A sensibilização para a cibersegurança é uma questão crítica para todas as organizações. No entanto, é simplesmente essencial no sector da saúde, onde os dados são particularmente sensíveis.
Os grandes volumes de dados confidenciais, combinados com sistemas de segurança frequentemente vulneráveis, e uma extensa rede de dispositivos médicos conectados tornam o sector dos cuidados de saúde um alvo principal para os cibercriminosos.
A indústria da saúde é uma das indústrias mais expostas, flagelada por uma miríade de questões relacionadas com a cibersegurança, tais como incidentes de segurança, violações organizacionais e roubo de dados provenientes de fontes internas e externas.
Segurança Cibernética na Saúde em Estado Crítico
No ano passado, as violações de dados e os ataques de resgates custaram aos prestadores de cuidados de saúde cerca de 4 mil milhões de dólares. De facto, 67% das organizações de cuidados de saúde sofreram um incidente de segurança cibernética nos últimos doze meses.
Talvez o incidente mais infame tenha ocorrido em 2017, quando um devastador ciberataque global aleijou computadores em hospitais de todo o Reino Unido. O impacto do ciberataque do WannaCry foi substancial, com o incidente cibernético a perturbar os serviços em um terço dos trusts hospitalares e cerca de 8% das práticas dos médicos de clínica geral. O custo total estimado da restauração dos sistemas afectados atingiu 92 milhões de libras, de acordo com o Departamento de Saúde e Assistência Social.
Mais recentemente, os prestadores de cuidados de saúde e as organizações de investigação médica sofreram um surto de ataques de phishing ligados à actual crise Covid-19. O Hospital Universitário de Brno na República Checa, que é um dos centros de testes Covid-19 do país, foi atacado com um resgate que resultou no adiamento de todas as cirurgias.
No meio de um forte aumento dos ataques de phishing relacionados com o coronavírus em todo o mundo, o Departamento de Saúde e Serviços Humanos (HHS) dos EUA também sofreu um ataque de Distributed Denial of Service (DDoS), que se destinava a perturbar a resposta da organização à pandemia de Covid-19.
O National Cyber Security Centre (NCSC) do Reino Unido e a US Cybersecurity and Infrastructure Security Agency (CISA) relataram uma série de ataques a organismos médicos, especialmente aqueles que estiveram envolvidos na resposta à pandemia.
Preocupações de Segurança Cibernética no Sector da Saúde
É evidente que os hackers continuarão a lançar ataques cibernéticos contra a indústria da saúde enquanto houver lucros a serem obtidos, quer vendendo dados roubados de pacientes ou mantendo os sistemas de saúde reféns até que as exigências dos criminosos sejam satisfeitas.
O sector dos cuidados de saúde tem sofrido uma mudança significativa nos últimos anos com a adaptação de novas tecnologias para facilitar a integração de dados, o envolvimento dos doentes e o apoio clínico.
Com esta transição dos métodos tradicionais baseados em papel vem uma riqueza de oportunidades para cibercriminosos, tais como malware que compromete a privacidade dos dados dos pacientes, para ataques de negação de serviço distribuída (DDoS) que perturbam a capacidade de prestar cuidados aos pacientes.
Contudo, as organizações estão frequentemente demasiado preocupadas em defender-se contra ameaças externas para enfrentarem os riscos muito reais e perigosos que podem estar dentro das suas próprias fileiras.
A Ameaça Interna
Com uma riqueza de informação sanitária (PHI) altamente confidencial e protegida na ponta dos dedos, os profissionais de saúde têm acesso a grandes volumes de dados de pacientes que precisam de estar acessíveis ao pessoal, tanto no local como à distância, e em múltiplos dispositivos.
É amplamente reconhecido que os cibercriminosos visam o ponto mais fraco das defesas de uma organização e, com demasiada frequência, isso significa os seus empregados. No ano passado, o Gabinete do Comissário de Informação do Reino Unido (ICO) revelou que o erro humano foi a causa de 90% das violações de dados cibernéticos.
Em última análise, os profissionais de saúde são os guardiães dos dados e das ameaças cibernéticas que constituem agora um grande problema de saúde pública.
Para mitigar o risco, a sensibilização para a segurança deve tornar-se parte integrante da estratégia global de segurança da indústria dos cuidados de saúde para prevenir potenciais ataques cibernéticos.
Prevenção sobre a Prescrição
À medida que os ataques cibernéticos se tornam mais sofisticados e direccionados do que nunca, a consciência da segurança cibernética no sector da saúde é a arma mais poderosa contra estas ameaças e técnicas em constante evolução. Apesar de existirem múltiplos níveis de segurança, a consciência da segurança cibernética continua a ser um desafio fundamental para muitas organizações. Muitas vezes é adoptada uma abordagem ad-hoc, mas é importante reconhecer que a consciencialização cibernética é mais do que apenas phishing simulado.
