Qual a melhor maneira de proteger as informações de saúde e dos pacientes?
Por Colaborador externo | 12 de Maio de 2020 às 10h00
Por Ivan Marzariolli*
Além de honrar o Juramento de Hipócrates para que "acima de tudo, não façam mal" aos seus pacientes, os médicos e as organizações enfrentam a obrigação de assegurar que as informações de saúde, identificação pessoal e os dados financeiros de seus pacientes sejam resguardados.
A ironia consiste que uma das medidas usuais de "segurança" que as organizações de saúde adotam para fortalecer a segurança cibernética, a criptografia de dados, quando em movimento pode realmente tornar os dados dos pacientes mais vulneráveis a ataques.
Ao utilizar a criptografia para proteger as comunicações, as empresas de Healthcare impedem que firewalls e outros dispositivos de segurança detectem tráfego malicioso e arquivos ocultos no tráfego legítimo. A descriptografia para inspeção pode ser uma abordagem viável, mas normalmente tem alto custo de penalidades, escalabilidade e performance.
Então, o que fazer? A princípio, é essencial que essas organizações entendam que a criptografia fornece privacidade, mas não segurança.
A cibersegurança é um desafio crítico para profissionais e organizações de apoio. As vastas quantidades de PHI (Informações de Saúde Protegidas), PII (Informações de Identificação Pessoal) e dados financeiros costumam ser alvos para ataques de ransomware e roubo de dados. O erro de um colaborador bem-intencionado, a sabotagem de um funcionário mal-intencionado ou até um ataque direto via phishing, ou malware, baseado em Trojan por hackers, estão entre os riscos em potencial.
O impacto de uma violação pode ser devastador. Os notórios ataques de ransomware WannaCry de 2017 atingiram alvos em 150 países em todo o mundo. Entre suas vítimas estava o Serviço Nacional de Saúde do Reino Unido, forçando o cancelamento de mais de 19.000 consultas a um custo de 20 milhões de libras (US$ 25 milhões) e necessitando de reparos e atualizações do sistema que custaram um adicional de 72 milhões libras (US$ 90 milhões). Em fevereiro de 2015, nos EUA, uma violação da empresa de assistência médica Anthem, Inc. afetou quase 80 milhões de pessoas e trouxe uma multa recorde de 16 milhões de dólares do Escritório de Direitos Civis (OCR), do Departamento de Saúde e Serviços Humanos, além de um acordo civil de US$ 115 milhões.
Criptografia x descriptografia
A maioria das organizações depende de criptografia para proteger as comunicações na Internet. O Relatório de transparência do Google revela que mais de 90% do tráfego recebido pela empresa e seus produtos são criptografados por conexões SSL ou TLS. O mesmo pode ser dito para outros navegadores. As organizações de saúde não são exceção a essa tendência - nem os hackers. De fato, mais da metade dos ataques de malware vistos hoje estão usando alguma forma de criptografia para estabelecer comunicações ou sistemas infiltrados.
À medida que um hacker tenta penetrar nas defesas da rede, a criptografia torna o malware invisível para a infraestrutura de segurança da organização, incluindo sistemas avançados de proteção contra ameaças (ATP), sistemas de detecção de intrusões (IDS), sistemas de prevenção de intrusões (IPS), firewalls, software antivírus e secure web gateways. Quando o malware procura estabelecer uma conexão com os servidores de comando e controle, a criptografia torna impossível rastrear ou interromper essas comunicações. E, à medida que o malware começa a contrabandear arquivos direcionados, a criptografia mais uma vez cega os dispositivos tradicionais de prevenção de perda de dados (DLP) e os dispositivos forenses. Ou seja, a criptografia pode deixar o restante da pilha de segurança inútil para interromper um ataque.
Uma solução teórica seria descriptografar o tráfego recebido para permitir a inspeção, uma capacidade oferecida pelos recentes firewalls de última geração (NGFW) e sistemas de prevenção de intrusões. O que não costuma ser prático. Um teste realizado pelo NSS Labs encontrou uma média de degradação de performance de 60%, quando a descriptografia é ativada em um NGFW.
A solução real: mudar o foco de uma descriptografia lenta, ineficiente e dispendiosa de dispositivo a dispositivo, para descriptografia centralizada em uma única solução dedicada. O que torna possível descriptografar o tráfego uma vez para inspeção por dispositivos de segurança separados na pilha em conjunto e depois criptografá-lo novamente.
Assim, as organizações podem eliminar o ponto cego da criptografia para detectar violações de dados e ataques cibernéticos. Além de reforçar a segurança, as organizações podem impor e garantir a conformidade com os padrões de privacidade e proteção de dados, como LGPD (Lei Geral de Proteção de Dados do Brasil), GDPR (Regulamento Geral de Proteção de Dados na União Europeia) e HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde dos EUA) - requisitos essenciais para todas as organizações de saúde. O conhecimento faz toda a diferença para resolver problemas de cibersegurança.
*Ivan Marzariolli é country manager da A10 Networks.