O que torna os dados médicos tão valiosos para os hackers?


As organizações de saúde não são, certamente imune a ataques cibernéticos. Dados sensíveis e informações pessoais de saúde (PHI) contidos em registros de pacientes são muitas vezes o alvo final e podem ser extremamente valiosos para os hackers. Neste post o convidado, Nick Owen, presidente de um provedor de autenticação de dois fatores, explica o que fazer com esses dados tão valiosos e como a autenticação de dois fatores podem ajudar a protegê-los.

Ataques a organizações de saúde aumentaram 72% entre 2013 e 2014, e essa porcentagem deve crescer ainda mais quando olhamos para trás em 2015, segundo a empresa de análise de indústria do Aberdeen Group .

O que torna os dados PHI tão valioso para os hackers?

Porque os registros dos pacientes contêm inúmeras peças de informações pessoais, incluindo nomes, endereços, datas de nascimento, Segurança Social, números de licença e plano de saúde do motorista, que podem ser vendidos por US $343 cada, de acordo com o Instituto Ponemon. O Aberdeen Group relata que tais registros pode ir para US $ 500 por paciente e empresa de segurança RedJack encontrado um conjunto de números Medicare ID para 10 beneficiários que estão sendo vendidos on-line por 22 bitcoins, ou cerca de US $ 4.700. Compare isso com um número de cartão de crédito roubado que vai para apenas alguns dólares ou mesmo alguns centavos.

Muitos desses dados roubados estão aparecendo na deepweb, onde os criminosos cibernéticos realizam negócios, e uma vez lá fora, não pode ser desfeito. Um cartão de crédito pode ser cancelada e cobranças fraudulentas revertida, enquanto PHI é não recuperável. Os hackers também estão bem cientes de que ainda é bastante fácil de se roubar uma vez a maioria das organizações de saúde estão ficando para trás as indústrias de varejo e serviços financeiro, que são os primeiros alvo na implementação de uma proteção adequada. O grande número de violações de dados de 2015 mostra que os cibercriminosos estão ficando em torno de defesas de perímetro de segurança em todos os tipos de organizações de saúde.

Vejamos algumas estatísticas reveladoras adicionais:

Nos primeiros 10 meses de 2015, PHI não seguro realizada por 200 empresas no setor de saúde foi violado, variando de 500 a 788 milhões de registros roubados por organização. (Fonte: Departamento de Saúde e Serviços Humanos Escritório de Direitos Civis Breach Portal )
Ao longo dos últimos dois anos, mais de 90% dos prestadores de saúde, tem experimentado uma violação de segurança e 40% tinham mais de cinco violações de dados durante esse tempo. O custo médio de uma violação de segurança nas organizações de saúde ultrapassa os US $ 2,1 milhões.

(Fonte: Ponemon Institute )

A maior violação de uma empresa de saúde até à data, as informações pessoais de 788 milhões de norte-americanos foi roubado do seguro de saúde Anthem empresa em janeiro de 2015, quando as credenciais de rede de pelo menos cinco funcionários com alto nível de acesso fosse comprometida. ( LA Times )

Com o número de violações na indústria de cuidados de saúde só acelerando e que afetam as empresas, variando em tamanho de um único praticante consultórios dentários, médicos para grandes hospitais e companhias de seguros, o governo federal está ficando muito preocupado sobre a segurança dos dados. Os últimos regulamentos HIPAA são decididamente mais rigoroso com os requisitos específicos de salvaguarda de segurança para proteger a PHI, incluindo a exigência de verificação de identidade para acessar os registros dos pacientes. O Escritório de Direitos Civis (OCR) vai começar a fazer auditorias de conformidade HIPAA em poucos meses, semelhante ao Payment Card Industry (PCI) auditorias anuais para os comerciantes.

Risco adicional dos profissionais da saúde móvel

Com a esmagadora prevalência de smartphones e tablets em nossa vida diária, não é de admirar que cerca de 85% da força de trabalho de saúde dos EUA é com o uso de dispositivos móveis pessoais para acessar os registros dos pacientes, de acordo com um estudo publicado no Journal of Hospital Biblioteconomia . A computação móvel e seu próprio dispositivo (BYOD), serviços de terceiros, a Internet, mídias sociais, aplicativos baseados em nuvem e gateways virtuais para os dados do paciente criar riscos de segurança e os desafios de conformidade HIPAA que não podem ser resolvidos através de soluções tradicionais. Fácil de serem roubados, os inseguros smartphones, tablets e laptops fornecem um caminho direto para os dados do paciente.

Em um estudo recente do Instituto Ponemon, 96% dos entrevistados relataram que sofrem um incidente de segurança de dados, envolvendo um dispositivo perdido ou roubado. Além de danificar a reputação de uma organização, uma violação é um preço alto. Por exemplo, em maio 2015 da Universidade de Columbia e Nova York-Presbyterian Hospital foram multados, em um combinado de $4.8 milhões por violações HIPAA quando um médico desconectado, do seu computador pessoal da rede hospitalar, deixa as informações do paciente vulnerável à descoberta através de motores de busca da Internet.

Autenticação de dois fatores

A proliferação da computação móvel, combinada com as organizações de saúde as novas diretrizes da HIPAA que requerem profissionais de saúde para verificar suas identidades antes de acessar os dados do paciente, está forçando, considerar seriamente alternativas para proteção básica senha. Em junho, por exemplo, o Departamento de Assuntos de Veteranos (VA) emitiu uma nota exigindo autenticação de dois fatores para acesso local e de rede para contas privilegiadas.A autenticação de dois fatores não é uma nova tecnologia. Tem sido usada há décadas pelas organizações com a intenção de melhorar acima de segurança para acessar informações confidenciais armazenadas em servidores corporativos por trás do firewall.
autenticação de dois fatores joga bem com firewalls, criptografia de dados e outros tipos de proteções técnicas, físicas e administrativas. Ele também trabalha com proteção do firewall para impedir que hackers usando um dispositivo roubado possam se infiltrar na rede ao mesmo tempo cumprindo a exigência de HIPAA para verificação de identidade. O desafio é selecionar uma solução de autenticação de dois fatores, que é funcional e fácil de usar, enquanto que satisfaça a necessidade de uma organização para um alto nível de segurança e confiabilidade, tudo a um preço que torna mais realista para facilitar a implantação. Idealmente, deve também ser fácil de instalar, implementar, usar e manter.
Algumas soluções de autenticação de dois fatores também permitem que as organizações façam o bloqueio do acesso privilegiado concedido a administradores de sistema e de rede. Isso impede que os hackers escalem os ataques por roubar credenciais de administrador, o que lhes permite instalar o software que lhes dá acesso direto à rede e aos dados do paciente, como o que aconteceu na brecha Anthem maciça.

O que o futuro guarda?

Uma coisa é certa, a força de trabalho na saúde é cada vez mais móvel e os riscos associados a essa são grandes. As organizações de saúde não têm escolha senão olhar para meios alternativos para garantir e proteger os dados ou enfrentar as graves consequências de uma violação de dados.

Olhando para além de proteção de senha é um ótimo lugar para começar. Como é que vai proteger os dados sensíveis e PHI em 2016?

Fonte: healthcarebusinesstech

Lembrando que no Brasil a Anvisa, está implementando a RDC30.

RDC30_mail



Comentários