As violações de segurança na infraestrutura causam danos nas organizações de saúde. Uma vulnerabilidade na rede de segurança cibernética de um hospital pode expor dados confidenciais de pacientes para aqueles com intenção maliciosa de usar e tirar vantagem deles.

Os registros eletrônicos de saúde podem ser criptografados e inutilizados por cibercriminosos que geralmente exigem um resgate em troca de sua chave de criptografia. E dados confidenciais podem ser vendidos em todo o mundo

Para que uma empresa de assistência médica permaneça em conformidade com as diretrizes e requisitos estabelecidos por legislações como Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA). Segundo essa lei, as organizações de saúde devem proteger as informações pessoais de seus pacientes e clientes. A HIPAA é uma lei federal aprovada nos Estados Unidos que protege informações confidenciais de saúde de serem divulgadas sem o consentimento ou conhecimento do paciente

Devido às ameaças crescentes, as organizações de saúde em todos os lugares estão intensificando seu investimento em segurança cibernética, aumentando seus orçamentos de TI e contratando profissionais com pelo menos alguma formação em segurança cibernética. Esses especialistas em segurança são responsáveis por manter grandes quantidades de informações do paciente seguras e acessíveis apenas a funcionários e afiliados autorizados

Continue a leitura do artigo e conheça como as tecnologias e processos de cibersegurança atuam na área de saúde.

O que é conformidade com a HIPAA?

O Health Insurance Portability and Accountability Act (HIPAA) define o padrão para proteção de dados confidenciais de pacientes. As empresas que lidam com informações de saúde protegidas devem ter medidas de segurança física, de rede e de processos implementadas e segui-las para garantir a conformidade com a HIPAA. 

As entidades que forneçam tratamento, pagamento e operações na área da saúde, além dos  parceiros de negócios que tenham acesso às informações do paciente e forneçam suporte no tratamento, pagamento ou operações, devem atender à conformidade com a HIPAA. Outras entidades, como subcontratados e quaisquer outros associados de negócios relacionados, também devem estar em conformidade com a legislação.

Qual é a necessidade de conformidade com a HIPAA?

O HHS (O Departamento de Saúde e Serviços Humanos dos Estados Unidos) aponta que, à medida que os prestadores de serviços de saúde e outras entidades que lidam com qualquer informação de saúde que possa ser vinculada a um indivíduo migrem para operações informatizadas. Essas operações abrangem inclui sistemas computadorizados de entrada de pedidos médicos (CPOE), registros eletrônicos de saúde (EHR) e sistemas de radiologia, farmácia e laboratório. Assim, a conformidade com a HIPAA é mais importante do que nunca.

Da mesma forma, os planos de saúde oferecem acesso a sinistros, gestão de atendimento e aplicativos de autoatendimento. Embora todos esses métodos eletrônicos forneçam maior eficiência e mobilidade, eles também aumentam drasticamente os riscos de segurança enfrentados pelos dados de saúde.

A cibersegurança está em vigor para proteger a privacidade das informações de saúde dos indivíduos, ao mesmo tempo em que permite que as entidades cobertas adotem novas tecnologias para melhorar a qualidade e a eficiência do atendimento ao paciente. 

É preciso implementar políticas, procedimentos e tecnologias adequados ao tamanho da entidade, estrutura organizacional e riscos para ePHI de pacientes e consumidores.

Quais processos e procedimentos são necessários para a conformidade com HIPAA?

O HHS exige proteções físicas e técnicas para organizações que hospedam dados confidenciais de pacientes. As proteções físicas incluem:

• Acesso e controle limitado das instalações com acesso autorizado no local.
• Políticas de uso e acesso a estações de trabalho e mídia eletrônica.
• Restrições para transferir, remover, descartar e reutilizar mídia eletrônica e ePHI.

Na mesma linha, as salvaguardas técnicas da HIPAA exigem controle de acesso permitindo que apenas pessoal autorizado acesse ePHI:

• Usando identidades de usuário exclusivo, procedimentos de acesso de emergência, logoff automático e criptografia e descriptografia.
• Relatórios de auditoria ou logs de rastreamento que registram a atividade em hardware e software.

