Especialista Q & A: Como o setor de saúde pode se preparar para o aumento das ameaças cibernéticas?

Este Q & A foi publicado originalmente em Saúde global. Entrevista conduzida por Ella Thompson.

Ransomware attacks in healthcare increased by 328% in the first half of 2022, according to the HIPAA Journal. And the average cost of a breach in healthcare is $10.1m compared to an average of $4.35m in other industries, according to the IBM Cost of a Breach Report 2022.

O setor de saúde é um dos principais alvos dos ataques cibernéticos. Então, como as organizações podem se preparar?

Conversamos com Trevor Dearing, diretor de marketing de soluções industriais da Illumio, para discutir como as organizações de saúde podem ser proativas contra ameaças cibernéticas.

Join Illumio at HIMSS 2023 in Chicago April 17-21 at booth 2678. Register today.

Por que o setor de saúde está no topo das listas de alvos dos cibercriminosos?

A saúde é o principal alvo dos ataques cibernéticos porque um ataque pode colocar em risco o bem-estar — e até mesmo a vida — dos pacientes.

Cybercriminals will always target those that offer the greatest chance of reward. They know that healthcare providers cannot afford any downtime with patient safety on the line and are more likely to pay out and do so quickly. That’s why the sector has become a leading victim of ransomware attacks – particularly in the past few years.

Mas não são apenas os ataques de ransomware que as organizações precisam observar. Os profissionais de saúde mantêm grandes volumes de dados pessoais sobre pacientes, o que é uma mercadoria nos mercados da dark web. Esses dados alimentam mais ataques direcionados, chantagens e fraudes.

O setor também se tornou um alvo mais atraente graças ao aumento de dispositivos médicos conectados que expandiram a superfície de ataque. A instabilidade econômica e as pressões de gastos públicos também significam que muitos profissionais de saúde não têm orçamento para igualar as estratégias cibernéticas mais robustas de outros setores.

Exatamente como os ataques de ransomware se desenrolam?

A maioria dos ataques de ransomware segue um padrão semelhante. Os agentes de ransomware obtêm acesso inicial a uma organização e se escondem nas redes (por até meses seguidos) antes de atacar. Eles se moverão furtivamente pela rede da organização, obtendo privilégios de acesso de alto nível para acessar arquivos valiosos e sistemas essenciais antes de implantar o ransomware, bloqueando efetivamente arquivos e aplicativos. A menos que as organizações consigam impedir a propagação, rapidamente todas as atividades serão interrompidas.

Para os profissionais de saúde, o pior cenário pode ser a desconexão de dispositivos médicos, como sensores para monitorar os sinais vitais do paciente e administrar automaticamente o tratamento. Ou poderia bloquear registros e sistemas essenciais de pacientes para gerenciar consultas, paralisando efetivamente a organização.

Também estamos vendo mais ataques usando uma tática de “dupla extorsão” que combina criptografia de dados com exfiltração. O atacante fará cópias dos dados e os criptografará e, em seguida, ameaçará vazar ou vender informações confidenciais, mesmo que a vítima pague o resgate.

Como as organizações de saúde podem se proteger contra ameaças cibernéticas?

As organizações precisam parar de investir tantos recursos na tentativa de evitar que os ataques aconteçam e, em vez disso, investir no gerenciamento do impacto. Isso significa aceitar que os ataques acontecerão e mitigar o impacto por meio da contenção de violações.

Um dos melhores modelos de segurança para melhorar a resiliência cibernética é o Zero Trust. Essa estratégia é baseada no mantra “nunca confie, sempre verifique”, o que significa que nenhum usuário é automaticamente confiável para acessar arquivos e aplicativos simplesmente porque tem as credenciais adequadas.

Typically, Zero Trust consists of three pillars: Zero Trust Network Access (ZTNA), Zero Trust Data Security (ZTDS), and Zero Trust Segmentation (ZTS). The latter of which is critical for breach containment, dividing the network into multiple sealed sections, with Zero Trust principles governing movement between zones.

Research from Enterprise Strategy Group (ESG) found that organizations that have adopted Zero Trust strategies avert an average of five cyber disasters annually and save an average of $20 million in application downtime. And an attack emulation conducted by Bishop Fox found that Illumio ZTS can render attackers ineffective in less than 10 minutes, four times faster than endpoint detection and response (EDR) alone.

Por que o setor de saúde deveria mudar sua mentalidade para trabalhar no isolamento dos ataques, não na prevenção deles?

Nos últimos anos, vimos uma grande mudança nos motivos do ataque, do foco no roubo de dados para o impacto na disponibilidade. Isso significa que a segurança cibernética não é mais apenas um problema de segurança; é um problema operacional com impactos que incluem tempo de inatividade operacional prolongado, danos financeiros e de reputação e, para a saúde, possíveis perdas de vidas.

Agora, os ataques têm como objetivo causar o máximo de interrupção, com os agentes de ameaças contando com a capacidade de acessar sistemas e dados críticos antes que as defesas os detectem. Os ataques também estão aumentando em número e os cibercriminosos estão usando táticas cada vez mais sofisticadas para atingir seus objetivos. Isso significa que a prevenção por si só não é mais uma estratégia viável.

No matter how well-secured the network may be, compromise is inevitable. This is what we call the "assume breach" mentality. This might seem like a very defeatist attitude for a security specialist to take; however, it is this mentality that will stop a breach from becoming a serious disaster. If organizations accept that an attacker will breach their defences, they can put in place measures to contain the threat and minimize the impact.

Conte-nos sobre as medidas que qualquer organização de saúde, independentemente do tamanho e do orçamento, pode adotar para fortalecer sua postura de segurança imediatamente.

O primeiro passo que as organizações devem tomar é mapear as comunicações de todos os sistemas. Depois que um invasor se infiltra em uma organização, ele tenta migrar para os ativos de maior valor. Podem ser dados de pacientes ou dispositivos médicos. As organizações precisam identificar quais sistemas podem se comunicar e como informar quais restrições devem ser implementadas.

Em seguida, as organizações devem usar esse conhecimento para identificar e quantificar os riscos enfrentados por qualquer ativo ou aplicativo. Isso pode ser baseado na vulnerabilidade de cada sistema e na exposição que ele enfrenta ao se conectar a outros sistemas e dispositivos.

A etapa final é aplicar controles com base no menor privilégio para controlar e restringir o acesso entre recursos. A interrupção da comunicação não autorizada permite que um ataque seja contido em um único local e impede que os invasores alcancem ativos e serviços essenciais. Essa abordagem é igualmente aplicável a dispositivos médicos, data centers, nuvem e terminais.

Seguir essas etapas tornará a infraestrutura médica tolerante a violações e garantirá que as organizações possam manter os serviços mesmo sob ataque, sem a necessidade de encerrar os serviços ou transferir pacientes.

Register today for HIMSS 2023 and meet Illumio at our booth 2678.

Read more about how Illumio ZTS can help secure your healthcare organization.

Contact us today for a free demo and consultation.