Para mudar verdadeiramente os comportamentos de segurança cibernética, as organizações devem empenhar-se num programa de sensibilização para a segurança cibernética que permita ao pessoal reconhecer e abraçar o importante papel que desempenham na salvaguarda de dados organizacionais sensíveis.
Com a indústria da saúde cada vez mais propensa a ataques cibernéticos maliciosos, a chave para melhorar a consciência da segurança cibernética neste sector é implementar uma campanha eficaz de consciência cibernética e criar uma cultura de consciência cibernética.
Implementação de uma Campanha de Sensibilização Cibernética Eficaz
- Comece com Liderança CEO
A segurança cibernética é da responsabilidade de todos, mas as organizações resilientes têm uma forte liderança do CEO. Se o CEO estiver a levar a sério a segurança cibernética, isto permeará toda a organização e ajudará a criar uma cultura de maior consciência de segurança cibernética.
- Conheça as suas Tolerâncias Organizacionais
Demorar tempo a identificar correctamente os riscos pode ajudar a moldar o envio de mensagens, a entrega e o direccionamento eficaz do seu programa de sensibilização para a segurança cibernética.
- Defenda os seus bens de informação
É necessário determinar quais são os seus bens de informação mais valiosos, onde estão localizados e quem tem acesso a eles. Todos os bens devem ser classificados (por exemplo, públicos, privados ou confidenciais) e protegidos com base no seu valor. Fazê-lo é crucial ao identificar os riscos e dar prioridade às áreas que precisam de ser defendidas.
- Foco em grupos de alto risco
A chave para um programa eficaz de sensibilização para a segurança é assegurar que a formação certa seja dirigida às pessoas certas. Todos os utilizadores são susceptíveis a ameaças cibernéticas; contudo, alguns empregados têm um perfil de ameaça mais elevado do que outros. Por exemplo, os seus departamentos de RH e Finanças serão frequentemente alvo de ameaças de phishing devido ao seu acesso privilegiado a dados valiosos.
- Fazer com que se envolva com a Narração Eficaz de Histórias
Contar histórias é uma das formas mais poderosas de insuflar vida à sua campanha de sensibilização para a segurança cibernética. Encare isto, a segurança cibernética pode ser um tópico seco, mas é vital encontrar formas de envolver o seu pessoal se quiser ter um impacto positivo no comportamento dentro da sua organização. A mensagem é demasiado importante para se perder nas comunicações formais, corporativas
- Actualize a sua política de gestão
As políticas são cruciais no estabelecimento de limites de comportamento para indivíduos, processos, relações e transacções dentro da sua organização. Fornecem um quadro de governação, identificam riscos e ajudam a definir a conformidade, o que é importante no actual panorama regulamentar cada vez mais complexo.
- Comece já a preparar-se para uma quebra de dados
Já não é uma questão de "se" a sua organização vai ser atacada, mas sim de "quando". Tem de começar a preparar-se para o inevitável e pôr em prática um plano que assegure uma acção apropriada e atempada quando a segurança for violada.
- Alistar Campeões de Segurança Cibernética
A nomeação de campeões de segurança cibernética é uma excelente forma de capacitar o pessoal e equipá-lo com as competências necessárias para evitar um ataque cibernético.
- Considere a sua cadeia de fornecimento
Cada fornecedor e terceiros que se ligam ao seu negócio é um risco potencial, por isso é vital que efectue avaliações detalhadas de risco de terceiros para abordar quaisquer questões que possam constituir uma ameaça à sua segurança. Ao fazê-lo, pode ajudar a determinar que medidas de segurança devem ser implementadas para manter os seus dados seguros.
- Implementar uma Supervisão Adequada e Revisões Regulares
O cenário de ameaças está em constante evolução, pelo que o seu programa de sensibilização para a segurança cibernética precisa de evoluir com ele. É importante realizar revisões regulares da prontidão do pessoal para identificar áreas de fraqueza e estabelecer se as actuais políticas e formação precisam de ser actualizadas.
Criar uma força de trabalho mais consciente da segurança
Cyber Security Awareness for Dummies actua como um indispensável resource para implementing mudança de comportamento and criando um culture de consciência cibernética.
Neste guia, irá aprender:
- O que significa para a sua organização a consciência da cibersegurança
- Como implementar uma campanha cibernética de sensibilização para o risco
- O papel crucial das políticas para estabelecer linhas de base seguras
- Como manter a dinâmica e o envolvimento do pessoal
- 10 melhores práticas de sensibilização para a segurança cibernética
Clique aqui para reclamar a sua cópia gratuita de Cyber Security Awareness para Dummies.
