Atualmente a transformação digital é um aspecto fundamental para as organizações, e a área da saúde não é exceção. No entanto, os desafios de segurança que acompanham este processo são inúmeros.
Por Roberto Suzuki, Diretor de OT da Fortinet na região da América Latina e do Caribe
Estamos enfrentando um cenário de ameaças cibernéticas em constante evolução, com criminosos utilizando tecnologias como a IA para automatizar técnicas de reconhecimento e realizar ataques mais precisos e bem-sucedidos. Ambientes de infraestrutura crítica são um dos alvos mais desejados, dada a importância dos dados que contêm e sua relevância para as operações de um país. De acordo com o relatório “State of Cybersecurity in OT”, realizado pela Fortinet em 2024, quase um terço (31%) das organizações de OT reportaram mais de seis intrusões no último ano, em comparação aos 11% declarados no ano anterior. Isso reafirma que essas organizações precisam fortalecer a implementação da segurança cibernética como parte de sua estratégia de gerenciamento de riscos.
Principais barreiras para o processo de transformação no setor da saúde
Quando falamos sobre transformação digital em um setor tão importante quanto o da saúde, encontramos barreiras muito semelhantes às de outros setores críticos.
Em primeiro lugar, existem questões de resistência às mudanças. Tanto organizações públicas quanto privadas operam com processos projetados para o funcionamento adequado há muitos anos. No entanto, esses processos demonstram-se frequentemente desatualizados e insuficientes para a agilidade exigida hoje. Embora os sistemas corporativos sigam as melhores práticas em relação às políticas de atualização de sistemas, o mesmo não pode ser dito dos componentes de engenharia clínica que ainda operam com sistemas obsoletos, como o Windows XP, que são vulneráveis por não serem mais suportados ou atualizados.
Por outro lado, há o fator orçamento. Poucas entidades deste setor incluem a segurança cibernética em suas estratégias de negócios, considerando-a algo pontual, em vez de um elemento que precisa ser constantemente atualizado e evoluir à medida que os ativos digitais e a cobertura de rede da organização se tornam mais complexos.
Por fim, há o fator humano. Ter funcionários treinados em segurança cibernética, independentemente de sua área de atuação, é fundamental para as estratégias de defesa das organizações. A segurança cibernética é tarefa de todos, não apenas da equipe de TI. Esse fator é vital, principalmente para empresas do setor de saúde. Com a adoção de novas tecnologias, estamos vendo a introdução de outros pontos vulneráveis, como equipamentos especializados usados no dia a dia (tomografias computadorizadas, raios-X, etc.) que, apesar de serem de última geração e custarem milhões de dólares, ainda são baseados em sistemas ultrapassados. Além disso, a automação está sendo integrada à infraestrutura física, como ar-condicionado, elevadores e sistemas de vigilância, todos conectados à rede. As pessoas que operam esses sistemas devem ser a primeira linha de defesa contra um ataque cibernético.
Estratégias integrais para uma cibersegurança robusta no setor da saúde
Sabemos que, quando se trata de transformação digital, os processos exigem uma abordagem mais holística, especialmente em organizações com sistemas legados ou orçamentos limitados. Por isso, compartilhamos alguns pontos que podem ser considerados ao começar a construir uma estratégia de segurança cibernética.
. Segmentação de rede
Antes de construir uma arquitetura de segurança cibernética, é importante que as organizações implementem a segmentação da rede. Isso envolve dividir a rede em segmentos menores e controlados, o que ajuda a limitar a movimentação lateral dos invasores e reduz o impacto de potenciais intrusões. Cada segmento deve ter políticas de segurança específicas e controles de acesso rigorosos.
. Visibilidade e controles compensatórios
A visibilidade de todos os dispositivos e conexões da rede é essencial para detectar e responder em caso de ameaças. Além disso, alguns sistemas podem ser difíceis de corrigir ou atualizar devido à sua antiguidade ou complexidade. Nesses casos, as organizações devem encontrar maneiras alternativas de mantê-los seguros, como a implementação de patches (remendos) virtuais. Essa abordagem ajuda a proteger sistemas vulneráveis, aplicando medidas de segurança que compensam as vulnerabilidades sem modificar o sistema original.
. Enfoque de plataforma
Para reduzir a complexidade operacional, é necessário adotar uma abordagem de plataforma. Isso significa integrar soluções de segurança cibernética que abranjam todas as camadas da superfície da rede, automatizadas e impulsionadas pelo uso de inteligência artificial e aprendizado de máquina. As soluções devem convergir para um número limitado de plataformas, o que facilita a gestão e aumenta a eficiência.
. Preparação para incidentes de segurança cibernética
Sabemos que atingir 100% de segurança é impossível, por isso é necessário criar um plano de contingência integral que inclua todas as áreas da organização e estabeleça um protocolo claro de ações a serem tomadas em caso de um ataque cibernético: a quem recorrer e como fazer isso, a quem alertar, como manter a empresa operacional, etc. A preparação para incidentes de segurança cibernética é vital para minimizar o impacto de potenciais ataques e garantir uma rápida recuperação.
. Treinamento em segurança cibernética
Além disso, como mencionamos anteriormente, os funcionários, independentemente do cargo, devem ser treinados em segurança cibernética. A segurança cibernética é responsabilidade de todos. Este ponto é vital, especialmente para empresas do setor da saúde, em que a adoção de novas tecnologias introduz vulnerabilidades que devem ser protegidas.
