Boas práticas para gestão de ciberameaças na área de Saúde

O que as empresas prestadores de serviços de saúde devem fazer para melhor gerenciar riscos cibernéticos às suas cadeias de suprimentos? Quem levantou as melhores práticas nessa área foi um recente relatório da Cloud Security Alliance (CSA), organização mundial dedicada a definir padrões, certificações e recomendações que ajudem a garantir ambientes de computação em nuvem mais seguros.

O relatório destaca que são muitos os tipos de cadeia de suprimentos que estão sob risco quando se trata de organizações de saúde, desde fornecedores de alimentos e produtos farmacêuticos, até fabricantes de dispositivos médicos e distribuidores de software. Essa complexidade e interdependência das cadeias aumentam drasticamente as consequências em caso de incidentes cibernéticos, que podem incluir vazamento de informações de prontuários médicos até a interrupção de fornecimento de itens essenciais para tratamento médico.

“Prestadores de serviços de saúde gastam bilhões de dólares com milhares de fornecedores a cada ano. No entanto, pesquisas indicam que as atuais abordagens para avaliar e gerenciar os riscos associados às cadeias de suprimento estão falhando. A migração para a nuvem e edge computing expandiu a superfícies de riscos cibernéticos dessas organizações, o que dificulta a proteção das infraestruturas digitais e também as torna cada vez mais atraentes para ataques cibernéticos. Por isso, é fundamental que elas identifiquem, avaliem e mitiguem esses riscos para garantir a resiliência de seus negócios”, afirma Dr. James Angle, principal autor do artigo e copresidente do Grupo de Trabalho de Gestão de Informações de Saúde da CSA.

Os ataques cibernéticos às empresas de saúde estão mais caros do que nunca. Além dos custos relacionados aos ataques cibernéticos, há atualmente outros encargos financeiros decorrentes de eventuais processos judiciais e das multas e investigações do Departamento de Saúde e Serviços Humanos e do Escritório de Direitos Civis dos Estados Unidos, destaca o relatório.

Há várias razões para que a administração das cadeias de suprimentos e gestão de riscos falhem na área da saúde:

1. Falta de automação e dependência de processos manuais para gestão de riscos, o que torna desafiador monitorar a proliferação de aplicativos e dispositivos médicos digitais utilizados na área da saúde e respectivas as ciberameaças.

2. A avaliação de riscos associados aos fornecedores é demoradas e cara, portanto poucas empresas acabam fazendo essa análise.

3. Controles e processos críticos para a administração de fornecedores, em geral, são implementados apenas parcialmente ou não são implementados de nenhuma forma.

Existem duas preocupações diferentes ao abordar riscos cibernéticos nas cadeias de suprimentos. A primeira tem a ver com a gestão de riscos nas cadeias cibernéticas de suprimentos. Já a segunda diz respeito ao gerenciamento de riscos cibernéticos que podem afetar as cadeias de suprimentos. A primeira abordagem se concentra na segurança de redes de TI, hardware e software, enquanto a segunda inclui cadeias de suprimentos convencionais e seus riscos cibernéticos. É preciso abordar ambas.

Riscos à cibersegurança nas cadeias de suprimentos têm potencial de gerar danos ou comprometimentos por conta de falhas de proteção dos ambientes de TI de fornecedores, seus produtos e serviços. Já riscos às cadeias de suprimentos são uma preocupação adicional para as empresas de saúde, pois podem afetar diretamente a oferta de produtos ou prestação de serviços e consequentemente os negócios. 

O relatório enfatiza que é imperativo que as empresas de saúde tenham um programa eficaz para gestão de riscos de suas cadeias de suprimentos, com quatro etapas:

• Determinação de critérios para avaliação de fornecedores

• Avaliação de riscos

• Tratamento dos riscos

• Monitoramento e definição de métodos de resposta 

Ainda que não seja realista imaginar que seria possível realizar a avaliação de riscos de todos os fornecedores, a figura 2 mostra uma alternativa de ação que descreve barreiras de visibilidade das cadeias de suprimentos, com vários níveis de envolvimento. A recomendação é se concentrar nos fornecedores primários e nos fornecedores de seus fornecedores.