Outras políticas técnicas para conformidade com HIPAA precisam abranger controles de integridade ou medidas implementadas para confirmar que o ePHI não seja alterado ou destruído. 

A recuperação de desastres de TI e o backup externo são componentes-chave que garantem que erros e falhas de mídia eletrônica sejam corrigidos rapidamente para que as informações de saúde do paciente sejam recuperadas com precisão e intactas. Uma proteção técnica final é a rede ou segurança de transmissão que garante que os hosts compatíveis com HIPAA protejam contra acesso não autorizado ao ePHI. 

Essa proteção aborda todos os métodos de transmissão de dados, incluindo e-mail, internet ou redes privadas, incluindo infraestrutura em nuvem.

Para ajudar a garantir a conformidade com a HIPAA, o governo dos EUA aprovou uma lei complementar, a Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH), que aumenta as penalidades para organizações de saúde que violam as regras de privacidade e segurança da HIPAA. 

A Lei HITECH foi implementada devido ao desenvolvimento da tecnologia de saúde e ao aumento do uso, armazenamento e transmissão de informações eletrônicas de saúde.

Por que a HIPAA precisa de segurança cibernética?

A HIPAA ajuda a proteger informações confidenciais de saúde do paciente, incluindo detalhes do tratamento, resultados de testes, dados de identificação pessoal e informações demográficas a serem divulgadas sem o consentimento do paciente. 

A fim de proteger melhor os registros pessoais de saúde de um paciente, a Regra de Segurança da HIPAA especifica que as entidades cobertas devem manter proteção para informações de saúde protegidas por meio eletrônico (ePHI) e garantir que a proteção possa defender a organização de qualquer tipo de violação física, administrativa ou técnica.

Isso pode ser feito por meio de uma estratégia de segurança cibernética eficaz, mas para evitar complicações ou violações de dados confidenciais, é importante considerar as seguintes práticas recomendadas.

Proteja os dados do paciente em trânsito ou em repouso

Todos os dados que os provedores de saúde armazenam são extremamente confidenciais. Embora estejam disponíveis apenas para pessoal autorizado, esses dados são altamente valiosos para um agente malicioso e podem ser facilmente acessados se não forem gerenciados adequadamente. Para proteger melhor essas informações, os sistemas de saúde devem proteger os dados dos pacientes durante o trânsito e durante o armazenamento.

Tanto os dados em repouso quanto os dados em trânsito são valiosos e vulneráveis a invasores. Ao fornecer medidas de segurança de qualidade para ambas as fontes de dados, podemos garantir que os dados sejam protegidos em qualquer estado. 

Podemos proteger melhor os dados em repouso criptografando arquivos confidenciais antes de armazená-los em um dispositivo ou até mesmo criptografar o próprio dispositivo de armazenamento. O mesmo vale para dados em trânsito. As empresas podem criptografar dados confidenciais antes de transportá-los e usar conexões codificadas (através do HTTPS, SSL, TLS, FTPS etc.) 

Por exemplo, quando um e-mail confidencial é enviado com resultados de testes de um laboratório, as empresas usam um programa de criptografia para ocultar seu conteúdo. A criptografia é uma ferramenta proeminente usada para proteger dados e deve ser implementada em todas as práticas para proteger melhor os dados dos pacientes e manter a conformidade com a HIPAA.

Garanta a segurança do atendimento remoto

Com milhões de pessoas ainda se conectando a seus provedores de assistência médica por meio de acesso remoto, as equipes internas de TI precisam garantir que a segurança remota e os detalhes do paciente sejam protegidos no processo. Sua tecnologia remota não apenas deve atender aos padrões de segurança e privacidade da HIPAA, mas também deve atender às diversas necessidades de seus pacientes que buscam cuidados prolongados. 

É importante que os provedores definam diretrizes claras para o uso remoto de ferramentas de assistência médica e entendam como os requisitos da HIPAA afetam os ambientes de trabalho remotos.

