Relatório de Resiliência Cibernética 2023
Esta é a parte 8 de 16 neste relatório.
October 11, 2023 / 6 minutos de leitura
Perfil Cibernético da Saúde Melhorado, mas Trabalho de Resiliência Ainda é Necessário
A transição para a Internet de Todas as Coisas representa uma enorme mudança cultural e tecnológica para o setor, e cada organização de saúde deve estar focada em desenvolver estruturas em torno da maturidade cibernética.
Principais conclusões
- Os clientes relataram perfis de risco cibernético aprimorados, com a maioria passando de "básico" para "gerenciado".
- A Diretiva de Segurança da Rede e da Informação (NIS2), que está no horizonte, espera-se que impulsione a melhoria contínua dos riscos.
- As organizações devem realizar avaliações regulares abrangendo defesas técnicas, maturidade de controle, impacto financeiro e segurabilidade.
Do ponto de vista da segurança cibernética, a indústria de saúde enfrenta um nível de risco que nenhum outro setor enfrenta. Decisões devem ser tomadas em relação à segurança e ao bem-estar dos pacientes, e embora os sistemas hospitalares estejam acostumados e preparados para lidar com riscos empresariais, como desastres naturais, a resiliência pode ser menos robusta quando se trata de riscos cibernéticos. A indústria de saúde, ainda se recuperando da pandemia, enfrenta condições exigentes. Após dois anos de luta contra a COVID-19, a Emergência de Saúde Pública para o setor expirou em maio de 2023, e hospitais e clínicas continuam enfrentando escassez de mão de obra de enfermagem e demandas por compensação dos funcionários. Ao lado dessa necessidade de mais profissionais de cuidados com os pacientes, há uma lacuna de talentos em tecnologia da informação (TI). Com base em nossa experiência, as organizações de saúde frequentemente terceirizam a TI para empresas menores que podem ter um nível diferente de sofisticação em termos de segurança ou controles de TI em comparação com provedores maiores e mais estabelecidos ou até mesmo a própria organização de saúde. Eles também podem contratar trabalhadores temporários ou contratados de outras regiões, resultando em uma falta de visibilidade em relação à segurança dos dados que fluem para dentro e para fora da rede da organização.
Essa escassez de talentos em TI coexiste em uma tempestade perfeita com uma expansão da pegada tecnológica e superfície de ataque. As organizações de saúde hoje devem abraçar um novo nível de inovação digital para ajudar a se manter à frente e atualizadas com muitas soluções, desde a incorporação de tecnologia de nuvem híbrida até a implementação de aplicativos de telemedicina com inteligência artificial (IA) e dispositivos vestíveis. E quanto mais conectividade à internet uma organização cria por meio de novas ferramentas e aplicativos, maior se torna a superfície de ataque cibernético. Esses sistemas complexos e em rede permitem múltiplos pontos de entrada, e o risco de terceiros e quartos é mais significativo.
A exfiltração de informações sensíveis e o roubo de propriedade intelectual são preocupações principais nos setores de ciências da vida e saúde, seja proveniente de insiders maliciosos, hackers afiliados a governos ou grupos ativistas, ou ransomware. Após vivenciar um aumento na atividade de fusões e aquisições nos últimos anos, o setor enfrenta riscos de segurança em relação à migração de dados ao consolidar sistemas, entre outros. Mas o perigo não é apenas financeiro. Violações de segurança cibernética em organizações de dispositivos médicos e MedTech podem representar risco de vida para aqueles que precisam de um suprimento imediato ou constante de equipamentos, como marca-passos e bombas de insulina.
A transição para a Internet das Coisas apresenta uma enorme mudança cultural e tecnológica. Toda organização de saúde deve ter um foco intenso no desenvolvimento de estruturas em torno da maturidade cibernética, ao operar em um ambiente cada vez mais regulamentado e litigioso. Pacientes, seguradoras e reguladores pressionam a indústria para cumprir os padrões de resiliência cibernética, e as penalidades impostas pelo não cumprimento podem ser significativas. Estatutos como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) e a Lei de Tecnologia da Informação em Saúde para Economia e Saúde Clínica (HITECH) acrescentam um elemento de responsabilidade criado por associados comerciais, fornecedores e outros prestadores de serviços. Essa complexa cadeia de responsabilidade exige que as organizações de saúde analisem o risco cibernético de forma abrangente e sejam minuciosas nas estratégias de transferência e mitigação de riscos. De fato, as seguradoras de cibersegurança agora exigem controles mínimos de segurança cibernética para obter ou manter cobertura cibernética. As organizações de saúde têm tido que cumprir os requisitos técnicos da Regra de Segurança HIPAA há muitos anos, mas em nossa análise dos dados, há um aumento na escrutínio sobre a maturidade cibernética devido à proliferação de ataques cibernéticos.
Relatório de Clientes da Aon: Indústria de Saúde e Maturidade de Risco
A mediana percentual do orçamento de TI supostamente gasto em segurança também aumentou globalmente, com as empresas de saúde relatando que 8% do orçamento de TI é dedicado à segurança
De acordo com a avaliação CyQu5 da Aon, a pontuação geral de risco cibernético melhorou de 2,6 para 2,8 (em uma escala de 4) em 2022 para os clientes de médio porte, e 70% das empresas relataram pontuações acima de 2,5 em 2022. Isso indica que as empresas estão operando em um nível “básico” de maturidade cibernética, mas se aproximando do nível “gerenciado”. Para os clientes corporativos e globais, o perfil geral de risco melhorou de “básico” para “gerenciado”, e mais de 80% das empresas relataram pontuações acima de 2,5. Espera-se que o impacto da Diretiva de Segurança da Rede e da Informação (NIS2) no horizonte impulsione uma melhoria contínua do risco.
