Cibersegurança nos equipamentos médicos

Cibersegurança nos equipamentos médicos

A Cibersegurança associada aos cuidados de saúde tornou-se uma grande preocupação, na sequência de um número crescente de incidentes de grande impacto

A Cibersegurança nos equipamentos médicos é uma das principais preocupações atuais, nos cuidados de saúde. No ambiente clínico moderno, quase todos os equipamentos incluem algum tipo de sistema informático com ligação em rede. Isto significa que todos são vulneráveis a ataques e falhas de segurança. O que se poderá traduzir em sérias implicações tanto para os prestadores de serviços de saúde como para os seus clientes, afetando a segurança dos pacientes e dos seus dados clínicos, em todo o mundo. 

Nos últimos 10 anos, existiram vários incidentes de grande visibilidade e impacto internacional envolvendo organizações de cuidados de saúde primários, que puseram em risco a informação dos seus pacientes. Durante esse período, os 10 principais incidentes, só nos Estados Unidos, visaram mais de cem milhões de indivíduos. As estatísticas tornam-se ainda mais alarmantes quanto mais aprofundamos a pesquisa.

Em 2020, estimava-se que quase 93% das organizações de saúde tenham sofrido algum tipo de violação de dados nos três anos anteriores. Mais perturbador é saber que, destas organizações, 57% relataram cinco ou mais acessos não autorizados a dados durante o mesmo período. O custo médio desta falha de segurança para uma instituição médica é superior a dez milhões de dólares.  

Embora isto tenha despertado uma especial  atenção para esta ameaça, as despesas em infraestruturas de informação no setor da saúde estão ainda atrasadas em relação às outras indústrias, estando regularmente nos dois últimos lugares quando consideradas as despesas relacionadas com cada utilizador. Numa era de conectividade e de Internet,  o potencial para ciberataques tornou-se num tópico atual devido ao elevado valor monetário associado à informação privada e individual de cada paciente. Os dias de hoje, tornam-se deste modo o momento mais adequado para os serviços de saúde investirem em toda a sua infraestrutura informática e base de utilizadores para minimizar o risco e proteger os seus sistemas.

A importância da Cibersegurança para os equipamentos médicos

O uso de smartphones, computadores e tablets com acesso à Internet são neste momento, parte fundamental das nossas vidas.  Isto faz da Cibersegurança uma prática crucial, tanto pessoal como profissionalmente, para proteger sistemas, redes e programas, dos ataques digitais. A consciência da Cibersegurança, por parte dos utilizadores ajuda igualmente a proteger as suas contas, dados e os equipamentos, com que trabalham regularmente. 

Uma vez que uma empresa ou organização de saúde pode ser alvo de um ciberataque, devido à vasta quantidade de informação confidencial e dados pessoais que possui, a Cibersegurança associada aos dispositivos médicos e respetivos sistemas informáticos torna-se de extrema importância. Por outro lado, sistemas e tecnologia desatualizados, tornam estes sistemas mais vulneráveis e um ponto de entrada fácil para os hackers acederem. Um estudo sobre os equipamentos médicos atuais revelou que mais de 60% estão em fim de vida, com uma média de seis vulnerabilidades conhecidas. Já do lado do fornecedor, validar e testar novos sistemas apresenta uma despesa elevada do ponto de vista monetário e dos recursos , pelo que o desenvolvimento torna-se desfasado. 

É assim necessário garantir a segurança dos equipamentos médicos por diversas razões. Todas as empresas e estabelecimentos de saúde são obrigados a cumprir requisitos regulamentares e pré-requisitos para garantir a segurança dos seus pacientes (e dos seus dados), que poderá ser comprometida durante um ataque cibernético. Esta responsabilidade recai diretamente sobre as instituições médicas, uma vez que os fornecedores não estão obrigados a cumprir qualquer requisito específico de Cibersegurança.  Devido ao foco extremamente restrito de muitos equipamentos médicos e à concorrência relativamente limitada, o desenvolvimento a nível da segurança, de dados e dos dispositivos, não é prioridade. Os utilizadores finais e as instalações médicas devem, portanto, educar os colaboradores e pôr em prática medidas de segurança nas suas redes. Não o fazer poderá levar a penalizações graves e dispendiosas, publicidade negativa e falta de confiança por parte do público.  

Princípios da Cibersegurança nos equipamentos médicos

A Cibersegurança é parte integrante da segurança dos equipamentos em qualquer indústria, e os cuidados de saúde não são exceção. A segurança dos equipamentos médicos tornou-se cada vez mais importante nos últimos anos devido à habitual ligação e conectividade em rede dos equipamentos e aos ataques de alto nível a que têm sido sujeitos em todo o mundo. 

Para seguir normas de Cibersegurança estritas, os princípios fundamentais da Cibersegurança dos dispositivos médicos envolvem sistemas de segurança razoáveis e eficazes que podem assegurar a transparência. Para além disso, a norma internacional exige que os interessados implementem uma gestão de riscos de segurança e testes de Cibersegurança atualizados, que forneçam evidências objetivas. 

A formação dos utilizadores é fundamental. Mais de um terço dos acessos indevidos à informação, acontecem através do acesso à conta do utilizador, geralmente iniciado por e-mails de “phishing “ ou ligações falsas de apoio ao cliente. Uma grande parte destes ciberataques pode ser evitado através de formação e educação contínua dos utilizadores.    

Gestão de risco de segurança 

A ameaça de ataques de segurança contra equipamentos médicos em todo o mundo faz da gestão de riscos um elemento crucial da Cibersegurança. Considerando o volume de dados pessoais que são armazenados e processados nas instituições de saúde, recomenda-se que estes serviços identifiquem os riscos potenciais de violação de dados e implementem um plano para os abordar em conformidade. 

As melhores práticas na gestão de risco de segurança envolvem a adoção de medidas técnicas e organizacionais que sejam amplamente compreendidas e implementadas pelos colaboradores, tais como políticas de segurança eficazes para o rastreio, monitorização e análise de dados privados, além da monitorização e deteção on-line. Além disso, dispor de mecanismos de autenticação, segmentação da rede e encriptação de dados são também formas adequadas de salvaguardar a informação dos pacientes.

Testes de Cibersegurança

Outra boa prática a implementar em qualquer dispositivo médico é o teste de Cibersegurança. Utilizando várias metodologias e estratégias, tais como “Scan” de Segurança ou Teste de Penetração, as instalações podem identificar, avaliar e processar quaisquer vulnerabilidades no seu sistema. Estes testes devem coincidir com a criação e formação de uma solução sólida, no caso de um ciberataque ou violação da informação, que ajude a minimizar ou mesmo evitar um nível de dano mais elevado.

A não implementação completa da Cibersegurança nos equipamentos médicos ou a existência de sistemas inadequados, pode ter consequências graves que afetam qualquer instituição de saúde e todos os seus pacientes, razão pela qual todas as organizações devem ter atualizadas as certificações adequadas de Cibersegurança nos seus equipamentos e sistemas de informação.

Delos Wilbur 

Diretor de Serviços Técnicos

Leave a Reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *