Nova iniciativa do HHS para ajudar com a cibersegurança na saúde

Quando o recente ciberataque contra a Change Healthcare, uma subsidiária da UnitedHealth, foi descoberto há alguns meses, desencadeou uma série de respostas.

Mais recentemente, o Senador Gary Peters (D-Mich.), que preside ao Comité de Segurança Interna e Assuntos Governamentais do Senado, enviou uma carta ao Departamento de Saúde e Serviços Humanos (HHS) a perguntar que medidas estão a ser tomadas para garantir que este tipo de catástrofe nunca volte a acontecer.

Criar uma loja única

Em resposta à carta, a Administração de Preparação e Resposta Estratégica (ASPR) do HHS anunciou uma iniciativa para organizar melhor os seus muitos programas e recursos de cibersegurança dispersos, tornando-os mais fáceis de encontrar e implementar pelas organizações de saúde. O objetivo é criar um portal unificado ou um balcão único.

Além disso, o ASPR afirmou que irá trabalhar para criar e promulgar novas estratégias de cibersegurança, melhores práticas e recursos especificamente para o setor de saúde.

Embora sejam obviamente boas notícias e, embora seja provável que facilite às organizações de saúde obter a informação e orientação de que necessitam para modernizar a cibersegurança, a questão de saber se realmente farão uso deste novo centro de recursos permanece sem resposta.

Primeiro, as más notícias

A 1 de maio, o CEO da UnitedHealth, Andrew Witty, estava a testemunhar perante o Comité de Finanças do Senado sobre o devastador ataque cibernético contra a Change Healthcare da UnitedHealth.

Durante a audição, Witty testemunhou que o servidor específico que o grupo de ransomware BlackCat tinha usado para penetrar na rede estava sem autenticação multifator (MFA). Ele disse que a sua equipa ainda está a trabalhar para descobrir porque é que esta medida de segurança muito básica estava em falta.

Portanto, vamos apenas pensar no que isto significa. Qualquer pessoa atenta à cibersegurança sabe que a explosão de ataques de phishing cada vez mais sofisticados nos últimos anos significa que deve assumir que credenciais simples — nomes de utilizador e senhas — foram roubadas, agrupadas e vendidas na dark web. Assim, qualquer coisa protegida apenas com credenciais básicas deve ser considerada extremamente vulnerável.

MFA é o mínimo que se deve fazer para controlar o acesso de forma eficaz. E especialmente para uma empresa que detém reservas tão vastas de PPI como a Change Healthcare, nem mesmo o MFA é suficiente hoje em dia. Eles deveriam ter sido realmente dos primeiros a transitar para controlos de acesso Zero Trust e uma arquitetura Zero Trust completa.

O que explica uma falha tão grande na segurança básica? No mínimo, um certo nível de negligência, uma falha em priorizar a segurança, deve ser parcialmente culpado. E, de facto, a indústria de saúde como um todo tem sido mais lenta do que outras a adotar medidas de segurança modernas — algo que cibercriminosos conhecem bem e de que tiram pleno proveito.

Portanto, tenho de perguntar: Até que ponto pode um balcão único de recursos de cibersegurança para a saúde, hospedado pelo HHS, melhorar as coisas? O que realmente importa é que as organizações de saúde se sintam motivadas a procurar esses recursos e a utilizá-los — ou seja, a investir dinheiro na modernização da segurança e na implementação de práticas recomendadas.

Um pouco de boas notícias

Como discutimos no este recente post no blog, o Relatório de Violação do Q1 de 2024 do Identity Theft Resource Center continha uma descoberta potencialmente promissora em relação à cibersegurança e à indústria de saúde.

“Pela primeira vez em anos, a indústria dos cuidados de saúde não registou o maior número de compromissos, cedendo o primeiro lugar aos serviços financeiros. Ambas as indústrias registaram aumentos significativos em relação ao primeiro trimestre de 2023. Mas o salto dos cuidados de saúde de 81 para 124 compromissos é muito menor do que o aumento geral de quase 90%. Enquanto isso, os compromissos nos serviços financeiros dispararam de 70 para 224, um aumento massivo.”

Talvez, depois de anos a serem fustigados por ciberataques, com clínicas e hospitais inteiros encerrados por ransomware, e sendo constantemente lembrados de que eram o alvo principal para gangues de cibercrime, a indústria da saúde esteja finalmente a levar a sério a resolução do problema.

Pelo menos, todos devemos ter esperança nisso.