Pontuações de Risco CyQu para os Segmentos de Clientes de Cuidados de Saúde e Assistência Social.
| Receita anual (grupo) | 2020 | 2022 | mudança |
|---|---|---|---|
| global | 2.1 | 2.9 | +0.8 |
| corporativo | 2.0 | 2.8 | +0.8 |
| mercado médio | 2.6 | 2.8 | +0.2 |
| SME | 2.3 | 2.5 | +0.2 |
Pontuação de Maturidade de Risco do CyQu
Inicial: 1.0 - 1.9
Basico: 2.0 - 2.5
gerido: 2.6 - 3.4
avançado: 3.5 - 4.0
Nos Estados Unidos, embora as organizações de saúde tenham relatado uma melhoria geral na maturidade, elas afirmaram avanços apenas em quatro dos nove domínios de controle de TI. Os dados de controle do suplemento de ransomware da Aon mostram que as empresas de saúde dos EUA relataram uma melhoria significativa na implementação de controles cruciais de autenticação multifatorial (MFA) para subscrição (77% em comparação com 64% em 2021). Antecipamos esse avanço, pois o ransomware tem sido relatado como um dos três principais riscos para organizações de saúde, e o mercado de seguros tem dado ênfase ao MFA. Os fornecedores devem realizar testes de vulnerabilidades regularmente e ter os mesmos controles rigorosos de segurança cibernética exigidos pela maioria das seguradoras de cibersegurança.
As organizações de saúde do Reino Unido relataram que a implementação dos controles de TI em 2022 foi menos robusta do que seus equivalentes nos Estados Unidos em todas as categorias. De acordo com os dados de controles de sinalização vermelha do suplemento de ransomware da Aon, as organizações careciam de 63% dos controles de segurança de rede e dados. O grupo de controle mais seguro para as organizações de saúde do Reino Unido foi o gerenciamento de patches, com quase 80% dos controles considerados adequados.
Ações para Organizações de Saúde
Compreender suas exposições
Realizar avaliações regulares abrangendo defesas técnicas, maturidade de controle, impacto financeiro e segurabilidade. Determinar quais vulnerabilidades ameaçam perdas humanas ou materiais significativas e quantificar essa perda potencial para melhor embasar as decisões orçamentárias dentro de um modelo de retorno sobre o investimento em segurança. Utilizar o entendimento do perfil de risco da organização e sua postura de segurança para acessar soluções viáveis de transferência de risco. É importante investigar terceiros e fornecedores para ajudar a mitigar ameaças à cadeia de suprimentos e realizar avaliações de risco internas para gerenciar melhor a crescente ameaça de atores maliciosos e intencionais internos.
Vincule suas Estratégias de Gestão de Riscos Cibernéticos às Iniciativas de Gestão de Riscos Empresariais
Aproveite a força do Centro de Operações de Emergência Corporativo de sua organização para construir resiliência cibernética. Realize planejamento de cenários de risco cibernético, desenvolva planos de resposta a incidentes e incorpore o risco cibernético aos exercícios de mesa existentes.
Prepare-se para a Diretiva NIS2.
Compreenda o escopo da Diretiva de Segurança da Rede e da Informação (NIS2), uma legislação aplicável em toda a União Europeia que se aplica a organizações de saúde, ciências da vida e farmacêuticas. Algumas das maiores mudanças com a NIS2 são as responsabilidades de gestão especificadas e multas administrativas por descumprimento. Ela exige ações diretas em algumas áreas-chave de segurança cibernética e delineia novos controles que devem ser implementados, juntamente com novas orientações sobre como os incidentes significativos devem ser relatados. Compreenda o que se aplica à sua organização e como se preparar.
Alinhar o Planejamento de Resposta a Incidentes (IR) e o Planejamento de Continuidade dos Negócios.
Eliminar a divisão entre a continuidade dos negócios e a preparação para resposta a incidentes. Realizar uma revisão diagnóstica dos planos existentes e realizar uma análise de impacto nos negócios. Considerar como seria o tempo de inatividade. Quebrar silos tanto quanto possível para ter uma visão holística do risco e garantir que metas, processos e procedimentos estejam alinhados.
Referências
1 Os seis desafios enfrentados pela saúde em 2023 e como lidar com eles.” Advisory Board. Daily Briefing. 2023.
2 Escassez de talentos em segurança cibernética: Use essas soluções para ajudar a corrigir o problema contínuo.” Aon. Artigo. Janeiro de 2023. Escassez de talentos em segurança cibernética: Use essas soluções para ajudar a corrigir o problema contínuo | Aon.
3 Um Jogo de Gato e Rato: Superando Ameaças Cibernéticas em Diferentes Setores.” Aon. Artigo. Março de 2023. https://www.aon.com
4 Como evitar as consequências devastadoras do não cumprimento do HIPAA.” HFMA. Serrano, Hernan. Artigo. 29 de maio de 2019.
5 Cyber Quotient da Aon. Tecnologia patenteada pendente.
6 Framework de Segurança Cibernética do NIST 2.0. Obtido em https://eur-lex.europa.eu/eli/dir/2022/2555/oj
Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.
As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.
Publicações relacionadas
Gerenciando a segurança cibernética através de seis temas de risco destacados.
Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.
