O vírus chamado WannaCry, que paralisou muitas empresas e, inclusive, hospitais, fez com que a redução do risco de ataque de ransomware saltasse para o topo da lista de prioridades de TI das empresas do setor de saúde. No Brasil, o Hospital do Câncer de Barretos, referência nacional no tratamento do câncer, teve suas atividades paralisadas ao menos por 24h após sofrer um ataque de ransomware no fim de junho. Ao todo, cerca de 3 mil consultas e exames foram cancelados e 350 pacientes impedidos de realizar o tratamento de radioterapia.
Ações deste teor mostram o perigo que os ataques apresentam à saúde e à segurança do paciente. Este incidente, juntamente com outras brechas de segurança recentes, estão levando as organizações de saúde a concentrarem-se mais na segurança, conforme demonstrado por uma pesquisa recente que 81% das organizações de saúde dos EUA planejam aumentar seus gastos com segurança da informação em 2017. Como eles consideram como melhor investir esses novos recursos de segurança de TI, é provável que a maioria dos CIOs de saúde (se não CEOs) estão se perguntando o que eles precisam fazer para parar tais ataques, ou pelo menos minimizar os danos desses ataques e rapidamente se recuperar quando eles são bem-sucedidos.
Infelizmente, a resposta a esta pergunta não é simples. Outro firewall, sessão de treinamento de funcionários ou um novo processo de backup de dados, por si só, não irão proteger uma organização de um ciberataque de rede ou algo parecido. Em vez disso, os líderes de saúde precisam estar seguros de que tenham desenvolvido e implantado uma estratégia holística de proteção e gerenciamento de dados para suas empresas, a fim de minimizar as chances de um ataque bem-sucedido e o dano que este pode causar.
Essas estratégias devem, ainda, combinar poderosos sistemas de segurança perimetral com políticas abrangentes de educação dos funcionários, práticas sólidas de governança de informações e processos abrangentes de backup e recuperação. Com isso, as empresas da área da saúde podem sentir confiança e saber que estão impedindo o maior número possível de ataques de resgate, limitando os dados expostos a ações bem-sucedidas, além de serem capazes de restaurar rapidamente os dados criptografados ou destruídos por um ataque.
Muitas dessas organizações já possuem ou estão no processo de construir e lançar tais estratégias. Ao realizá-las, os líderes das companhias de saúde podem tornar essas estratégias mais eficazes, assegurando a aplicação de três práticas-chave: não superestimar a eficácia da educação dos funcionários para protegê-los de ataques; abordar o planejamento de gerenciamento de segurança e dados de forma holística e proativa, ao invés de uma maneira reativa; e criar um conjunto de backup dedicado de seus dados, que é isolado do resto da sua rede.
A educação dos funcionários é um elemento essencial na estratégia de gerenciamento e proteção de dados de qualquer organização do ramo de saúde. Esse treinamento é particularmente eficaz quando não envolve apenas ensinar aos funcionários o que eles devem fazer quando recebem e-mails de remetentes desconhecidos com anexos ou links suspeitos, mas também incluem “exercícios de incêndio”, onde a TI envia aos empregados falsos phishing para garantir que eles realmente sigam as melhores práticas ensinadas em sala de aula. No entanto, as empresas de saúde precisam evitar que a educação dos funcionários lhes forneça uma falsa sensação de segurança. Mesmo que o sistema de segurança perimetral e a educação dos funcionários parem 99,7% dos ataques à empresa, os poucos que conseguem encontrar o caminho ainda podem interromper as operações de saúde.
As organizações precisam planejar o pior caso, e não apenas se concentrar em minimizar as chances de ocorrência de um ataque bem-sucedido. É necessário esperar que um ataque seja um dia bem-sucedido e esteja pronto para responder de forma a minimizar qualquer perturbação e danos causados pelo ataque.
A importância do planejamento futuro também é ilustrada por outras práticas recomendadas que as organizações de saúde devem adotar para se protegerem melhor do ransomware – assumindo uma abordagem pró-ativa para não apenas criar um plano de segurança de TI, mas um plano holístico abrangente de gerenciamento e proteção de dados. Este deve ser escrito, rotineiramente testado, e atualizado ou modificado conforme necessário.
A segurança é um componente importante de tal plano, e deve caminhar junto com recuperação de desastres, privacidade de dados e processo para ativar os dados da organização a fim de melhorar os resultados do negócio. Isso pode ser difícil – à medida que os orçamentos de TI dos serviços de saúde são apertados, eles geralmente acham que não possuem os recursos necessários para desenvolver proativamente um plano de gerenciamento e proteção de dados ou para revisar e atualizar seu plano atual. Como resultado, eles se concentram apenas em prioridades de TI imediatas.
A situação é ainda mais complicada sempre que uma organização de saúde adiciona um novo sistema à sua infra-estrutura – seja um EHR ou outro aplicativo clínico ou comercial. Nesses casos, muitas vezes não conseguem sincronizar a segurança de dados deste novo sistema e outras medidas com seu plano de gerenciamento de dados, confiando nas promessas do fornecedor. No entanto, a menos que o fornecedor do novo sistema compreenda completamente a estratégia global de gerenciamento de dados da empresa, a segurança e outras lacunas podem resultar da adição do novo sistema.
Quando uma organização decide adicionar um novo sistema, é preciso iniciar uma revisão imediata de seu plano de gerenciamento e proteção de dados para garantir que as informações do novo sistema sejam incorporadas. Essa abordagem proativa holística melhora significativamente a capacidade das organizações de saúde de prevenir ou responder ao sofisticado ransomware e outros ataques lançados pelos cibercriminosos em todo o mundo.
Uma das melhores práticas que as organizações de saúde devem tomar para minimizar sua exposição ao risco de ransomware é garantir que eles tenham um conjunto completo de seus dados essenciais de missão crítica e outros dados de backup, e que estes estejam isolados do resto de sua rede, mas também facilmente acessível para recuperação. Por exemplo, muitas organizações podem pensar que possuem um backup de dados porque usam o espelhamento, acreditando que caso um de seus datacenters sofra uma redução, o mesmo permite que utilizem dados localizados em outro datacenter.
Mas, essa estratégia não é um plano de backup real. Uma infecção em um datacenter pode ser facilmente transferida para o outro, bloqueando a organização de todos os seus dados. Para suportar uma recuperação rápida e abrangente de um ataque de ransomware, as empresas precisam ter um backup completo de seus dados e não esperar que um espelho de dados atue como um backup. Além de ter um backup completo e dedicado, é necessário garantir que este esteja localizado fora de sua rede local – na nuvem pública, privada, em um sistema de armazenamento em disco isolado ou (embora a recuperação seja mais lenta) em fita. Então, se sua rede estiver comprometida, é possível reconstruir seus dados completamente a partir das cópias de backup.
Seguir essas três melhores práticas é apenas um primeiro passo para as empresas do setor de saúde, na medida em que buscam implementar estratégias holísticas de gerenciamento e proteção de dados que minimizem a exposição ao risco em ataques de resgate. À medida que as organizações adotam estratégias holísticas de gerenciamento de dados e recuperação de desastres, elas também ajudam a ativar seus dados de forma a criar mais valor para a organização e os pacientes.
Assim, as companhias avançam na criação ou atualização de suas estratégias de gerenciamento e proteção de dados na sequência do WannaCry, eles devem lembrar que essas estratégias não apenas ajudarão a evitar um desastre de dados que ameace a saúde do paciente, mas também os ajudem a usar seus dados de modo a melhorar a saúde dos pacientes.