Com as organizações de saúde usando cada vez mais a tecnologia para operações diárias, como videoconferências, plataformas de compartilhamento de dados e sistemas de gerenciamento de projetos, é especialmente importante ter cuidado com quais ferramentas podem lidar com informações de saúde protegidas. 

As empresas também podem oferecer suporte à segurança de atendimento remoto fornecendo à equipe dispositivos pré-configurados que atendem aos requisitos de segurança e usam redes privadas virtuais (VPNs) criptografadas para proteger a atividade online. 

Os provedores precisarão acessar sistemas eletrônicos de registro de saúde enquanto trabalham remotamente, o que representa uma ameaça potencial para as empresas, pois os funcionários acessam informações por meio de conexões de internet domésticas não seguras. Ao implementar VPNs, os provedores podem oferecer uma linha de comunicação segura e criptografada entre a rede do escritório e a rede doméstica.

Proteja os dispositivos IoMT contra ataques cibernéticos

Os dispositivos da Internet of Medical Things (IoMT) representam um desafio significativo para muitas organizações. A razão é que esses dispositivos são mais difíceis de monitorar e proteger do que outras ferramentas sem fio. Embora a saúde continue a crescer como um dos setores mais visados pelos cibercriminosos, as equipes de segurança devem encontrar uma maneira de protegê-los de maneira eficiente e eficaz.

Algumas maneiras rápidas de proteger dispositivos IoMT podem ser simplesmente alterar senhas ou adicionar senhas à sua rede. As empresas também podem procurar solucionar vulnerabilidades na rede, empregar controles de detecção para monitorar melhor o tráfego de rede ou introduzir segmentação de rede para impedir que agentes não autorizados acessem dados em qualquer lugar do sistema. Estes, entre outros, podem ajudar os provedores de saúde a ficarem à frente de possíveis ataques e ajudar a proteger a rede.

Uma abordagem holística para a segurança cibernética da saúde

As regras da HIPAA não são suficientes para resistir ao cibercrime. Olhando exatamente para o que esta lei exige, ela não se alinha necessariamente com as melhores práticas de segurança cibernética. 

Além disso, as organizações de saúde não devem ver a segurança cibernética e a conformidade com HIPAA como componentes separados, mas sim como dois conceitos que funcionam paralelamente um ao outro. Na verdade, um programa robusto de segurança cibernética oferece suporte à conformidade.

Para garantir a segurança cibernética na área da saúde e evitar ataques sofisticados, as organizações de saúde podem implementar as seguintes práticas:

• Revisar suas análises de risco de segurança atuais e identificar lacunas e áreas de melhoria. Verificar se a análise de risco está documentada para garantir a conformidade regulatória.
• Avaliar os planos de gerenciamento de risco para garantir que as medidas para reduzir as vulnerabilidades sejam identificadas. Adotar as melhores práticas utilizadas na área da saúde. É obrigatório usar identidades exclusivas, senhas fortes, permissões baseadas em função, tempo limite automático e bloqueio de tela.
• Comparar a HIPAA e outras políticas e procedimentos cibernéticos com as obrigações legais e regulatórias e certificar-se de que sejam atualizados com base nos resultados de sua análise de risco mais recente.
• Esperar o inesperado. Preparar planos de resposta a incidentes de segurança que atendam aos requisitos da HIPAA e outras leis aplicáveis para que sua empresa esteja pronta para responder a uma possível violação de dados. Além disso, deixar algum espaço em sua estratégia para o inesperado. Isso pode incluir tudo, desde ataques cibernéticos a desastres naturais, ameaçando seus registros de saúde e outros ativos vitais.
• Criar backups e desenvolver um plano de recuperação. Embora a criação de backups pareça uma coisa de senso comum, essa prática pode ser perdida em um ambiente de prática pequena. Certificar-se de que a mídia usada para armazenar seus dados de backup seja segura e não possa ser eliminada por um ataque que derrubaria seus sistemas de escritório.
• Executar investimentos adicionais em pessoas, processos, tecnologia e gestão. A defesa de ativos digitais não pode mais ser delegada apenas à equipe de TI. Em vez disso, o planejamento de segurança precisa ser combinado com novos produtos e serviços, segurança, planos de desenvolvimento e iniciativas de negócios.

