Nos últimos anos, os ambientes hospitalares têm enfrentado grandes desafios ao nível operacional, nomeadamente a modernização dos seus ambientes, dos equipamentos e a digitalização dos processos trouxeram vários desafios ao nível da cibersegurança. A interconectividade de diferentes equipamentos de monitoramento, radiologia, ultrassom, fornecimento de medicamentos e o aumento do uso de sensores especializados chamados “Internet of Medical Things” (IoMT) para monitoramento remoto de pacientes tornaram-se ferramentas valiosas para tornar o atendimento muito mais eficiente; no entanto, isso também representa uma expansão da superfície da rede e, portanto, da superfície de ataque também.
Os ambientes hospitalares são alvos desejáveis para os cibercriminosos, pois neles coexistem intensamente as informações pessoais e biológicas de muitos usuários, e eles estão constantemente atentos para encontrar vulnerabilidades para atacar. Diante desse cenário, hoje é mais importante do que nunca pensar em como protegê-los para garantir a sua disponibilidade e atender situações críticas que possam representar um risco e impactar diretamente a vida humana.
Existem alguns aspectos que podem ajudar tanto instituições de saúde públicas quanto privadas a conseguirem garantir a proteção dos ambientes e dos dados:
1. Conscientizar os diferentes perfis de colaboradores: a cibersegurança não é mais um trabalho que diz respeito apenas às equipes de tecnologia. Todos os colaboradores que têm acesso à rede ou operam dispositivos IoMT, independentemente da área a que pertençam, devem ser treinados sobre as últimas tendências em ameaças cibernéticas e técnicas de ciberataque para evitar serem vítimas de qualquer um deles.
2. Segmentação de ambientes de tecnologia operacional (OT): descobrimos que este é um dos principais desafios em termos de proteção de infraestrutura crítica e vem de mãos dadas com a convergência de redes de TI e OT. Enquanto essas estruturas foram quase universalmente integradas, o isolamento ou “air gap” que anteriormente mantinha os sistemas OT quase invulneráveis a ataques cibernéticos desapareceu. Consequentemente, as superfícies de ataque das organizações se expandiram enormemente. De acordo com o relatório sobre o Estado da Tecnologia Operacional de 2023 da Fortinet, 75% das organizações sofreram uma violação nos últimos meses, isso mostra porque proteger e segmentar OT se tornou vital.
3. Garantir a identificação de ativos críticos na rede: Diante da expansão da superfície de rede dos ambientes hospitalares, é fundamental que as empresas realizem uma avaliação dos seus ambientes de segurança que inclua um inventário de cada um de seus ativos críticos, incluindo dispositivos, dados, pontos de acesso, ambiente de nuvem etc. Dessa forma, é possível avaliar o quão protegido cada um está, quais ainda precisam de proteção ou suporte, para que, em caso de violação de segurança, os ativos mais importantes não sejam comprometidos.
4. Aplique a estratégia de confiança zero (Zero Trust Network Access): À medida que o cenário de ameaças continua a se expandir e os cibercriminosos encontram novas maneiras de invasão, as estratégias baseadas no modelo zero trust na rede desempenham um papel importante em qualquer abordagem moderna de segurança cibernética, pois fornecem suporte abrangente para garantir o acesso de qualquer usuário, independentemente de onde ele ou as aplicações estejam. Pode ser remoto, no escritório e até mesmo na nuvem, validando constantemente a sua identidade. Essa abordagem cria uma postura de segurança consistente e concede acesso apenas a usuários habilitados para acessar cada camada ou aplicação de rede.
Aplicando essas orientações, os ambientes hospitalares podem começar a criar uma estratégia de cibersegurança resiliente, que permita operar com tranquilidade. Inclusive, preciso destacar que é de extrema importância que esse processo seja feito constantemente para garantir que, caso novas tecnologias ou dispositivos sejam incorporados, eles sejam incluídos nessa abordagem integrada de segurança digital.
Como último conselho, vamos buscar simplificar a gestão de riscos, vamos adotar tecnologias que nos permitam orquestrar, medir e fazer melhorias contínuas. A segurança não é um destino fixo, é um caminho e, para seguir em frente, devemos permanecer constantes.
Por