A revisão da diretiva da UE para aumentar a segurança cibernética das infraestruturas críticas (NIS2) colocou ainda mais a questão da segurança cibernética em muitas instalações de saúde. Porque são considerados particularmente dignos de proteção.
A confidencialidade, a integridade e a disponibilidade dos dados são de importância central no setor da saúde. É aqui que são documentados todos os processos e diagnósticos de saúde, incluindo planos terapêuticos. Uma vez que cada falha de segurança acarreta o risco de que os planos de medicação sejam manipulados ou que as informações caiam nas mãos de terceiros, a segurança cibernética é essencial. Os dados sensíveis são um alvo extremamente popular para os criminosos, como demonstrou o recente ataque a um hospital em Soest. O desafio da indústria: Devido ao avanço da digitalização, os dispositivos médicos estão agora cada vez mais ligados em rede e os dados são cada vez mais armazenados e transmitidos eletronicamente. Isso aumenta a superfície de ataque potencial para os cibercriminosos. O legislador está a abordar este desenvolvimento através do NIS2, aumentando os requisitos de segurança cibernética nas empresas. Ingoschulenberg, Chefe de Vendas – Operações Especiais de TO e Segurança de TI da Axians IT-Security, dá quatro dicas sobre como as instalações de saúde afetadas pela diretiva devem proceder.
Avaliação de segurança cibernética
O inventário de equipamentos nos hospitais tem crescido frequentemente ao longo do tempo e está cada vez mais interligado. Para aumentar eficientemente a segurança informática, uma avaliação das precauções de segurança existentes é um ponto de partida ideal. Aqui, os especialistas verificam a segurança do ambiente instalado, identificam vulnerabilidades nos dispositivos existentes e quais são os requisitos de segurança para novos dispositivos. Também é crucial determinar quais áreas da empresa precisam se comunicar entre si. Especialmente em instalações de saúde, muitas vezes existem máquinas e dispositivos importantes que, por exemplo, não deveriam estar todos acoplados à mesma rede. Na avaliação da segurança cibernética, as organizações determinam quais os ativos que são particularmente críticos e que merecem ser protegidos, a fim de os priorizar na sua estratégia de segurança e protegê-los de forma adequada. Durante a avaliação de segurança, prestadores de serviços de TIC experientes, como a Axians, podem ajudá-lo a avaliar corretamente o nível de segurança da infraestrutura de TI e, em seguida, derivar uma estratégia de segurança holística.
Treinamento em segurança cibernética
O maior risco de segurança no setor de saúde, como em outros setores, são as pessoas. Continua sendo um alvo popular para hackers. Com ataques de phishing bem elaborados, os cibercriminosos podem enganar os funcionários para que forneçam detalhes de login ou baixem malware da Internet. A disposição equivocada de ajudar – por exemplo, quando os funcionários conectam dispositivos USB ao seu PC de trabalho para descobrir o proprietário – geralmente leva a grandes danos. Carregar telemóveis privados em dispositivos médicos com uma porta USB também representa um risco potencial para as instalações de saúde através de dispositivos comprometidos. As empresas devem evitar isto através da formação de todos os funcionários para que possam desenvolver uma melhor noção dos riscos de segurança. Isto é importante porque os funcionários das unidades de saúde muitas vezes trabalham sob pressão de tempo e têm uma carga de trabalho elevada. Para não ser vítima de ataques de phishing direcionados na vida cotidiana estressante, são essenciais treinamentos regulares em segurança e treinamento de conscientização.
Práticas recomendadas de cibersegurança
Para construir uma segurança cibernética eficaz, as instituições devem começar por implementar os fundamentos técnicos. No setor da saúde, isto inclui a segmentação da rede com firewalls internos. A segmentação da rede permite separar os dispositivos médicos da rede principal. Máquinas e dispositivos geralmente possuem sistemas operacionais mais antigos cujas vulnerabilidades não podem ser corrigidas, caso contrário perderiam sua aprovação. Se a recertificação não for uma opção, estes dispositivos podem ser bloqueados em segmentos de rede seguros e a comunicação com estes dispositivos pode ser regulada e monitorizada via IPS. A proteção básica pode então ser continuamente expandida de acordo com o princípio modular dentro do orçamento. Como o cenário de ameaças está se tornando cada vez mais complexo, as medidas preventivas devem ser continuamente aprimoradas.
Expanda o básico com SOC e ISMS
As ameaças devem ser identificadas 24 horas por dia e em tempo real para poder reagir imediatamente em caso de emergência. Por este motivo, é aconselhável que instituições de saúde, como hospitais, criem um Centro de Operações de Segurança (SOC). Todos os tópicos de segurança cibernética se reúnem no SOC – é aqui que a infraestrutura de segurança de TI do hospital é monitorada 24 horas por dia por especialistas que utilizam tecnologia de ponta, os ataques são identificados prontamente e a defesa é iniciada. A experiência adquirida permite adaptar permanentemente a estratégia de defesa. As instalações de cuidados de saúde não têm de operar elas próprias um SOC, mas podem ter o apoio de um fornecedor de serviços geridos.
Além dos princípios básicos de segurança, recomenda-se estabelecer um sistema de gestão de segurança da informação (SGSI). Este não é um sistema físico, mas sim um procedimento definido por diretrizes que define, controla, controla, mantém e melhora continuamente a segurança da informação em uma empresa. Um SGSI é implementado e implementado individualmente para uma empresa.
Aumente a segurança gradualmente
Para proteger com sucesso as empresas e instituições do setor da saúde contra ataques cibernéticos, é necessário mais do que apenas investir em hardware e software. O objetivo deve ser uma estratégia abrangente de segurança cibernética que possa ser implementada passo a passo. As organizações podem começar por realizar auditorias de segurança e depois, com base nisso, introduzir soluções técnicas como firewalls internos e externos, prevenção de intrusões, segmentação de redes, SGSI e SOCs. Ao mesmo tempo, o treinamento de conscientização para aumentar a conscientização dos funcionários compensa. Desde que as empresas sigam estas melhores práticas, aumentam continuamente a segurança dos seus sistemas e, portanto, dos dados dos pacientes. A colaboração com parceiros externos e a utilização de serviços geridos pode ajudar a evitar uma pressão adicional sobre os departamentos de TI nas instalações de saúde.
Mais em Axians.com
Sobre Axianos
O grupo de empresas Axians na Alemanha faz parte da rede global de marcas da VINCI Energies para soluções TIC. Com um portfólio holístico de TIC, o grupo apoia empresas, municípios e instituições públicas, operadores de rede e prestadores de serviços na modernização das suas infraestruturas e soluções digitais.
Artigos relacionados ao tema