Ciberataques no setor de saúde: o caminho a seguir
- Criado em 05/04/2022 Por Caroline Francescato
O setor de saúde é particularmente vulnerável ao cibercrime, devido à sua dependência de informações eletrônicas de saúde e sistemas de segurança antiquados. Como, então, o setor de saúde deve responder a essas ameaças?
Por Daniel Garrie e Gail Andler
Que ameaças o setor de saúde enfrenta? O setor de saúde é particularmente vulnerável ao cibercrime, devido à sua dependência de informações eletrônicas de saúde e sistemas de segurança antiquados. Além das violações de dados, as instituições de saúde enfrentam uma ameaça mais recente na forma de ransomware. Este é “ um tipo de software malicioso projetado para bloquear o acesso a um sistema de computador até que uma quantia em dinheiro seja paga”. Os ataques de ransomware e seus efeitos colocam em risco a vida dos pacientes.
Um ataque cibernético pode acontecer em um piscar de olhos ou com o clique de um mouse. Um administrador de registros de pacientes de nível médio recebe um e-mail perguntando sobre uma oportunidade de emprego. Embora ele não esteja esperando nenhuma inscrição e não seja um ponto de contato para consultas de emprego, o administrador abre o currículo de qualquer maneira. Enquanto ele analisa as credenciais do candidato, o malware de um cibercriminoso é entregue à rede do hospital. O malware captura rapidamente as credenciais de login do administrador e, como ele possui amplos direitos administrativos nos sistemas da empresa, o malware se espalha rapidamente pela rede do hospital e criptografa os dados do paciente. O ataque é catastrófico. Os registros dos pacientes ficam indisponíveis e os profissionais de saúde são forçados a recusar novos pacientes. A polícia é chamada, mas não consegue resolver o problema.
Como, então, o setor de saúde deve responder a essas ameaças? Em primeiro lugar, deve haver uma mudança na cultura e uma pronta aceitação da importância absoluta da segurança cibernética como parte integrante do atendimento ao paciente. Em segundo lugar, treinamento, backup e proteção de dados e seguro cibernético são três áreas importantes que o setor de saúde deve explorar positivamente.
Treinamento:É vital que as organizações de saúde façam da segurança cibernética uma prioridade. Eles podem tomar medidas para introduzir, manter e implementar totalmente as práticas atuais e eficientes de segurança cibernética. Todo funcionário deve saber que a segurança da informação é sua responsabilidade pessoal, não apenas responsabilidade do pessoal de TI e segurança da informação nos bastidores. Se o treinamento adequado for implementado, o cenário descrito acima nunca teria ocorrido. Isso ocorre porque, quando o administrador de registros de pacientes de nível médio recebesse o e-mail “suspeito”, ele o enviaria imediatamente ao pessoal de TI, que detectaria prontamente a ameaça. Assim, o objetivo da implementação de um programa de treinamento é estabelecer o fato de que a segurança cibernética deve ser responsabilidade de todos os profissionais de saúde,
Backup e proteção de dados: A sofisticação dos ataques cibernéticos ameaça a segurança dos backups de dados tradicionais. Os dados da empresa ainda enfrentam algum risco, mesmo ao fazer backup na nuvem. As equipes jurídica, de risco e conformidade precisam trabalhar em conjunto com os grupos de TI e segurança da informação para entender as nuances dos sistemas da empresa. Além disso, eles devem desenvolver planos que garantam que dados críticos, como registros de pacientes, sejam seguros e prontamente acessíveis no caso de um ataque cibernético.
Seguro cibernético: também conhecido como seguro de responsabilidade cibernética, as organizações de assistência médica podem querer recorrer a essa forma cada vez mais popular de seguro. Ele não resolverá imediatamente todos os seus problemas de segurança cibernética nem evitará ataques cibernéticos. Apesar disso, o setor de saúde deve garantir que eles saibam exatamente para o que estão se inscrevendo. Para comprar um seguro cibernético com sucesso, o que é necessário é tempo, pesquisa e uma avaliação de risco abrangente. Nesse sentido, advogados experientes em seguro cibernético podem ser inestimáveis para avaliar a cobertura de uma determinada apólice e combiná-la com os requisitos da empresa.
O que você deve fazer se sua segurança for violada? A segurança cibernética é um desafio de tecnologia e tática. O setor de saúde pode enfrentar o desafio por meio de maior treinamento e vigilância, transparência e colaboração em todo o setor. Os especialistas em segurança cibernética devem ser capazes de ajudar no desenvolvimento de um plano de resposta a incidentes que será vital para lidar com um ataque cibernético.
Uma medida que pode ser tomada para ajudar a mitigar os custos legais associados à violação cibernética é empregar a arbitragem como mecanismo de resolução de disputas. Assim, os advogados podem auxiliar os prestadores de serviços de saúde redigindo cláusulas de arbitragem relacionadas a reclamações cibernéticas em contratos de pacientes. Isso permitirá que qualquer litigante em potencial selecione um árbitro com experiência técnica significativa que poderá avançar na resolução de reivindicações. A arbitragem não é uma bala de prata para lidar com ataques cibernéticos. Na verdade, é uma ferramenta que pode ser usada para economizar tempo e custos, ao mesmo tempo em que permite que o prestador de serviços de saúde se concentre rapidamente no negócio, salvando a vida das pessoas.
Além disso, a falha em usar medidas adequadas para proteger os registros de pacientes e/ou informações pessoais de ataques cibernéticos provavelmente resultará em litígios de ação coletiva sujeitando o prestador de serviços de saúde a grandes indenizações por danos e danos à reputação. Tais litígios tornaram-se cada vez mais comuns e, para muitos prestadores de serviços de saúde, os honorários advocatícios e os custos de negócios por si só justificam uma maior atenção a esses riscos. Mediadores experientes podem ajudar a resolver essas disputas, mas a atenção à prevenção é fundamental.
Lidar com a sofisticação dos ataques cibernéticos requer uma abordagem ampla e colaborativa em uma infinidade de organizações dentro do governo e do setor privado. Os resultados positivos virão de um compromisso compartilhado para enfrentar esse desafio. Este artigo tentou lançar alguma luz básica sobre como os melhores advogados e especialistas em segurança cibernética juntos podem ajudar os prestadores de serviços de saúde a navegar no campo minado criado pelos cibercriminosos.
Daniel B. Garrie é co-fundador da Law & Forensics ( www.lawandforensics.com ), um neutro com JAMS ( www.jamsadr.com/garrie ), o editor-chefe do Journal of Law and Cyber Warfare, Professor de Direito na Rutgers School of Law, onde ensina guerra cibernética, governança de dados e lei de segurança cibernética, e Engenheiro Blockchain Certificado.
A juíza Gail A. Andler (aposentada) ingressou no JAMS como neutra em tempo integral após mais de 22 anos no Tribunal Superior do Condado de Orange da Califórnia, onde atuou de 2007 a 2017 no Painel de Litígios Civis Complexos.
LinkLei
Advogado