A maioria das pessoas concorda que a área da saúde é bastante essencial e, portanto, protegê-la contra ameaças deveria estar no topo da lista de prioridades de qualquer provedor. Hoje em dia, entender as ameaças cibernéticas não se trata apenas de cumprir exigências – trata-se de reconhecer como sistemas interconectados criam, ao mesmo tempo, oportunidades e vulnerabilidades. De prontuários eletrônicos e dispositivos médicos conectados a plataformas de telessaúde e sistemas de pagamento, cada ponto de contato digital pode se tornar uma porta de entrada potencial para ameaças.
Além disso, essas exposições não existem de forma isolada; elas formam caminhos interconectados, nos quais uma exposição em uma área pode desencadear uma disrupção sistêmica, potencialmente comprometendo o cuidado com o paciente, a privacidade e — embora possa soar dramático — até mesmo vidas. À medida que as organizações de saúde continuam passando por transformações digitais, ter uma compreensão abrangente dessas exposições cibernéticas e de suas interconexões não é apenas uma medida de segurança, mas um componente fundamental para oferecer serviços de saúde seguros e confiáveis.
Neste texto, vamos analisar os desafios e os fatores que impulsionam esse setor complexo, além das estratégias que essas organizações podem adotar para garantir que se mantenham seguras.
O cenário atual da segurança na área da saúde
Embora a segurança seja importante em qualquer setor, a área da saúde ocupa uma posição única quando se trata da complexidade e da amplitude dos desafios para proteger sistemas tão cruciais (e potencialmente vitais). Desafios complicados, como a necessidade de avançar na transformação digital e de cumprir exigências regulatórias rigorosas — tudo isso enquanto tenta prevenir violações decorrentes de inúmeros métodos de ataque, como phishing e ransomware — tornam esse cenário realmente confuso.
E não podemos esquecer que muitas dessas organizações ainda dependem de sistemas legados, repletos de vulnerabilidades não corrigidas, o que as torna um alvo fácil para atacantes em busca de brechas. Além disso, a enorme quantidade de dados coletados e armazenados por qualquer sistema de serviços de saúde representa um verdadeiro tesouro de informações pessoais identificáveis, prontas para serem extraídas e vendidas na dark web.
Por que as abordagens tradicionais de gestão de vulnerabilidades são insuficientes
Diante desse cenário, fica fácil entender por que — e de que forma — os métodos tradicionais de gestão de vulnerabilidades falham em prevenir violações. A abordagem tradicional de gestão de vulnerabilidades depende de varreduras periódicas e métodos de detecção imprecisos, o que leva a falsos positivos e à perda de confiança no processo. Além disso, essas abordagens carecem do contexto de negócio necessário para identificar onde as vulnerabilidades estão e como impactam o risco geral da organização.
Priorizar Vulnerabilidades e Exposições Comuns (CVEs, na sigla em inglês) apenas com base em quantidade ou gravidade falha ao não considerar a explorabilidade em um ambiente específico. Mesmo em equipes com recursos amplos, o processo de correção e testes pode levar bastante tempo — devido à complexidade dos fluxos de aprovação e à falta de contexto sobre quais sistemas corrigir primeiro e por quê.
A recente violação de dados na Change Healthcare, subsidiária do United Health Group, ilustra os perigos dessa abordagem isolada. O grupo de ransomware AlphV explorou credenciais comprometidas e a ausência de autenticação multifator em um portal Citrix — interface da empresa Citrix que permite aos funcionários de uma organização acessarem recursos internos — para obter acesso inicial. A partir daí, eles se movimentaram lateralmente pela rede, exfiltraram dados e implantaram ransomware, resultando na violação dos dados de mais de 190 milhões de pessoas.
Esse incidente destaca como questões aparentemente de baixo risco, como credenciais comprometidas, podem levar a consequências graves quando combinadas com outras vulnerabilidades e técnicas de exploração.
6 dicas para construir uma estratégia sólida de gestão de exposição
É por isso que construir um programa sólido de gestão de exposição é essencial para garantir um ecossistema de segurança vivo e dinâmico, que evolui conforme as ameaças evoluem. Vamos analisar os componentes principais do que esse programa deve incluir:
- Entenda sua superfície de ataque
Já se foi o tempo em que simplesmente escanear periodicamente a rede em busca de vulnerabilidades era suficiente. Provedores de saúde precisam de uma visão abrangente da sua superfície de ataque, que inclua desde dispositivos médicos de Internet das Coisas (IoT) até plataformas de telessaúde em nuvem.