Você não pode se dar ao luxo de negligenciar a segurança cibernética ou a conformidade. É por isso que é fundamental combiná-los em uma rede segura que proteja seus pacientes e sua reputação.

Como a Gestão de Acesso Privilegiado é mapeada para conformidade com a HIPAA

As soluções PAM oferecem aos administradores a capacidade de controlar o acesso a sistemas que gerenciam informações confidenciais de saúde protegidas (PHI) ou informações de saúde protegidas eletrônicas (EPHI). 

As melhores soluções PAM garantem que apenas conexões autenticadas, autorizadas e aprovadas sejam estabelecidas. Eles fornecem uma trilha de auditoria completa mostrando “quem, o quê, quando, onde e por quê” do acesso aos dados do paciente.

A seguir conheça alguns padrões HIPAA existentes e entenda como o PAM pode abordar os requisitos de segurança e conformidade pretendidos.

• Implemente políticas e procedimentos para prevenir, detectar, conter e corrigir violações de segurança: Uma solução PAM fornece maneiras de definir o ambiente de controle de TI. Se configurada corretamente, a solução PAM oferece medidas de segurança para garantir a devida confidencialidade, integridade e autorização/autenticação de acesso para ePHI. O controle de acesso pode ser baseado em grupos de usuários e dispositivos, integrado com hora, local e fluxos de trabalho de forma granular.
• Identifique o oficial de segurança responsável pelo desenvolvimento e implementação das políticas e procedimentos exigidos por esta subparte para a entidade: O PAM pode garantir que os responsáveis pela segurança sejam capazes de definir e implementar acesso privilegiado ao sistema. Como controle adicional, esse indivíduo não deve ser capaz de acessar os próprios sistemas privilegiados subjacentes, mas apenas ter direitos de administrador na solução PAM. Esse tipo de segregação de funções, conforme imposto por uma solução PAM, é a essência do cumprimento efetivo.
• Implemente políticas e procedimentos para garantir que todos os membros de sua força de trabalho tenham acesso adequado a informações de saúde protegidas por meio eletrônico e para impedir que os membros da força de trabalho que não têm acesso tenham acesso a informações de saúde protegidas por meio eletrônico: Uma solução PAM é capaz de criar perfis de usuários administrativos e perfis de grupos com privilégios de acesso ePHI, como Exibir, Modificar, Executar e Nenhum.
• Implemente políticas e procedimentos técnicos para sistemas de informação eletrônica que mantém informações de saúde protegidas por meio eletrônico para permitir o acesso apenas às pessoas ou programas de software que receberam direitos de acesso: Este padrão é sobre PAM, a autenticação central e autorização de todos os usuários. Esse recurso reduz o risco de acesso de ex-funcionários e terceiros não autorizados, por exemplo.

Implementar políticas e procedimentos para limitar o acesso físico aos seus sistemas eletrônicos de informação e às instalações em que estão hospedados, garantindo ao mesmo tempo que o acesso devidamente autorizado seja permitido: As melhores soluções de PAM gerenciam as senhas dos dispositivos de destino de forma que os usuários e terceiros nunca tenham conhecimento da senha e, portanto, não possam acessar os dispositivos localmente.

Como em qualquer regime de conformidade, o desafio final é estabelecer controles e manter o custo baixo. Os ambientes de TI encontrados na maioria das organizações de saúde são compostos por dispositivos, sistemas e aplicativos heterogêneos. 

Monitorar, analisar e relatar sessões conectadas pode ter um custo proibitivo. Os recursos para conformidade são finitos. No mínimo, esses recursos geralmente são necessários para projetos mais estratégicos. O senhasegura oferece uma completa para os aspectos de gestão de acesso privilegiado da conformidade com a HIPAA.

Agende uma demonstração com nossos especialistas e descubra por que o senhasegura pode atender às suas necessidades.