abordagem inovadora para a segurança de acesso, e o ZTNA se posiciona como um importante aliado no fortalecimento da postura geral de cibersegurança, garantindo um futuro resiliente para o setor.
, country manager da Appgate no Brasil.