Analisar vetores de ataque híbridos por meio de grafos de ataque ajuda a identificar não apenas onde estão localizadas as vulnerabilidades, mas como elas podem ser exploradas e combinadas de forma perigosa com outras exposições para alcançar ativos críticos do negócio. Por exemplo, uma vulnerabilidade de risco aparentemente baixo em um portal do paciente pode fornecer o ponto de entrada necessário para acessar sistemas críticos.
Por meio da análise de caminhos de ataque (attack path analysis), as organizações podem encontrar vulnerabilidades e exposições que os escaneamentos tradicionais não detectam.
- Potencialize a priorização inteligente
Organizações de saúde não podem correr atrás de todos os alertas, considerando os recursos limitados e a infinidade de exposições. A priorização inteligente identifica quais alertas representam maior risco para o ambiente específico. Isso vai muito além do Sistema Comum de Pontuação de Vulnerabilidades (CVSS, na sigla em inglês) — metodologia padrão internacional utilizada para avaliar a gravidade de vulnerabilidades de segurança em sistemas de TI —, trata-se de compreender o contexto do negócio. Uma exposição em um sistema de cuidados críticos deve ter prioridade em relação à mesma exposição em um sistema não crítico.
A priorização ideal ajuda as equipes de segurança a focarem no que realmente importa. Ao incorporar fatores como a criticidade dos ativos, exposição à internet e o impacto potencial no atendimento aos pacientes, as organizações conseguem tomar decisões mais informadas sobre para onde direcionar seus recursos.
- Assegure a gestão adequada de configurações
Ambientes de saúde são muito mais suscetíveis a erros de configuração, devido à sua combinação complexa de sistemas legados, aplicações modernas em nuvem e dispositivos médicos especializados. Entre as configurações incorretas mais comuns, estão:
– segmentação inadequada da rede entre sistemas clínicos e administrativos;
– credenciais padrão não alteradas em dispositivos médicos;
– permissões excessivas em ambientes de nuvem;
– soluções de acesso remoto mal configuradas.
A detecção e correção automatizadas de configurações incorretas são extremamente importantes, já que os processos manuais não conseguem acompanhar a velocidade das mudanças nos ambientes de saúde atuais.
- Implante o gerenciamento da postura de segurança em tempo real
Na área da saúde, a disponibilidade dos sistemas pode, literalmente, ser uma questão de vida ou morte — por isso, o monitoramento de segurança em tempo real não é opcional, é essencial. Nesse caso, é fundamental garantir:
– monitoramento contínuo de todos os ativos, desde máquinas de ressonância magnética até dispositivos móveis;
– detecção imediata de alterações não autorizadas ou comportamentos suspeitos;
– capacidade de resposta automatizada para ameaças conhecidas;
– testes regulares dos procedimentos de backup e recuperação;
- Mitigue riscos de forma contínua
As redes de saúde atuais estão cada vez mais complexas, combinando sistemas locais (on-premises), infraestruturas em nuvem e aplicações Software as a Service (SaaS). Qualquer estratégia abrangente de gestão de exposição deve oferecer proteção completa nesse cenário híbrido, garantindo segurança contínua, independentemente de onde os ativos estejam localizados.
Isso significa implementar controles unificados e capacidades de monitoramento que se adaptem a diferentes ambientes, mantendo níveis consistentes de proteção e resguardando todo o ecossistema de TI como uma unidade coesa.
- Invista em compliance
No setor de saúde, altamente regulamentado, conformidade não é apenas uma formalidade — é um requisito fundamental para os negócios. Uma estratégia eficaz de gestão de exposição deve incluir relatórios automatizados e capacidades de monitoramento contínuo que estejam alinhadas com frameworks como a norma ISO 27001, a Network and Information Security Directive 2 (NIS2) ou que atendam aos padrões da Health Insurance Portability and Accountability Act (HIPAA).
Essa abordagem proativa ajuda as organizações a cumprir os requisitos regulatórios atuais e a se adaptar a novas exigências de compliance, garantindo que os padrões legais e do setor sejam atendidos de forma contínua.
Conclusão: O setor de saúde está em alerta, é hora de agir
O diagnóstico está feito, e o tratamento é claro: o que as organizações de saúde precisam para se manterem seguras é um programa abrangente de gestão de exposição. À medida que o setor de saúde se torna cada vez mais digital, entender as exposições cibernéticas — e como elas se interconectam — torna-se essencial.
Não se trata apenas de segurança; trata-se de oferecer um atendimento de saúde seguro e confiável.
—
A Ambipar ESG, aliada à XM Cyber, pode te ajudar com a cibersegurança da sua organização!
