Como responder a um ataque cibernético ao setor de radiologia
Reading Time: 6 minutes read
Entenda o impacto de um ataque cibernético e como responder a ele.
Por Trevor Weyland, diretor de práticas cibernéticas nacionais da Gallagher.
Os setores e as clínicas de radiologia, como todas as organizações de saúde, são alvos atraentes para um ataque cibernético. Caso o setor de radiologia de sua instituição seja vítima de um ataque cibernético, é importante ter um plano de resposta a incidentes em vigor que apresente imediatamente uma solução estruturada e prática para o ocorrido.
Os invasores e criminosos cibernéticos sabem do valor dos dados relacionados à aquisição de imagens médicas e da dependência tecnológica da área para prestar atendimento e conduzir operações comerciais. Por exemplo, invasores que cometem ataques de ransomware podem assumir o controle dos sistemas da clínica e exigir resgates para restaurar o acesso ou não divulgar os dados que eles encontraram.
Os ataques cibernéticos e as violações de dados são decorrentes de muitos vetores de ameaça, tais como engenharia social e fraudes de e-mails comerciais, dispositivos extraviados, atos prejudiciais de colaboradores, roubo físico de recursos dos sistemas, exploração de vulnerabilidades de software/hardware, ataques de phishing e comprometimento de credenciais. Não apenas os próprios sistemas do setor de radiologia estão em risco, como também os sistemas de seus fornecedores (consultores de TI, provedores de armazenamento na nuvem, etc.) dos quais a prática depende para operar seus negócios/sistemas e aos quais foram confiadas informações de saúde protegidas (Protected Health Information, PHI).
Embora incidentes possam ocorrer de muitas formas, uma resposta firme a um ataque cibernético ao setor de radiologia (e as responsabilidades relacionadas) provavelmente seguirá as categorias amplas explicadas abaixo, enquanto a instituição de saúde tenta resolver a situação com eficácia. As prioridades serão entender o que aconteceu, assumir o controle da resposta, fazer back-up dos sistemas e restabelecer seu funcionamento, além de cumprir todas as obrigações perante terceiros, como os pacientes, cujas informações possam ter sido comprometidas.
Resposta a incidentes de um ataque cibernético ao setor de radiologia
Quando o departamento ou a instituição de aquisição de imagens constatar um incidente (por exemplo, ao receber uma exigência decorrente de um ataque de ransomware ou uma notificação de violações de dados), deverá:
- Incentivar a investigação forense da invasão do sistema ou da perda de dados para que seja possível determinar qual acesso/dado está envolvido ou em ataque no momento.
- Obter consultoria jurídica para revisar e determinar suas responsabilidades nos termos das leis de privacidade, como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (The Health Insurance Portability and Accountability Act, HIPAA), que poderão exigir a emissão de notificações às pessoas afetadas e em prazos curtos. Será importante contratar um escritório de advocacia com experiência nesta área que também possa orientar a clínica sobre como envolver outras empresas especializadas em serviços forenses ao preservar o privilégio sobre as constatações, além de orientar sobre a legalidade de realizar pagamentos de resgate. Por exemplo, a legislação norte-americana proíbe, em geral, o pagamento a pessoas suspeitas de terrorismo em competências sujeitas às sanções abrangentes dos EUA.
- Gerenciar a publicidade externa ou o questionamento da imprensa sobre o ocorrido.
Sua organização de saúde deve ter um plano de resposta a incidentes em vigor (e testado regularmente) que defina o processo de constatação, investigação e resposta a um incidente cibernético no setor de radiologia ou em qualquer outro departamento.
Operações comerciais
Especificamente no caso de um ataque a um sistema (ou aos sistemas dos provedores de TI), as operações comerciais no setor de radiologia também podem ser afetadas de muitas formas. Os sistemas poderão sair do ar, impedindo o acesso aos registros e aos equipamentos digitais necessários para as operações diárias. Isso poderá limitar a possibilidade de armazenar ou agendar exames de aquisição de imagens, afetar a receita e o faturamento, bem como aumentar os custos internos, enquanto a equipe de radiologia busca soluções alternativas. A equipe desejará acionar os sistemas de back-up e restaurar os dados, no entanto, mão de obra ou recursos adicionais poderão ser necessários e a restauração desses dados poderá incorrer em outros custos.
Parte da preparação para lidar com um incidente cibernético é contar com redundância em sistemas e dados, incluindo back-ups separados, para que as consequências (e o tempo de inatividade) no setor de radiologia sejam reduzidas e a clínica esteja mais bem posicionada para negociar com o responsável pelo ataque.
Por fim, é fundamental guardar os registros completos e precisos dos custos adicionais e da receita perdida caso possam ser recuperados junto ao provedor ou à seguradora.
Responsabilidade e regulamentação
A omissão em proteger informações confidenciais contra divulgação ou acesso não autorizado implica responsabilidade e obrigação perante a lei. Diversas regulamentações estaduais e federais, como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (The Health Insurance Portability and Accountability Act, HIPAA) de 1996, regem a utilização e a segurança das informações pessoais, como também impõem a obrigação de notificar uma violação. Elas também permitem que os reguladores do Escritório de Direitos Civis (Office of Civil Rights, OCR) investiguem e apliquem penalidades aos criminosos, além de impor planos de ações corretivas que resultam em custos consideráveis para a organização.
Próximas etapas
Hoje em dia, as ameaças cibernéticas são muito recorrentes, com consequências que podem ser graves para as empresas de saúde e suas operações. No entanto, as organizações podem estar bem preparadas e bem protegidas ao adquirir sistemas de TI que incorporem as medidas e os controles corretos para prevenir e minimizar os ataques, e ao implementar um plano de resposta a incidentes.
A equipe, porém, não precisa responder aos incidentes sozinha. O seguro cibernético não apenas disponibiliza a transferência do risco financeiro, como também fornece acesso imediato a profissionais jurídicos, forenses e outros profissionais especializados que ajudarão a gerenciar a situação com eficácia e eficiência. O seguro cibernético e os recursos disponibilizados por ele também devem integrar todos os planos de resposta a incidentes.
Trevor Weyland é vice-presidente sênior da Gallagher e membro tanto da divisão de saúde quanto de práticas cibernéticas nacionais. Ele presta consultoria a organizações de saúde em relação a riscos de responsabilidade e soluções cibernéticas e de gerenciamento.
Sobre a Gallagher
Gallagher é a marca da Arthur J. Gallagher & Co. (Bolsa de Valores de Nova York: AJG), uma empresa global de corretagem de seguros, gerenciamento de riscos e serviços de consultoria com sede em Rolling Meadows, Illinois. A empresa opera em 57 países e oferece recursos de atendimento ao cliente em mais de 150 países por meio de uma rede de corretores e consultores que atuam como correspondentes.
Este artigo é apenas para fins de conscientização e não constitui aconselhamento profissional por parte da Carestream Health. A Carestream não endossa a aplicabilidade dos serviços da Arthur J. Gallagher & Co. à sua situação.